ISO/IEC 27040:2015認證標準旨在幫助計算機存儲技術(shù)的購買(mǎi)者和用戶(hù)確定和處理相關(guān)的信息風(fēng)險。 范圍涵蓋設備和媒體的安全性,與設備和媒體,應用程序/服務(wù)和最終用戶(hù)有關(guān)的管理活動(dòng)的安全性,以及與存儲相關(guān)聯(lián)的通信鏈路上傳輸信息的安全性。
ISO27040:2015認證標準描述了與數據存儲相關(guān)的信息風(fēng)險,并進(jìn)行了控制以減輕風(fēng)險。 目的是:
ISO27040認證提請注意與各種數據存儲技術(shù)上的信息的機密性,完整性和可用性有關(guān)的常見(jiàn)風(fēng)險;
ISO27040鼓勵組織使用適當的信息安全控制措施來(lái)改善對存儲信息的保護;
例如,通過(guò)促進(jìn)對保護存儲數據的信息安全控制措施的審查或審核來(lái)提高保證。
ISO27040認證涵蓋了與備份/災難恢復位置和云存儲相關(guān)的信息安全問(wèn)題,以及與各種數據存儲技術(shù),介質(zhì)和子系統( 例如 SAN,NAS和CAS)上的主/本地存儲相關(guān)的信息安全問(wèn)題。
還介紹了介質(zhì)清理(銷(xiāo)毀存儲在各種類(lèi)型的存儲介質(zhì)上的數據)。
ISO27040認證標準非常詳細,超過(guò)100頁(yè)。 它提到了許多特定的存儲技術(shù),這對于ISO27k標準也是不常見(jiàn)的,因為它們通常是通用的,因此是永恒的。