ISO27040认证标准的内容

ISO27040的概述和简介 ISO27040的目的是为存储系统和生态系统以及这些系统中的数据保护提供安全指导。它支持ISO27001中指定的一般概念 ISO27040国际标准适用于组织内与信息安全风险管理有关的管理人员和员工,以及在适当情况 下支持此类活动的外部各方。 本国际标准的目标是: 宣传风险，帮助组织更好地保护其数据，为设计和审核存储安全控件提供基础。 ISO27040针对ISO27002中描述的

ISO/IEC27040标准安全自主数据移动控制措施

ISO/IEC27040标准安全自主数据移动控制措施 一、条款、目标、控制措施 1、应将数据移动的配置策略限制为经过身份验证和授权的特权用户 2、建立配置的个人应该熟悉源和目标的安全属性 3、实现或终止自主数据移动的配置更改应反映在审核日志中 4、所有自主数据移动事务都应反映在执行数据移动的系统的审核日志中 5、作为自主数据移动事务的一部分，应验证移动数据的完整性

ISO/IEC27040标准保障多租户控制措施

ISO/IEC27040标准 保障多租户控制措施 一、条款、目标、控制措施 1、提供安全隔离，同时仍然提供共享资源的管理和灵活性好处，确保没有租户可以阻止任何其他租户的存在或身份，可以访问任何其他租户的动态（网络）数据，可以访问任何其他租户的静态（存储）数据，可以执行影响另一个租户执行的操作的操作，也可以执行可能拒绝向另一个租户提供服务的操作，并确保每个

ISO/IEC27040标准合规性控制措施

ISO/IEC27040标准合规性控制措施 一、条款、目标、控制措施 问责制 -确保用户，特别是特权用户，具有唯一的用户id（即，没有共享帐户）； -在可能的情况下，根据角色授予权利和特权； -记录所有尝试（成功和不成功）的管理事件和事务。 -可追溯性 -确保记录的事件/事务数据包含足够的应用程序或系统详细信息，以清楚地标识源； -确保用户信息可以追溯到特定的个人； -适当

ISO/IEC27040标准调整存储和策略控制措施

ISO/IEC27040标准调整存储和策略控制措施 一、条款、目标、控制措施 1、识别最敏感的（个人识别信息、知识产权、商业机密等）和业务/关键任务数据类别以及保护要求 2、将特定于存储的策略与其他策略集成（即，避免为存储生态系统创建单独的策略文档） 3、地址数据保留和保护 4、地址数据销毁和媒体清理 5、确保存储生态系统的所有元素都符合策略 优先考虑最敏感/最关键的

ISO/IEC27040标准加密和密钥管理问题控制措施

ISO/IEC27040标准加密和密钥管理问题控制措施 一、条款、目标、控制措施 1、了解并遵守与加密和密钥管理相关的政府进口法规 2、了解并遵守与加密和密钥管理相关的政府出口法规 3、遵守公司或政府密钥托管要求 4、有一个恢复计划，以防关键的妥协 5、制定了密钥备份计划，以确保继续访问加密的业务/关键任务信息 6、在处理/访问相同数据的存储设备之间安全地分发密钥材料