ISO27040 认证范围和目的
ISO/IEC 27040:2015标准的提议者认为,由于误解和对存储技术的有限了解,或者在某些存储管理人员和管理员的情况下,对固有信息的了解有限,因此忽略了数据存储系统和基础结构的信息安全方面。风险或基本安全概念。
正如新工作项目提案中所述:
“由于存储历史上对隔离连接,奇异技术和数据中心物理安全的依赖,因此在安全已成为第二要务的环境中,存储已经成熟。 即使存储连接已发展为使用基于TCP / IP的Internet小型计算机系统接口(iSCSI)协议之类的技术,也很少有用户利用固有的安全机制或推荐的安全措施(例如,使用IPsec保护通信)。 因此,存储的信息不必要地处于危险之中。”
ISO/IEC 27040:2015 认证范围和目的
ISO/IEC 27040:2015认证标准旨在帮助计算机存储技术的购买者和用户确定和处理相关的信息风险。 范围涵盖设备和媒体的安全性,与设备和媒体,应用程序/服务和最终用户有关的管理活动的安全性,以及与存储相关联的通信链路上传输信息的安全性。
ISO27040:2015认证标准描述了与数据存储相关的信息风险,并进行了控制以减轻风险。 目的是:
ISO27040认证提请注意与各种数据存储技术上的信息的机密性,完整性和可用性有关的常见风险;
ISO27040鼓励组织使用适当的信息安全控制措施来改善对存储信息的保护;
例如,通过促进对保护存储数据的信息安全控制措施的审查或审核来提高保证。
ISO27040认证涵盖了与备份/灾难恢复位置和云存储相关的信息安全问题,以及与各种数据存储技术,介质和子系统( 例如 SAN,NAS和CAS)上的主/本地存储相关的信息安全问题。
还介绍了介质清理(销毁存储在各种类型的存储介质上的数据)。
ISO27040认证标准非常详细,超过100页。 它提到了许多特定的存储技术,这对于ISO27k标准也是不常见的,因为它们通常是通用的,因此是永恒的。
