ISO/IEC 27040:2024是数据存储安全的国际标准,为组织保护存储数据提供详细的技术和管理指南。该标准涵盖了各种存储技术和架构,包括直接附加存储(DAS)、网络附加存储(NAS)、存储区域网络(SAN)、云存储及软件定义存储等。标准从存储系统的规划、设计、实施、运营到退役全生命周期提供安全指导,内容包括存储安全风险评估、存储架构安全、数据加密、访问控制、数据完整性保护、存储介质安全、数据销毁、存储虚拟化安全、云存储安全、存储管理安全及存储安全监控。该标准适用于所有类型和规模的组织,无论其存储规模或技术复杂度,通过实施可有效降低存储数据泄露、篡改和丢失风险,确保数据的机密性、完整性和可用性,满足数据保护法规的存储安全要求。
ISO/IEC 27040:2024 数据存储安全管理体系
ISO/IEC 27040:2024是数据存储安全的国际标准,为组织保护存储数据提供详细的技术和管理指南。该标准涵盖了各种存储技术和架构,包括直接附加存储(DAS)、网络附加存储(NAS)、存储区域网络(SAN)、云存储及软件定义存储等。标准从存储系统的规划、设计、实施、运营到退役全生命周期提供安全指导。
标准信息
国际标准
ISO/IEC 27040:2024
国家标准
无
标准名称
Information technology — Security techniques — Storage security
标准名称
数据存储安全管理体系
发布机构
ISO/IEC 国际标准化组织与国际电工委员会
发布机构
无
发布日期
2024 年 1 月
发布日期
无
标准简介
标准目的
- 保障存储安全规范数据存储全流程管理,防范数据存储过程中的泄露、篡改、丢失、损坏等风险,确保数据存储的保密性、完整性和可用性
- 优化存储管理建立标准化的数据存储管理流程,优化存储资源配置,提升存储效率,降低数据存储成本
- 合规存储要求确保数据存储活动符合国家数据安全、个人信息保护相关法律法规及国际存储安全标准,规避存储合规风险
- 强化存储防护明确数据存储安全防护要求,规范存储设备、存储介质的管理,提升数据存储安全防护能力
- 规范存储运维统一数据存储运维标准,明确运维职责,建立存储故障应急处置机制,保障数据存储的连续性
适用范围
- 行业覆盖适用于所有涉及数据存储的组织,涵盖互联网、金融、医疗、科技、政府机构等全行业,包括各类数据存储服务提供商
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据数据存储量、存储复杂度灵活调整管控措施
- 场景覆盖涵盖本地存储、云端存储、分布式存储、移动存储等各类存储场景,覆盖数据存储、备份、恢复、销毁全流程
- 管理覆盖覆盖存储安全方针制定、存储风险评估、存储防护实施、存储运维、应急处置、持续改进等全管理环节
- 认证覆盖支持单一站点、多站点、集团化等不同组织架构的认证模式,满足总部与分支机构数据存储安全一体化管理需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 1 范围
- 2 规范性引用文件
- 3 术语和定义
- 4 符号和缩写术语
-
- 5.1 总则
- 5.2 存储概念
- 5.3 存储安全简介
-
- 5.4.1 背景
- 5.4.2 数据泄露
- 5.4.3 数据损坏或销毁
- 5.4.4 临时或永久性的访问、可用性丧失
- 5.4.5 未能满足法定、监管或法律要求
-
- 6.1 总则
- 6.2 直接连接存储(DAS)
-
- 6.3.1 背景
-
- 6.3.2.1 总则
- 6.3.2.2 光纤通道SAN
- 6.3.2.3 IP SAN
- 6.3.2.4 FCoE SAN
-
- 6.3.3.1 总则
- 6.3.3.2 网络文件系统(NFS)
- 6.3.3.3 服务器消息块(SMB&CIFS)
-
- 6.4.1 总则
-
- 6.4.2.1 验证
- 6.4.2.2 授权和访问控制
- 6.4.3 保护管理接口
- 6.4.4 安全审计、会计和监控
- 6.4.5 系统硬化
-
- 6.5.1 光纤通道(Fibre Channel&FC)存储
- 6.5.2 IP存储
-
- 6.6.1 基于NFS的网络附加存储(NAS)
- 6.6.2 基于SMB&CIFS的网络附加存储(NAS)
- 6.6.3 基于Parallel NFS的网络附加存储(NAS)
-
-
- 6.7.1.1 保护云计算存储
- 6.7.1.2 CDMI安全性
- 6.7.2 基于对象的存储设备(OSD)
- 6.7.3 内容寻址存储(CAS)
-
-
-
- 6.8.1.1 总则
- 6.8.1.2 基于媒体的消除
- 6.8.1.3 逻辑消除
- 6.8.1.4 消除验证
- 6.8.1.5 消除媒体的验证
-
- 6.8.2.1 总则
- 6.8.2.2 加密传输的数据
- 6.8.2.3 对静态数据进行加密
- 6.8.3 数据减少
-
-
- 7.1 总则
-
- 7.2.1 深度防御
- 7.2.2 安全域
- 7.2.3 设计弹性
- 7.2.4 安全初始化
-
- 7.3.1 可靠性
- 7.3.2 可用性
- 7.3.3 备份和复制
- 7.3.4 灾难恢复和业务连续性
- 7.3.5 弹性
-
- 7.4.1 长期保留
- 7.4.2 短期到中期的保留
- 7.5 数据保密性和完整性
-
- 7.6.1 存储虚拟化
- 7.6.2 用于虚拟化系统的存储
-
- 7.7.1 加密和密钥管理问题
- 7.7.2 对齐存储和策略
- 7.7.3 合规性
- 7.7.4 安全的多租户
- 7.7.5 安全的自主数据移动
- 附录A 媒体消除
- 附录B 选择适当的存储安全控制
- 附录C 重要的安全概念
体系运行过程模型
| 阶段 | ISO27040中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 识别信息资产和风险,明确安全目标、适用控制和治理策略。 | 第4章、5章、6章(上下文、领导作用、风险策划) |
| D (实施) | 落地安全控制、职责分工、运行流程与监控机制。 | 第7章、8章(支持与运行)及控制域实施 |
| C (检查) | 通过监控、审计、评审验证控制有效性并识别差距。 | 第9章(监视测量、内审、管理评审) |
| A (处置) | 处理安全事件和不符合,更新风险评估与控制措施。 | 第10章(不符合、纠正和持续改进) |
ISO27040 标准解读
- 暂无对应标准解读,欢迎联系我们获取专项方案。
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据ISO27040标准建立符合的数据存储安全管理体系
- 运行要求有健全的数据存储安全管理体系运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期数据存储安全管理体系证书是三年有效期
- 监督审核数据存储安全管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核数据存储安全管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的数据存储安全管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 ISO27040 的价值
- 风险可控识别信息资产风险并建立控制措施。
- 合规治理满足数据安全与隐私合规要求。
- 客户信任提升客户对平台与服务的安全信心。
- 业务连续减少安全事件对业务运行的影响。
- 治理能力形成跨部门协同的安全管理机制。
- 持续防护通过监测审计持续提升防护能力。
与其他体系结合
标准名称
推荐率
常见问题及误区
Q1:ISO27040就是对数据存储设备的安全管理,与存储流程无关?
A:不是,体系覆盖数据存储全流程的安全管理,包括存储架构设计、介质选择、数据备份、容灾恢复、数据销毁、存储环境安全等,设备管理只是其中一部分。
Q2:只有采用云存储的组织才需要ISO27040认证,本地存储无需关注?
A:不是,适用于所有数据存储场景,包括本地服务器存储、云存储、分布式存储、移动存储、离线存储等,核心是保障各类存储场景下的数据安全。
Q3:数据存储进行了多重备份,就符合ISO27040的要求?
A:不是,数据备份只是存储安全的一个环节,体系还要求组织建立存储安全的全维度管控机制,如存储权限管理、数据加密、容灾恢复预案、存储介质管理等。
Q4:中小企业数据存储量小,没必要建立ISO27040体系?
A:不是,中小企业的数据同样存在丢失、损坏、泄露等风险,体系可根据组织规模裁剪条款,搭建适配的数据存储安全管理框架,降低存储风险。
Q5:数据存储安全管理是IT部门的工作,其他部门无需参与?
A:不是,各部门是数据的产生者和使用者,需遵循体系中的数据存储使用规范,如合理申请数据访问权限、规范数据存储行为等,与IT部门共同承担存储安全责任。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们
