ISO27040存储安全管理体系

ISO27040 信息技术-安全技术-存储安全

专业服务保障
一对一全程指导
高效快捷体验

ISO27040 : 规划、设计、记录和实施数据存储安全性，为组织如何定义适当的风险缓解水平提供详细的技术指导，是管理数据存储安全的最高执行性标准之一。其存储安全性适用于存储信息的保护（安全性）以及通过与存储相关的通信链路传输的信息安全。该标准为企业提供关于如何有效地管理数据安全储存方面的指导，从规划、设计到实施均有相关规定。它仅会作为企业标准而非针对个人的标准而存在。

在线咨询

产品介绍
办理流程
所需材料
常见问题
扩展支持服务

产品介绍

互联网技术不断迭代升级，越来越多的产品、服务、流程以数字化方式呈现。数据存储作为数据生命周期管理中最重要的环节之一，许多组织面临着如何实施数据存储保护和安全措施以满足各种要求的挑战。ISO/IEC27040国际标准为组织中的存储安全系统建立、实施和维护提供了指南。

2024年1月26日，ISO国际标准化组织发布了新版ISO/IEC27040:2024信息技术-安全技术-存储安全国际标准，替代了之前发布的ISO/IEC27040:2015版标准。

ISO27040是什么

ISO27040官网

《ISO27040信息技术-安全技术-存储安全标准》提供了详细的技术指导，以指导组织如何通过采用经过验证的一致方法来计划、设计、文档编辑和实施，以定义适当的风险缓解水平，是管理数据存储安全的最高执行标准之一。
该标准也界定并拓宽了存储安全性的边界，不仅仅包括存储方式、传输方式，浏览权限，还包括法律法规、人员管理、物资管理等，涵盖设备和介质的安全性、与设备和介质相关的管理活动的安全性、应用程序和服务的安全性，以及在设备和介质的使用寿命期间以及使用结束后与最终用户相关的安全性等各方面。

ISO27040适用范围

适用于对外提供计算机服务、计算机存储技术的购买者和用户，从目前的获得认证的企业情况看，较多的是：

以计算机存储技术、以信息为生命线的行业：

金融行业：银行、保险、证券、基金、期货等

通信行业：电信、网通、移动、联通等

服务公司：外贸、HR、猎头、会计师事务所等

对信息技术依赖度高并对外提供云服务的行业：

钢铁、半导体、物流

电力、能源

外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

ISO27040认证条件

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》等效文件；外国企业持有关机构的登记注册证明；

2、申请方的信息技术安全管理体系已按ISO27040:2015数据存储安全标准的要求建立，并实施运行3个月以上；

3、至少完成一次数据存储安全影响评估、内部审核，并进行了管理评审；

4、数据存储安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚；企业受到行政处罚，已经处理掉了，没有暂停营业；

5、申请范围不超出资质许可范围、不超出认证机构的业务范围；

6、无违规转机构、无违法、无失信；

7、申报人数与实际人数相差不超出20%；

8、提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

ISO27040新版标准主要变化

控制项四个类别进行扩充

标准的条款结构与ISO/IEC27001:2022附录A保持一致，存储安全控制项从组织、人员控制、物理控制、技术控制四个类别的要求之上进行扩充。ISO/IEC 27040:2024标准结构如下：

ISO27040变化

增加控制新要求且使用副标题

在原ISO/IEC27040:2015版标准中，存储安全控制项多为指南性要求；而在新标准中，加入了存储安全控制基线集的要求，为了帮助识别这些基准控制和关键指导，标准中使用了副标题。这些副标题包括一个带有描述的控制标签。控制标签采用xx-yyyy-cnn的形式展示，将存储安全控制项被分成要求（R）和指南（G）两个部分，在组织控制（OC）、物理控制（PC）和技术控制（TC）章节分别加入了要求（R）部分，这些要求（R)需在存储系统安全控制中进行满足。

ISO27040变化1

调整储存技术，增加控制方案

由于存储技术升级迭代，新版中对存储技术进行了调整，增加了新的控制方案，如新增了“10.14.4存储快照”“10.15数据归档和存储”的存储技术控制要求。

细化说明数据加密传输要求

数据加密传输要求方面，进一步进行了细化说明，如TLS，IP Security。

删除指导方案

删除了ISO/IEC27040:2015附录A中关于清理不同类型介质上存储数据的指导方案，取而代之的是在标准10.6.3章节中增加了推荐采用 IEEE2883中适用的不同介质的数据清理方案。

删除存储安全控制措施

删除了ISO/IEC27040:2015附录B中通过确定优先次序选择适当的存储安全控制措施，取代的是采用新标准附录A中总结的包含的要求和指南两类控制项。

ISO27040核心

ISO27040认证的流程

1、了解认证标准和要求，确定申请的级别和范围；

2、提交申请材料，包括企业的基本信息、数据存储安全管理制度、技术方案等；

3、审核机构对企业或组织的数据存储安全管理体系进行审核；

4、企业对审核过程中发现的不符合事项进行整改；

5、如果审核通过，颁发数据存储安全管理体系认证证书。

ISO27040认证对企业的价值

1、数据安全合规现已成为企业常态化的管理要求之一，ISO27040作为信息安全存储领域的特有标准，为组织提供了详细的技术指导，从而适当的减缓风险级别。

2、该国际标准中也对不同的存储技术及存储介质处理给出了指南要求，便于组织落地实施。

3、ISO27040作为存储安全领域最佳的实践管理体系标准，通过认证有助于成功建立业务关系，提高所提供存储服务的安全性、信任度和保障，是客户在选择供应商时的一个关键差异化因素。

ISO27040企业好处

ISO27040认证如何运作

ISO27040认证建立在ISO27001信息安全管理体系认证的基础上，可以选择先进行ISO27001认证后再进行ISO27040认证，也可以选择两个体系同时认证。ISO27040认证过程它涉及存储安全的全生命周期管理，包括存储安全风险识别、选择相应的存储技术和服务、存储方案的设计、存储方案的实施、数据清理及验证过程等，根据不同的存储技术和方案的控制要求进行评估。

ISO27040运作

办理流程

体系实施流程

所需材料

ISO27040包含七个简短条款和三个附件，内容包括：

1.标准范围

2.理解和使用ISO27040必不可少的其他标准清单

3.从其他标准引入或在本标准中定义的术语

4.标准中使用的缩写词和首字母缩略词的列表

5.关键存储和存储安全性概念概述以及相关风险信息

6.描述了支持存储安全技术体系结构的控件，包括直接附加存储（DAS），存储网络，存储管理，基于块的存储，基于文件的存储，基于对象的存储以及安全服务。

7.提供有关存储安全性设计和实施的指南（例如，设计原则；数据可靠性，可用性和弹性；数据保留；数据机密性和完整性；可视化；以及设计和实施注意事项）

常见问题

证书上显示哪些信息？

主要有证书编号、公司名称、公司认证规模大小（小、中、大）、业务范围、证书有效期、发证机构名称。
证书办理需要多久？

根据公司复杂度的不同，周期会略有浮动。一般情况下，办理认证需要三个月左右。
公司认证规模大小如何定义？

1-50人是属于小规模S，51-1000人是属于中规模M，大于1000人属于大规模L。

扩展支持服务

全生命周期保障服务 1. 建立基于项目制的PMO工作组，由客户经理和项目经理联合负责跟进项目进度、交付物、满意度等质量活动。
2. 项目生命周期过程中的任何不满，均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访，以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。

服务指标 全天候擎标在线，7×12小时的400电话和线上支持，提供现场/远程服务。我们承诺服务响应速度不超过60分钟。我们注重服务效率，在目标时间内保质保量的交付每一次服务。

工具支持 可提供ITSM运维工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用PIID表、软件建模工具、项目管理工具、知识库管理工具等系列解决方案。

知识中心 1. 通过咨询顾问和培训老师，可获取各类业务相关的标准库、知识库、文档库。
2. 标新领异，我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。

培训增值 1. 擎标每年不定期的举办培训公开课，签约客户均可享受优惠折扣和部分免费名额。
2. 部分基于线上的培训方式，受邀客户可以免费不计人数的参与研讨学习。