ISO/IEC 27040:2024 存储安全标准发布, 主要变化及如何建设?
ISO/IEC 27040:2024 《Information technology Security techniques Storage security》存储安全标准2024年1月26日,ISO国际标准化组织发布了新版ISO/IEC 27040:2024信息技术-安全技术-存储安全国际标准,替代了之前发布的ISO/IEC 27040:2015版标准,该标准主要带来以下变化:
一. 控制项四个类别的要求之上进行扩充
标准的条款结构与 ISO/IEC 27001:2022 附录 A保持一致,存储安全控制项从组织、人员控制、物理控制、技术控制四个类别的要求之上进行扩充。ISO/IEC 27040:2024标准结构如下:
二. 加入了存储安全控制基线集的要求,且使用副标题
在原ISO/IEC 27040:2015版标准中,存储安全控制项多为指南性要求;而在新标准汇总,加入了存储安全控制基线集的要求,为了帮助识别这些基准控制和关键指导,标准中使用了副标题。这些副标题包括一个带有描述的控制标签。控制标签采用xx-yyyy-cnn的形式展示,将存储安全控制项被分成要求(R)和指南(G)两个部分,在组织控制(OC)、物理控制(PC)和技术控制(TC)章节分别加入了要求(R)部分,这些要求(R)需在存储系统安全控制中进行满足。
控制类别要求(R)指南(G)
OC-组织控制211
SC-人员控制02
PC-物理控制
14
TC-技术控制
30137
三. 调整了储存技术,增加新的控制方案
由于存储技术升级迭代,新版中对存储技术进行了调整,增加了新的控制方案,如新增了“10.14.4存储快照”、“10.15数据归档和存储”的存储技术控制要求。
四. 细化说明数据加密传输要求
数据加密传输要求方面,进一步进行了细化说明,如TLS,IP Security。
五. 删除指导方案
删除了 ISO/IEC 27040:2015附录 A 中关于清理不同类型介质上存储数据的指导方案,取而代之的是在标准10.6.3章节中增加了推荐采用 IEEE 2883中适用的不同介质的数据清理方案。
六. 删除存储安全控制措施
删除了 ISO/IEC 27040:2015附录 B中通过确定优先次序选择适当的存储安全控制措施,取代的是采用新标准附录 A 中总结的包含的要求和指南两类控制项。
建设ISO 27040存储安全管理体系
By BSI 感謝分享 新版标准体现相互之间的协调一致 {:1_89:} 感谢分享! 学习 感谢楼主分享 谢谢分享
楼主,能提供一下标准的中文版本吗,可以的话,帮我发一下hpj801@126.com
谢谢楼主!
谢谢分享
页:
[1]