ISO27040:2015 数据存储安全管理体系标准简介
许多组织面临着实施数据保护和安全措施的挑战,以满足各种要求,包括法定和法规遵从性。由于误解和对存储技术的熟悉程度有限,或者在存储管理员和管理员对固有风险或基本安全概念的理解有限,因此很多时候会忽略与存储系统和基础架构相关的安全性。这种情况的最终结果是数字资产由于数据泄露,故意破坏,被扣为人质或其他恶意事件而不必要地处于妥协的风险之中。
由于历史上依赖于隔离连接,专用技术和数据中心的物理安全性,数据存储在安全性成为次要问题的环境中已经成熟。即使存储连接演变为使用诸如存储协议之类的技术而不是传输控制协议/交互协议(TCP / IP),也很少有用户利用固有的安全机制或推荐的安全措施。
ISO27040:2015国际标准为组织中的存储安全提供指导,特别支持信息安全管理系统(ISMS)的要求,符合ISO / IEC 27001.本国际标准建议采用ISO / IEC 27005中定义的信息安全风险管理方法 由组织来定义他们的风险管理方法取决于例如ISMS的范围,风险管理的背景或行业部门。可以在本国际标准中描述的框架下使用许多现有方法来实现ISMS的要求。
ISO27040:2015国际标准与组织内信息安全风险管理相关的管理人员和工作人员相关,并在适当情况下与支持此类活动的外部各方相关。ISO27040:2015国际标准的目标如下:
- 帮助提请注意风险;
- 帮助组织在存储时更好地保护数据;
- 为审计,设计和审查存储安全控制提供基础。
需要强调的是,ISO / IEC 27040提供了有关ISO / IEC 27002中基本标准化级别描述的存储安全控制的进一步详细实施指南。
应该指出,ISO27040:2015国际标准不是法规和立法安全要求的参考或规范性文件。虽然ISO27040:2015强调了这些影响的重要性,但ISO27040:2015不能具体说明它们,因为它们取决于国家,商业类型等。
