ISO/IEC 27040存储安全及风险_售后服务认证_保安物业服务认证_生活垃圾分类_环境清洁服务认证_iso信息安全管理_iso信息技术服务_iso数据存储安全认证

发布时间：2020-06-20 作者：广汇联合来源：广汇联合

一、存储安全简介

存储安全涉及物理、技术和管理控制，以及与存储系统和基础设施相关的预防、检测和纠正控制。

A、存储安全还可以强制引入专门技术，如：媒体杀毒；虚拟化安全等；

B、为了更好地理解存储的安全问题和含义，我们应该知道存储技术的使用方式和原因。

C、要确保现有和新兴存储技术上存储和访问的数据具有足够的保密性、完整性和可用性。安全工作将侧重于：

-保护存储管理（操作和接口）；

-确保充分的凭证和信任管理；

-保护数据备份和恢复资源；

-动态数据保护；

-静止数据保护；
-数据可用性保护；

-灾难恢复和业务连续性支持；

-适当的卫生处理和处置；

-安全的自主数据移动；

-确保多租户。

二、存储安全风险

1、背景

A、存储安全风险是由组织对特定存储系统或基础架构的使用造成的。

存储安全风险来自：

a）针对存储系统和基础设施处理的信息的威胁；

b）脆弱性（技术性和非技术性）；以及

c）通过威胁成功利用漏洞的影响。

B、风险管理是信息安全的一个重要概念。

根据ISO/IEC 27005，“信息安全风险管理“过程可应用于整个组织、组织的任何离散部分（如部门、物理位置、服务）、任何信息系统，控制的现有或计划的或特定方面（如业务连续性规划）。”

C、存储系统和基础架构面临的威胁，包括但不限于：

-未经授权使用；

-未经授权的访问；

-监管不合规造成的责任；

-拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击存储；

-数据的损坏/修改和销毁；

-数据泄漏/泄露；

-媒体被盗或意外丢失；

-恶意软件攻击或引入；

-使用结束后处理或消毒不当。

2、数据泄露

1)数据泄露可能是安全危害的结果之一。

2)未经授权访问或披露受保护信息是两种常见的数据泄露形式。

3)数据泄露可能使组织面临因调查数据泄露而产生的重大风险。

3、数据损坏或破坏。

4、暂时或永久性的访问/可用性损失。

5、不符合法定、监管或法律要求组织可能会因不遵守法律、法规或法律要求而招致重大责任和处罚。