胡海华 发表于 2024-3-15 08:57:37

ISO/IEC 27040:2024 存储安全标准发布, 主要变化及如何建设?

ISO/IEC 27040:2024 《Information technology Security techniques Storage security》存储安全标准

2024年1月26日,ISO国际标准化组织发布了新版ISO/IEC 27040:2024信息技术-安全技术-存储安全国际标准,替代了之前发布的ISO/IEC 27040:2015版标准,该标准主要带来以下变化:

一. 控制项四个类别的要求之上进行扩充

标准的条款结构与 ISO/IEC 27001:2022 附录 A保持一致,存储安全控制项从组织、人员控制、物理控制、技术控制四个类别的要求之上进行扩充。ISO/IEC 27040:2024标准结构如下:



二. 加入了存储安全控制基线集的要求,且使用副标题

在原ISO/IEC 27040:2015版标准中,存储安全控制项多为指南性要求;而在新标准汇总,加入了存储安全控制基线集的要求,为了帮助识别这些基准控制和关键指导,标准中使用了副标题。这些副标题包括一个带有描述的控制标签。控制标签采用xx-yyyy-cnn的形式展示,将存储安全控制项被分成要求(R)和指南(G)两个部分,在组织控制(OC)、物理控制(PC)和技术控制(TC)章节分别加入了要求(R)部分,这些要求(R)需在存储系统安全控制中进行满足。


控制类别要求(R)指南(G)
OC-组织控制211
SC-人员控制02
PC-物理控制
14
TC-技术控制
30137

三. 调整了储存技术,增加新的控制方案

由于存储技术升级迭代,新版中对存储技术进行了调整,增加了新的控制方案,如新增了“10.14.4存储快照”、“10.15数据归档和存储”的存储技术控制要求。

四. 细化说明数据加密传输要求

数据加密传输要求方面,进一步进行了细化说明,如TLS,IP Security。

五. 删除指导方案

删除了 ISO/IEC 27040:2015附录 A 中关于清理不同类型介质上存储数据的指导方案,取而代之的是在标准10.6.3章节中增加了推荐采用 IEEE 2883中适用的不同介质的数据清理方案。

六. 删除存储安全控制措施

删除了 ISO/IEC 27040:2015附录 B中通过确定优先次序选择适当的存储安全控制措施,取代的是采用新标准附录 A 中总结的包含的要求和指南两类控制项。

建设ISO 27040存储安全管理体系


By BSI

badboy0133 发表于 2024-3-15 09:31:55

感謝分享

yan1e 发表于 2024-3-15 09:38:03

新版标准体现相互之间的协调一致

BHC 发表于 2024-3-15 10:14:00

{:1_89:}

JXPSCD1 发表于 2024-3-15 11:11:36

感谢分享!

yifan99 发表于 2024-3-15 12:05:11

学习

jamesbadi 发表于 2024-3-15 17:23:25

感谢楼主分享

tempo 发表于 2024-5-2 23:29:16

谢谢分享

hpj801 发表于 2024-10-21 11:02:43

楼主,能提供一下标准的中文版本吗,可以的话,帮我发一下hpj801@126.com
谢谢楼主!

bandager 发表于 2024-10-26 00:21:45

谢谢分享
页: [1]
查看完整版本: ISO/IEC 27040:2024 存储安全标准发布, 主要变化及如何建设?