ISO27040数据存储安全管理体系认证,ISO27701标准的结构

ISO27040数据存储安全管理体系认证

ISO27040信息技术-安全技术-存储安全标准提供了详细的技术指南，以指导组织怎样通过采用经过验证的一致方法来计划，降低数据存储安全性的计划，设计，文档编制和实施，以定义适当的风险缓解水平。存储安全性适用于存储信息的保护（安全性）以及跨与存储相关联的通信链路传输的信息的安全性。存储安全性包含设备和介质的安全性，与设备和介质有关的管理活动的安全性，应用程序和服务的安全性以及在设备和介质的生命周期内以及使用结束后与最终用户有关的安全性。

存储安全与所有拥有，操作或使用数据存储设备，媒体和网络的人有关。除负责信息安全性或存储安全性，存储操作或对组织的整体安全性负有特定责任的经理和管理员外，这包含高级经理，存储产品和服务的获取方以以及他非技术经理或用户。程序和安全策略开发。它也与参与存储网络安全性体系结构方面的规划，设计和实施的任何人都相关。

ISO27040认证概述了存储安全性概念和相关定义。它包含与典型存储方案和存储技术领域相关的威胁，设计和控制方面的指南。除此之外，它还提供了其他国际标准和技术报告的参考，这些标准和报告涉及可应用于存储安全性的现有实践和技术。

据IDC发布《数据时代2025》的报告预测，全球数据总量到2025年将达到175ZB。与数据同步增长还有数据安全风险，2018年公开披露的数据泄露事件达到6500起，涉及50亿条数据记录，其中三分之二来自商业组织，政府占13.9%，医疗行业占13.4%，教育业占6.5%，给全球带来了巨大的商业损失，也为社会安全造成了威胁。针对日益复杂的信息环境和不断增长的信息安全需求，特别是存储安全需求，国际标准化组织ISO和国际电工委员会IEC制定了ISO/IEC27040:2015标准，旨在协助企业提升数据安全存储管理能力。

除此之外，ISO27040认证标准也界定并拓宽了存储安全性的边界，不仅仅包含存储方式、传输方式，浏览权限，还包含法律法规、人员管理、物资管理等，涵盖设备和介质的安全性、设备和介质相关的管理活动的安全性、应用程序和服务的安全性，以及在设备和介质的使用寿命期间、使用结束后与最终用户相关的安全性等各方面。

ISO27040认证标准采用经过充分验证的一致方法来规划、设计、记录和实施数据存储安全性，为组织怎样定义适当的风险缓解水平提供详细的技术指导，是管理数据存储安全的最高执行性标准之一。其存储安全性适用于存储信息的保护(安全性)以及通过与存储相关的通信链路传输的信息的安全性。

ISO27701标准的结构

ISO27701标准的要求分为以下几个章节：

ISO27701第5章概述了与ISO27001相关的PIMS要求。

ISO27701第6章概述了与ISO27002相关的PIMS要求。

ISO27701第7章概述了控制器的PIMS指南。

ISO27701第8章概述了针对处理器的PIMS指南。

ISO27701第5章：与ISO27001相关的PIMS要求

本章包含对ISO27001的许多引用，并且本质上旨在针对具有隐私相关要求的现有ISMS进行升级。 通常，这代表着在ISO27001中“信息安全性中提到的任何地方都应阅读或用“信息安全性和隐私性代替（另请参阅第5.1段）。 下表列出了一些示例，说明了应用这些更改并不是火箭科学。

除了应用此通常更改外，还将涵盖ISO27001的所有章节。 下面将参考ISO27701段落编号（在方括号中）探讨最重要的更改。

组织环境（5.2）

要评估的第1个主题是您的组织是个人数据的控制者和/或处理者。 除此之外，检查有关隐私的相关法律和法规也很重要。 应该对可能影响PIMS预期结果的相关内部和外部因素进行概述。 其他示例包含合同要求，还包含合作伙伴和其他相关方的角色。

领导的参与（5.3）

对于领导层的参与，没有针对隐私的特定要求。

规划和目标（5.4）

隐私风险的处理方式与ISO27001中的信息安全风险的处理方式相同。能够应用集成的信息安全和隐私风险评估，也能够创建两个单独的流程。 关于风险处理，必须考虑到ISO27701附件A和B中提到的隐私控制。

支持包含资源和沟通（5.5）

本段仅包含对ISO27001的第7章的引用。

运营方面（5.6）

本段仅包含对ISO27001的第8章的引用。

绩效评估（5.7）

本段仅包含对ISO27001第9章的引用。

持续改进（5.8）

本段仅包含对ISO27001第10章的引用。

添加以上与隐私相关的要求将为隐私信息管理系统或PIMS提供基础。

ISO27701第6章：与ISO27002相关的PIMS要求

在本节中，将特定的隐私要求添加到ISO27002中的现有信息安全控件中 。 第6章中提到的两个控件在这里值得一提，由于它们说明了隐私和安全程序之间的交集：

保护测试数据

该控件指出，除了ISO27002控件14.3.1之外，不应将个人身份信息用于测试目的。 优良作法是将虚拟数据用于测试目的，由于测试环境易受攻击。

信息安全事件管理

与安全相关的事件可能会导致个人数据泄露。 在一些国家/地区，有关于违规报告的法规。 不仅必须在技术层面上管理此类事件的内部责任，并且还必须用于通知有关当局或数据主体的程序。

ISO27701第7章：针对管制员的GDPR指南

本章包含针对个人信息控制者的多项GDPR合规性检查。 可是，根据GDPR，大多数控制措施都是强制性的。 涵盖的主题有：

处理个人数据的合法依据

同意管理

数据保护影响评估（DPIA）

数据处理协议

促进数据主体权利

通过设计和默认原则实施隐私

数据出口到第三国

ISO27701第8章：处理器的GDPR指南

本章包含针对个人信息处理者的多项GDPR合规性检查。 可是，根据GDPR，大多数控制措施都是强制性的。 涵盖的主题有：

加工条件

数据保护原则

通过设计和默认原则实施隐私

数据出口到第三国