NIST SP 800-88 Rev. 2於2025年9月發布，強調企業須建立全面的媒體清除計畫以確保資料安全。從單次刪除轉向可驗證的、可審計的流程。強調敏感度、設備類型及後續用途，確保選擇適當的清除方法，強化供應商信任及文件管理。

企業花很多力氣保護線上系統，卻常在設備報廢時讓資料重新暴露。真正完整的資安治理，必須把「資料在哪裡」一路追到硬碟離開企業、資料被驗證抹除、媒體被再利用或銷毀為止。寄回總部不是問題，問題是未抹除、不可追蹤、無證據的寄回總部。

如果企業能補上這個漏洞，就能把報廢設備從資安空窗變成可稽核流程；如果忽略它，任何一次不留痕跡的複製或調包，都可能讓多年建立的資安防護在最後一哩失守。

CC 認證 ISO 15408 是什麼？為什麼資料抹除產品要拿到它特別不容易 CC 認證不是一般行銷獎項，而是以 ISO/IEC 15408 為基礎、由獨立實驗室與國家級認證體系檢驗 IT 產品安全性的國際框架。對資料抹除產品來說，取得 CC 認證代表產品不只宣稱能刪除資料，而是必須把抹除邏輯、威脅模型、測試證據、操作限制與版本邊界攤開接受評估。 很多人聽過 ISO 27001、NIST SP 800-88 或 IEEE 2883，卻不一定熟悉 CC 認證。CC 是 Common Criteria for Information Technology Security Evaluation，中文常稱「共同準則」。它對應的國際標準是 ISO/IEC 15408，目的不是評估一家公司整體管理制度，而是針對一個明確定義的 IT 產品或功能範圍，檢查它是否真的達到宣稱的安全能力。 ISO 官方頁面列出的 ISO/IEC 15408-1:2022 全名是「Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 1: Introduction and general model」。這句話可以簡化成大眾聽得懂的版本：它是一套用來評估 IT 產品安全性的國際語言。產品要先說清楚自己要保護什麼、面對哪些威脅、採取哪些安全功能，再由獨立實驗室依方法學驗證這些主張。 CC 認證的地位：它是政府與高風險採購看得懂的安全語言 CC 的重要性來自 CCRA，也就是 Common Criteria Recognition Arrangement。Common Criteria 官方入口說明，CC 與 CEM 是這個國際互認安排的技術基礎；產品可由合格獨立實驗室評估，證書可由具資格的認證體系核發，並由 CCRA 簽署方承認。這就是 CC 認證在資安產品市場有分量的原因：它讓不同國家、政府機關與大型企業用同一套框架理解產品安全性。 這也代表 CC 認證不是「廠商自己說自己安全」。它要求產品文件、測試證據、設計說明、操作指南、版本範圍與安全目標經過正式評估。對採購端來說，CC 證書的價值在於降低重複評估成本；對使用者來說，它把「可信」從口號變成可查核