NIST 800-88 是美國國家標準與技術研究院(NIST)發布的媒體淨除(Media Sanitization)指引,目的在於用「可驗證、可稽核」的方法,讓指定資料在預期威脅下不可被復原。它提供跨裝置、跨情境的決策框架與技術建議,適用於政府、企業與第三方回收/維運服務。
NIST 將淨除分為三類,依資料敏感度、媒體型態、威脅模型選用:
Clear(清除):以邏輯方式處理使用者可位址空間(如覆寫、裝置重設等),可抵禦一般非侵入性復原。
Purge(淨化):以更強方式降低先進攻擊復原可能(如加密清除 Crypto Erase、消磁、裝置低階指令)。
Destroy(銷毀):物理破壞使媒體不可再用(粉碎、熔毀、研磨等),通常用於不可外流或無法可信驗證時。
關鍵不是「越激進越好」,而是在風險、成本、再利用目標間取得最適平衡,並且做驗證+留證據。
HDD 機械硬碟:單次或多次覆寫(Clear);消磁或物理銷毀(Purge/Destroy)。
SSD/NVMe/eMMC/UFS:優先考慮加密清除或廠商裝置層指令(Purge);無法確信時改用 Destroy。
可移除媒體(USB、SD 卡、光碟):依敏感度選 Clear 或 Destroy;機密等級建議 Purge/Destroy。
行動裝置:確保硬體加密啟用並走加密清除;移除或註銷帳號、關閉「尋找我的裝置」、清除配對與憑證。
磁帶與光學媒體:換捲覆寫、消磁或物理粉碎。
分類與決策:依資料等級(如機密/個資/一般)× 媒體型態,選 Clear / Purge / Destroy。
執行:依裝置支援情況採用對應技術(含工具、韌體版本、指令)。
驗證(Verification):抽樣讀回、位元比對、日誌與序號對應、第三方工具複核。
紀錄(Documentation):保存序號、方法、時間、負責人、驗證證據、最終去向;全程維護Chain-of-Custody。
稽核與持續改進:定期審查工具、樣本比例、失敗重試規則與供應鏈要求。
資料/系統擁有者:決定淨除等級與保留年限。
IT/維運:執行與記錄。
資安/隱私/法遵:監督、定義驗證標準、保存稽核證據。
外包/ITAD 供應商:依等同標準執行並提供可驗證報告。
ISO/IEC 27001:NIST 800-88 提供技術與程序面的細化;27001 管理系統提供治理與風險框架。
GDPR/個資法:可用 NIST 800-88 的流程與證據,證明「資料已不可識別/不可回復」。
醫療/金融/政府規範:常把「依 NIST 800-88」作為採購或稽核條款之一。
BSI IT-Grundschutz/IEEE 2883:在德語系與工程技術族群中常搭配映射與使用。
企業換機與資產退租/報銷:批量 SSD/HDD;需可追溯序號與結果報告。
維修/RMA/舊機回收:帶風險的跨廠商移轉,重視 Chain-of-Custody。
資料中心退役:伺服器/儲存陣列的敏感資料與記錄落地。
行動裝置整備:MDM 清除與加密清除並行,確保帳號註銷與憑證撤回。
Q1:覆寫幾次才夠?
現代硬碟多以單次覆寫+驗證即可達成 Clear;高敏感度或更強威脅下,採 Purge 或 Destroy。
Q2:SSD 一定要粉碎嗎?
不一定。若加密清除或裝置層指令能可信執行且驗證通過,即可達到 Purge 目標;無法確信時才選 Destroy。
Q3:一定要做驗證嗎?
是。NIST 800-88 要求對結果負責——不驗證就不算完成。可依風險訂定抽樣率與方法。
Q4:需要保留哪些文件?
至少包含:資產序號、方法(Clear/Purge/Destroy)、工具/韌體版本、執行者、時間、驗證證據、最終去向與簽核。
建立**「資料等級 × 媒體型態 × 對應方法」**矩陣。
規範驗證標準(抽樣率、讀回/比對方法、失敗重跑規則)。
要求內外部人員遵循Chain-of-Custody與照片/簽名/日誌留存。
對供應商與回收商要求:NIST 800-88 對齊、可下載報告、序號可追溯、第三方稽核配合。
政策與矩陣制定:依你的產線(PC、伺服器、行動裝置、儲存媒體)建立 NIST 800-88 決策矩陣。
工具與流程導入:SSD/NVMe 加密清除、自動驗證與批次序號報告。
合規文件與稽核陪同:產出 SOP、表單、報告樣板;支援客戶/第三方稽核。
