信息技术 - 安全技术 - 存储安全

Information technology — Security techniques — Storage security

（ISO / IEC 27040：2015）

介绍

许多组织面临着实施数据保护和安全措施的挑战，以满足各种要求，包括法定和法规遵从性。由于误解和对存储技术的熟悉程度有限，或者在存储管理员和管理员的情况下，对固有风险或基本安全概念的理解有限，因此很多时候会忽略与存储系统和基础架构相关的安全性。这种情况的最终结果是数字资产由于数据泄露，故意破坏，被扣为人质或其他恶意事件而不必要地处于妥协的风险之中。

由于历史上依赖于隔离连接，专用技术和数据中心的物理安全性，数据存储在安全性成为次要问题的环境中已经成熟。即使存储连接演变为使用诸如存储协议之类的技术而不是传输控制协议/交互协议（TCP / IP），也很少有用户利用固有的安全机制或推荐的安全措施。

本国际标准为组织中的存储安全提供指导，特别支持信息安全管理系统（ISMS）的要求，符合ISO / IEC 27001.本国际标准建议采用ISO / IEC 27005中定义的信息安全风险管理方法 由组织来定义他们的风险管理方法取决于例如ISMS的范围，风险管理的背景或行业部门。可以在本国际标准中描述的框架下使用许多现有方法来实现ISMS的要求。

本国际标准与组织内信息安全风险管理相关的管理人员和工作人员相关，并在适当情况下与支持此类活动的外部各方相关。本国际标准的目标如下：

 - 帮助提请注意风险;

 - 帮助组织在存储时更好地保护数据;

 - 为审计，设计和审查存储安全控制提供基础。

需要强调的是，ISO / IEC 27040提供了有关ISO / IEC 27002中基本标准化级别描述的存储安全控制的进一步详细实施指南。

应该指出，本国际标准不是法规和立法安全要求的参考或规范性文件。 虽然它强调了这些影响的重要性，但它不能具体说明它们，因为它们取决于国家，商业类型等。

信息技术 - 安全技术 - 存储安全

1 范围

本国际标准通过采用经过充分验证的一致方法来规划，设计，记录和实施数据存储安全性，为组织如何定义适当的风险缓解水平提供详细的技术指导。 存储安全性适用于存储信息的保护（安全性）以及通过与存储相关的通信链路传输的信息的安全性。 存储安全性包括设备和介质的安全性，与设备和介质相关的管理活动的安全性，应用程序和服务的安全性，以及在设备和介质的使用寿命期间以及使用结束后与最终用户相关的安全性。

存储安全性与参与拥有，操作或使用数据存储设备，介质和网络的任何人相关。这包括高级管理人员，存储产品和服务的接收者以及其他非技术经理或用户，以及对信息安全或存储安全，存储操作或负责组织整体安全性负有特定职责的经理和管理员。计划和安全政策的制定。它还涉及参与存储网络安全体系结构方面的规划，设计和实现的任何人。

本国际标准概述了存储安全性概念和相关定义。它包括与典型存储方案和存储技术领域相关的威胁，设计和控制方面的指导。此外，它还提供了其他国际标准和技术报告的参考，这些报告涉及可应用于存储安全的现有实践和技术。

2规范性参考文献

以下文件的全部或部分内容在本文件中作了规范性引用，并且对于其应用是必不可少的。 凡是注日期的引用文件，仅引用的版本适用。 凡是不注日期的引用文件，其最新版本适用于引用文件（包括附议案修改）。 ITU-TY.3500 | ISO / IEC 17788：2014，信息技术 - 云计算 - 概述和词汇。

ISO / IEC 27000，信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇

ISO / IEC 27001:2013，信息技术 - 安全技术 - 信息安全管理系统 - 要求

ISO / IEC 27005，信息技术