2024年1月26日，ISO國際標準化組織發布了新版ISO/IEC 27040:2024信息技術-安全技術-存儲安全國際標準，替代了之前發布的ISO/IEC 27040:2015版標準，該標準主要帶來以下變化：

截圖來源：ISO/IEC 27040:2024 - Information technology — Security techniques — Storage security

數據要素正在成為數字經濟深化發展的核心引擎，是打造未來企業的原生驅動力和企業重要資產。越來越多的信息被數字化，越來越多的產品、服務、流程以數字化方式呈現，數據呈現出海量高速增長態勢，數據存儲作為數據生命周期管理中最重要的環節之一，組織面臨著如何實施數據存儲保護和安全措施以應對數字資產被破壞的挑戰，包括法規的遵從性、數據泄露、故意破壞或其他惡意事件等。ISO/IEC 27040國際標準為組織中的存儲安全系統建立、實施和維護提供了指南，特別支持符合以ISO/IEC 27001信息安全管理系統(ISMS)的要求為基礎的存儲安全控制。

新版標準主要變化

001、控制項四個類別的要求之上進行擴充

標準的條款結構與 ISO/IEC 27001:2022 附錄 A保持一致，存儲安全控制項從組織、人員控制、物理控制、技術控制四個類別的要求之上進行擴充。ISO/IEC 27040:2024標準結構如下：

002、加入了存儲安全控制基線集的要求，且使用副標題

在原ISO/IEC 27040:2015版標準中，存儲安全控制項多為指南性要求;而在新標準匯總，加入了存儲安全控制基線集的要求，為了幫助識別這些基準控制和關鍵指導，標準中使用了副標題。這些副標題包括一個帶有描述的控制標簽。控制標簽采用xx-yyyy-cnn的形式展示，將存儲安全控制項被分成要求(R)和指南(G)兩個部分，在組織控制(OC)、物理控制(PC)和技術控制(TC)章節分別加入了要求(R)部分，這些要求(R)需在存儲系統安全控制中進行滿足。

003、調整了儲存技術，增加新的控制方案

由于存儲技術升級迭代，新版中對存儲技術進行了調整，增加了新的控制方案，如新增了“10.14.4存儲快照”、“10.15數據歸檔和存儲”的存儲技術控制要求。

004、細化說明數據加密傳輸要求

數據加密傳輸要求方面，進一步進行了細化說明，如TLS，IP Security。

005、刪除指導方案

刪除了 ISO/IEC 27040:2015附錄 A 中關于清理不同類型介質上存儲數據的指導方案，取而代之的是在標準10.6.3章節中增加了推薦采用 IEEE 2883中適用的不同介質的數據清理方案。

006、刪除存儲安全控制措施

刪除了 ISO/IEC 27040:2015附錄 B中通過確定優先次序選擇適當的存儲安全控制措施，取代的是采用新標準附錄 A 中總結的包含的要求和指南兩類控制項。

建設ISO 27040存儲安全管理體系

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/news/202403/xwif_48450.html