ISO/IEC27040标准合规性控制措施

一、条款、目标、控制措施

问责制

-确保用户，特别是特权用户，具有唯一的用户id（即，没有共享帐户）；

-在可能的情况下，根据角色授予权利和特权；

-记录所有尝试（成功和不成功）的管理事件和事务。

-可追溯性

-确保记录的事件/事务数据包含足够的应用程序或系统详细信息，以清楚地标识源；

-确保用户信息可以追溯到特定的个人；

-适当时，将日志记录视为证据（保管链、不可否认性、真实性等）。

-检测、监视和评估

-确保存储层参与外部审计日志记录措施；

-监视审核日志记录事件并发出相应的警报。

-信息保留和卫生处理

-实施适当的数据保留措施；

-实施适当的数据完整性和真实性措施；

-在删除、重新调整用途或停用硬件时正确清理数据；

-在生命周期结束时正确清理虚拟服务器映像及其副本。

-隐私

-实施适当的数据访问控制措施，以控制对数据和元数据（如搜索结果）的访问；尽可能采取最低权限的姿态；

-实施适当的数据保密措施，防止未经授权的泄露。

-合法的

-确保重复数据消除的使用不与数据真实性要求冲突；

-确保数据和媒体净化机制不违反保存命令；

-确保在处理证据数据（如审计日志、元数据、镜像、时间点副本等）时遵循适当的监管链程序。

1.准备《法律法规与符合性评估程序》

2.准备《认证和授权安全策略》

3准备《数据清理管理程序》

4准备《安全审计、会计和监控安全策略》

1. 是否依据《法律法规与符合性评估程序》实施管理

2 是否依据《认证和授权安全策略》实施管理

3. 是否依据《法律法规与符合性评估程序》实施管理

4 是否依据《安全审计、会计和监控安全策略》实施管理