ISO27040认证标准的内容
发布时间:2020-08-07 作者:广汇联合 来源:广汇联合
ISO27040的概述和简介
ISO27040的目的是为存储系统和生态系统以及这些系统中的数据保护提供安全指导。它支持ISO27001中指定的一般概念
ISO27040国际标准适用于组织内与信息安全风险管理有关的管理人员和员工,以及在适当情况
下支持此类活动的外部各方。
本国际标准的目标是:
宣传风险,帮助组织更好地保护其数据,为设计和审核存储安全控件提供基础。
ISO27040针对ISO27002中描述的常规安全控制提供了与存储安全相关的特定,详细的实施指南。
ISO27040国际标准不是法规和法律安全要求的参考或规范性文件,因为它们会因国家/地区而异。
ISO27040包含七个简短条款和三个附件,内容包括
1.标准范围;
2.理解和使用ISO27040必不可少的其他标准清单;
3.从其他标准引入或在本标准中定义的术语;
4.标准中使用的缩写词和首字母缩略词的列表;
5.关键存储和存储安全性概念概述以及相关风险信息;
6.描述了支持存储安全技术体系结构的控件,包括直接附加存储(DAS),存储网络,存储管理,基于块的
存储,基于文件的存储,基于对象的存储以及安全服务;
7.提供有关存储安全性设计和实施的指南(例如,设计原则;数据可靠性,可用性和弹性;数据保留;数据
机密性和完整性;可视化;以及设计和实施注意事项)。
附件A特定于介质的消毒指南,包括加密擦除(与 NIST SP 800-88r1相似)
附件B根据数据敏感性或安全优先级(机密性,完整性或可用性)选择适当的安全控制的表
附件C重要安全性和存储概念的描述(微型教程)