ISO27040認(rèn)證標(biāo)準(zhǔn)的內(nèi)容

時間：2020-08-11作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：139

ISO27040的概述和簡介
ISO27040的目的是為存儲系統(tǒng)和生態(tài)系統(tǒng)以及這些系統(tǒng)中的數(shù)據(jù)保護(hù)提供安全指導(dǎo)。它支持ISO27001中*的一般概念
ISO27040**標(biāo)準(zhǔn)適用于組織內(nèi)與信息安全風(fēng)險管理有關(guān)的管理人員和員工,以及在適當(dāng)情況
下支持此類活動的外部各方。
本**標(biāo)準(zhǔn)的目標(biāo)是:
宣傳風(fēng)險，幫助組織較好地保護(hù)其數(shù)據(jù)，為設(shè)計(jì)和審核存儲安全控件提供基礎(chǔ)。
ISO27040針對ISO27002中描述的常規(guī)安全控制提供了與存儲安全相關(guān)的特定,詳細(xì)的實(shí)施指南。
ISO27040**標(biāo)準(zhǔn)不是法規(guī)和法律安全要求的參考或規(guī)范性文件,因?yàn)樗鼈儠驀?地區(qū)而異。
ISO27040包含七個簡短條款和三個附件,內(nèi)容包括
1.標(biāo)準(zhǔn)范圍；
2.理解和使用ISO27040**的其他標(biāo)準(zhǔn)清單；
3.從其他標(biāo)準(zhǔn)引入或在本標(biāo)準(zhǔn)中定義的術(shù)語；
4.標(biāo)準(zhǔn)中使用的縮寫詞和首字母縮略詞的列表；
5.關(guān)鍵存儲和存儲安全性概念概述以及相關(guān)風(fēng)險信息；
6.描述了支持存儲安全技術(shù)體系結(jié)構(gòu)的控件,包括直接附加存儲(DAS),存儲網(wǎng)絡(luò),存儲管理,基于塊的
存儲,基于文件的存儲,基于對象的存儲以及安全服務(wù)；
7.提供有關(guān)存儲安全性設(shè)計(jì)和實(shí)施的指南(例如,設(shè)計(jì)原則;數(shù)據(jù)可靠性,可用性和彈性;數(shù)據(jù)保留;數(shù)據(jù)
機(jī)密性和完整性;可視化;以及設(shè)計(jì)和實(shí)施注意事項(xiàng))。
附件A特定于介質(zhì)的消毒指南,包括加密擦除(與 NIST SP 800-88r1相似)
附件B根據(jù)數(shù)據(jù)敏感性或安全**級(機(jī)密性,完整性或可用性)選擇適當(dāng)?shù)陌踩刂频谋?
附件C重要安全性和存儲概念的描述(微型教程)

如您想較詳細(xì)的了解ISO27040標(biāo)準(zhǔn)，需要ISO27040標(biāo)準(zhǔn)，請您搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• ISO27001認(rèn)證信息安全風(fēng)險評估

  ISO27001認(rèn)證信息安全風(fēng)險評估，是實(shí)施風(fēng)險評估的前提，為了保證評估過程的可控性以及評估結(jié)果的客觀性，在信息安全風(fēng)險評估實(shí)施前應(yīng)進(jìn)行充分的準(zhǔn)備和計(jì)劃信息安全風(fēng)險評估的準(zhǔn)備活動包括： (1)確定信息安全風(fēng)險評估的目標(biāo) 在ISO27001信息安全風(fēng)險評估準(zhǔn)備階段應(yīng)明確風(fēng)險評估的目標(biāo)，為信息安全風(fēng)險評估的過程提供導(dǎo)向。信息安全需求是一個組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息安全要求，通過分析

• ISO20000-確定服務(wù)管理系統(tǒng)的范圍

  1、所需活動 組織確定信息服務(wù)管理體系的邊界和適用性，以確定其范圍。 2、說明 此必要活動的目的是使用收集到的內(nèi)外部因素和相關(guān)方的要求，以明確界定那些組織部分和那些服務(wù)將包括在信息服務(wù)管理體系中。因此，建立范圍是決定實(shí)施信息服務(wù)管理體系的所有其他活動的必要基礎(chǔ)的關(guān)鍵活動。 組織在確定信息服務(wù)管理體系范圍時考慮以下輸入： a） 內(nèi)部和外部因素； b） 相關(guān)方的需求和期望； c） 向客戶提供的服務(wù)或服

• ISO20000--了解相關(guān)方需求和期望

  1、所需活動 組織應(yīng)確定與信息服務(wù)管理體系有關(guān)的相關(guān)方及其要求。 2、說明 此項(xiàng)必要活動的目的是確保組織確定相關(guān)方的要求，以支持信息服務(wù)管理體系提供服務(wù)。相關(guān)方是指能夠影響或可能受與信息服務(wù)管理體系相關(guān)的決定或活動影響的個人或團(tuán)體。它們可以是組織內(nèi)部的，也可以是組織外部的。相關(guān)方也可以被稱為利益相關(guān)者。 例：相關(guān)方可以包括客戶和客戶代表、高管，組織內(nèi)的管理代表、客戶管理、人員、支持職能(例如.技術(shù)

• ISO/IEC 27017標(biāo)準(zhǔn)結(jié)構(gòu)

  為了方便大家較好、較深層次的理解與運(yùn)用ISO/IEC 27017:2015標(biāo)準(zhǔn)，北京廣匯聯(lián)合認(rèn)證**組，全新詮釋ISO/IEC 27017:2015 標(biāo)準(zhǔn)結(jié)構(gòu)。 標(biāo)準(zhǔn)要求： 本標(biāo)準(zhǔn)的結(jié)構(gòu)格式類似于ISO/IEC27002。本標(biāo)準(zhǔn)包括ISO/IEC27002*5至18條，說明其文本對每一條款和段落的適用性。 如適用ISO/IEC27002所指明的目標(biāo)和管制而無須提供任何額外資料，則只提供ISO/