欢迎来到广汇联合(北京)认证服务有限公司【官方网站】:
体系认证
更多
客户专访
更多
员工专访
更多
联系我们

广汇联合---遵守法规,快速

 反应,增值认证,客户满意!

  热线:
13681064228
13681064228
  Q Q:
来电咨询

ISO/IEC 27040存储安全及风险

发布时间:2020-06-20 作者:广汇联合 来源:广汇联合

一、存储安全简介 
 
存储安全涉及物理、技术和管理控制,以及与存储系统和基础设施相关的预防、检测和纠正控制。
A、存储安全还可以强制引入专门技术,如: 媒体杀毒; 虚拟化安全 等; 
B、为了更好地理解存储的安全问题和含义,我们应该知道存储技术的使用方式和原因。
C、要确保现有和新兴存储技术上存储和访问的数据具有足够的保密性、完整性和可用性。安全工作将侧重于: 
-保护存储管理(操作和接口); 
-确保充分的凭证和信任管理; 
-保护数据备份和恢复资源; 
-动态数据保护; 
-静止数据保护; 
-数据可用性保护; 
-灾难恢复和业务连续性支持; 
-适当的卫生处理和处置; 
-安全的自主数据移动; 
-确保多租户。
 
二、存储安全风险
 
1、背景 
A、存储安全风险是由组织对特定存储系统或基础架构的使用造成的。
存储安全风险来自: 
a) 针对存储系统和基础设施处理的信息的威胁; 
b) 脆弱性(技术性和非技术性);以及 
c) 通过威胁成功利用漏洞的影响。 
B、风险管理是信息安全的一个重要概念。
根据ISO/IEC 27005,“信息安全风险管理“过程可应用于整个组织、组织的任何离散部分(如部门、物理位置、服务)、任何信息系统,控制的现有或计划的或特定方面(如业务连续性规划)。”
C、存储系统和基础架构面临的威胁,包括但不限于: 
-未经授权使用; 
-未经授权的访问; 
-监管不合规造成的责任; 
-拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击存储; 
-数据的损坏/修改和销毁; 
-数据泄漏/泄露; 
-媒体被盗或意外丢失; 
-恶意软件攻击或引入; 
-使用结束后处理或消毒不当。
 
2、数据泄露 
1)数据泄露可能是安全危害的结果之一。
2)未经授权访问或披露受保护信息是两种常见的数据泄露形式。
3)数据泄露可能使组织面临因调查数据泄露而产生的重大风险。 
 
3、数据损坏或破坏。 
 
4、暂时或永久性的访问/可用性损失 。
            
5、 不符合法定、监管或法律要求组织可能会因不遵守法律、法规或法律要求而招致重大责任和处罚。