ISO/IEC 27040:2015概述和简介
ISO/IEC 27040:2015的目的是为存储系统和生态系统以及这些系统中的数据保护提供安全指导。 它支持ISO / IEC 27001中指定的一般概念。
ISO/IEC 27040:2015国际标准适用于组织内与信息安全风险管理有关的管理人员和员工,以及在适当情况下支持此类活动的外部各方。 本国际标准的目标是:
宣传风险,
帮助组织更好地保护其数据,
为设计和审核存储安全控件提供基础。
ISO/IEC 27040:2015针对ISO/IEC 27002中描述的常规安全控制提供了与存储安全相关的特定,详细的实施指南。
ISO27040国际标准不是法规和法律安全要求的参考或规范性文件,因为它们会因国家/地区而异。
在华盛顿州雷德蒙市举行的SC27会议之后,于2010年秋季开始了关于ISO27040的工作。 该项目被安排在延长的时间表上,最多需要48个月来制定标准,而不是正常的36个月。 ISO / IEC 27040标准于2015年1月5日发布。
ISO27040包含七个简短条款和三个附件,内容包括:
1.标准范围
2.理解和使用ISO27040必不可少的其他标准清单
3.从其他标准引入或在本标准中定义的术语
4.标准中使用的缩写词和首字母缩略词的列表
5.关键存储和存储安全性概念概述以及相关风险信息
6.描述了支持存储安全技术体系结构的控件,包括直接附加存储(DAS),存储网络,存储管理,基于块的存储,基于文件的存储,基于对象的存储以及安全服务。
7.提供有关存储安全性设计和实施的指南(例如,设计原则;数据可靠性,可用性和弹性;数据保留;数据机密性和完整性;可视化;以及设计和实施注意事项)
附件A.特定于介质的消毒指南,包括加密擦除(与NIST SP 800-88r1相似)
附件B.根据数据敏感性或安全优先级(机密性,完整性或可用性)选择适当的安全控制的表
附件C.重要安全性和存储概念的描述(微型教程)
