ISO/IEC 27040:2015标准护航数据的安全

译 / 王雯雯

ISO/IEC 27040:2015标准护航数据的安全

译 / 王雯雯

安全地存储和保护数据比简单地备份要复杂得多，业务系统中累积的资料是企业不可或缺的宝贵资产，从商业和法律的角度来看，及时、安全且有效地储存数据势在必行。然而，数据管理的过程可以是相当复杂，涉及范围不仅是存储方式，亦包括浏览的权限及如何在广泛的媒体和通讯过程中安全地传达数据。一份以数据存储的安全为目的的崭新国际标准，将能确保您的宝贵资料安然无恙。

为此，国际标准化组织一个新的国际标准（ISO）和国际电工委员会（IEC）制定了ISO/IEC 27040:2015《资讯科技 安全技术 存储安全》。该标准为企业提供关于如何有效地管理数据安全储存方面的指导，从规划、设计到实施均有相关规定。它仅会作为企业标准而非针对个人的标准而存在。该系列扩大了在资讯保安领域的范围，不仅仅包含隐私、保密以及资讯科技层面，更包含了包括法律、人员管理，物资管理等诸多方面，从而可以使其适合各种大小的组织。根据标准，每个与资讯相关的组织都应该根据基本系列进行相关的资讯保护风险评估，并藉由相关的知识和建议实施适当的资讯管控。

透过ISO/IEC 27040:2015《资讯科技 安全技术 存储安全》中详细的技术指引，企业可采用成熟和一致的方法来为数据存储安全进行规划、设计、实施及文件化，从而定义风险减缓的适当级别。

该标准包括数据泄露和遭受破坏的风险缓解指导，同时亦考虑到新技术和连通性的复杂状况，进一步支援ISO/IEC 27001:2013资讯安全管理标准的要求。在新的方面，标准包括对减轻数据泄露和腐败风险的指导，并同时兼顾了新技术和连接的复杂性。它解决了云存储环境下长期保留数据的安全性，同时支持信息安全管理体系的所有要求。

总体来讲，ISO/IEC 27040:2015旨在：

● 帮助提醒对风险的关注；

● 帮助企业在存储数据的时候更好地保护它们；

● 为存储安全控制的审核、设计和审查提供基础准则。

该标准是由联合技术委员会（ISO/IEC JTC1) 和SC27分技术委员会制定，另有一部分仍然在制定之中。标准文本由国际标准化组织直接销售，本土化及译本标准则有相关国家标准组织销售。

（原文：Keeping Data Safe with a New International Standard，来源：ANSI官网）