ISO27040标准授权和访问控制措施

一、条款、目标、控制措施 应在存储技术中实现和使用以下角色： -安全管理员-此角色具有查看和修改权限，以建立和管理帐户、创建和关联角色/权限、审核日志配置和内容（审核日志事件项永远不能更改）、与IT基础结构建立信任关系、管理证书和密钥存储，以管理加密和密钥管理，并设置访问控制。 -存储管理员-此角色具有查看和修改存储系统所有方面的权限。未授予对安

ISO27040标准中认证控制措施

一、条款、目标、控制措施 A、所有用户应具有唯一标识符（用户ID），仅供个人使用； B、应选择适当的身份验证技术，通过使用以下方法证实用户的声明身份： 强密码（增加最小字符数、增加复杂性等），使用时间缩短； 强身份验证（例如，质询响应协议）；或 多因素身份验证，例如生物测定数据（如指纹验证、签名验证）和硬件令牌（如智能卡）的使用。 C、对于所有远程

ISO27040标准中小企业/CIFS 控制措施

一、条款、目标、控制措施 A、使用SMB协议的更高版本； B、关闭低安全性会话协商协议， C、保持最新的补丁级别； D、使用SMB签名； E、安全维护活动目录（AD）服务； F、尽可能使用单向信任，从叶域到父域； G、通过以下方式控制SMB/CIFS网络访问和协议 仅在需要时启用SMB/CIFS 必要时加密客户端数据访问。 二、企业要做的内容 1. 准备《网络连接存储（NAS）安全策略》 2. 准备《

ISO29151标准PII的同意权

目标： 通过行使有意义、知情、自由的同意权，使PII主体积极参与有关处理其PII的决策过程，除非法律和法规另有限制。 组织应为PII主体提供必要的手段，以行使有意义的、知情的、明确的和自由的同意权。除非：PII主体不能自由拒绝同意，适用法律允许在没有主体同意的情况下处理PIL保始PII的实施指南组织应该： a）确定获得PII主体同意的流程，并分析所选择的流程不可用的

ISO29151标准PII控制者合同需要提供的内容

ISO29151标准PII控制者合同需要提供以下内容： 1、根据合同进行处理的规模，性质和
目的的适当声明； 
2、贼予PII主体访问和审査其PII,处
理PII主体提岀的任何投诉的能力;
 3、为履行法律或监管要求而采取的其
他组织措施； 4、授权PII控制人员在PII处理者的场
所进行审计； 5、在数据泄露，未经授权的处理，其
他不履行合同条款和条件的情况下，有报
告的义务、包括

ISO29151标准保护PII的实施指南

需要明确规定保护个人身份信息的 角色和责任，并妥善记录并传达。特别： a） 组织应分配髙级管理成员［有时称 为首席隐私官（CPO）］对PII承担保护 的责任； b） 应明确指明，每个角色担当的PII 保护职能，负责与组织内的信息安全职能 进行协调； c） 参与PII处理的所有人（包括用户 和支持人员）应在其工作指南中包含适当 的PII保护要求。 已建立的PII保护功能应与处理PII