DoD 5220.22-M 是美國國防部的《國家工業安全計畫作業手冊》(NISPOM)舊版號碼,用來規範承包商如何保護「機密資訊」(classified information),包含組織與流程要求;其最新版(2006)已由**法規化的 32 CFR Part 117(NISPOM Rule)**所取代並整併。dau.edu+2Federal Register+2
重點:DoD 5220.22-M 本質上不是一份專門的「資料抹除技術標準」,而是工業安全手冊;早年常見的「DoD 三重覆寫」做法,是從附表與延伸指引衍生出的歷史性擦除方法,並非今日 DoD 的主流要求。NIST 技術系列出版物+1
1990–2000 年代,業界普遍以「多次覆寫(0/1/隨機)+驗證」當作磁碟清除的作法,市場慣稱為「DoD 5220.22-M 方法」。然而,隨著儲存技術(SSD、NVMe、快閃轉譯層等)演進,這種僅靠邏輯覆寫的作法已不足以涵蓋所有媒體情境,也不是 DoD 現行政策的首選做法。Blancco
NISPOM Rule(32 CFR Part 117):2020–2021 年完成法規化,承接 DoD 5220.22-M 的工業安全要求。它關注承包商如何保護機密資訊;並未把「多次覆寫」當成一體適用的技術規範。Federal Register+1
NIST SP 800-88(Guidelines for Media Sanitization):美國政府與產業現今更廣泛參考的媒體淨除指引,用 Clear / Purge / Destroy 三類來依資料敏感度與媒體型態選擇方法,並要求結果驗證與留存證據。NIST 技術系列出版物
多數權威與大型供應商現已建議:若合約/規範允許,以 NIST 800-88 作為淨除政策與報告依據;DoD 5220.22-M 的覆寫法則視為歷史參考。Sipi Corp+1
政策措辭
推薦寫法:
我們的媒體淨除流程依 NIST SP 800-88(含 Clear/Purge/Destroy 與驗證要求)執行;若客戶/法規指定其他標準,將以契約要求為準並提供對映表。
避免寫成:「依 DoD 5220.22-M 三重覆寫」當作唯一或必然方法(尤其對 SSD/NVMe)。NIST 技術系列出版物
RFP/合約對映
若投標文件仍提到「DoD 5220.22-M」,可在回覆中補充說明其為舊 NISPOM 代稱,並附上 NIST 800-88 的對映與等效性,確保審查者理解你提供的是現行可稽核的做法。Federal Register
報告與證跡
無論清除方法,務必記載:序號、方法(Clear/Purge/Destroy/物理銷毀)、工具/韌體版本、執行者、時間、驗證證據、最終去向,以符合稽核與鏈結管控要求(Chain-of-Custody)。這是 NIST 800-88 的精神,也有助契約或法遵審查。NIST 技術系列出版物
Q1:今天還能主張「符合 DoD 5220.22-M」嗎?
可以在歷史相容或特定客戶要求的脈絡中描述,但建議一併註記 NISPOM 已法規化為 32 CFR Part 117,且現行媒體淨除建議以 NIST 800-88 為主。Federal Register+1
Q2:DoD 是否仍推薦多次覆寫?
DoD 的承包商安全要求已轉入 NISPOM Rule;就「資料抹除技術」而言,政府與產業普遍轉向 NIST 800-88 的決策與驗證框架。Federal Register+1
Q3:為什麼 SSD 不能只靠三重覆寫?
SSD 擁有快閃轉譯層與保留區,單純邏輯覆寫可能不觸及所有物理區塊;需要裝置層指令或加密清除(Crypto Erase),或改採物理銷毀並驗證。NIST 技術系列出版物
