ISO/IEC27040标准纵深防御

ISO/IEC27040 标准纵深防御 一、条款、目标、控制措施 a)确保平衡地关注三个主要要素：人员、技术和运营； b)贯彻有效的信息保证政策和程序，分配角色和责任，投入资源，培训关键人员，以及个人责任； c)在多个位置部署保护机制，以抵御所有类型的攻击； d)在潜在对手和目标之间部署多个防御机制（分层）； e)包括检测和保护机制； f)部署强大的密钥管理和公钥基础设施（

ISO/IEC27040标准数据缩减

ISO/IEC27040 标准数据缩减 一、条款、目标、控制措施 数据缩减技术本身并不代表安全机制。但是，它们的存在可能会受到存储安全活动的影响： a) 当加密与压缩一起使用时，应在加密之前应用压缩，因为密文不能有效地压缩；相反的顺序应在另一端使用（即解密后展开）。 b) 当加密与重复数据消除一起使用时，应在加密之前应用重复数据消除，因为重复数据消除通常对密文无效

ISO/IEC29151标准公开性和透明度

ISO/IEC29151 标准公开性和透明度 目标 向PII主体提供关于PII控制人清晰且易于获取的策略信息，有关处理PII的程序和 做法。 控制 组织应实施适当的措施，向PII主体提供有关PII处理的策略，程序和实践的适当信息。 保护PII的实施指南 组织应该： a）向PII主体提供关于PII控制方有关策略，程序和实践的清晰且易于获取的信息； b）披露PII控制方为了限制，访问，纠正，删除其信息，而

ISO/IEC29151标准隐私声明

ISO/IEC29151 标准隐私声明 目标 确保隐私声明包含适当的细节，用简单的语言编写，并且易于访问。 控制 组织应采取适当措施，向PII主体提供适当的PII处理目的通知。 保护PII的实施指南 组织应该： a）向PII主体提供有关下列事项的有效通知： 1）影响隐私的活动，包括但不限于：收集，使用，共享，保护和安全处置PH； 2）收集PII的权利； 3）PII主体的选择：同意组织如何使用PII的

ISO/IEC27040标准静态加密数据

ISO/IEC27040标准静态加密数据 一、条款、目标、控制措施 a)应使用专门为存储技术而设计的加密算法和操作模式； b) 限制密钥以明文形式存在的时间，并防止用户查看明文密钥 ； c) 加密密钥只能用于一个目的，特别是不要使用密钥加密密钥（也称为密钥包装密钥）来加密数据或使用数据加密密钥来加密其他密钥； d) 从整个按键空间中随机选择按键； e) 检查并避免使用已知的弱键

ISO/IEC27040标准加密传输数据

ISO/IEC27040标准加密传输数据 一、条款、目标、控制措施 a) 当需要保护运动中的数据时，它应该提供端到端的保护。 b) 运动数据的加密会给通信实体带来很大的计算负担，应该进行适当的补偿以将影响降到最低。 c) 对于IPsec，应使用版本3和Internet密钥交换（IKE）版本2（或更高版本）。 d) 对于TLS，存储客户端应符合存储网络行业协会（SNIA）技术要求：存储系统TLS规范1.0版或最新版