ISO/IEC 27040:2015標準護航數據的安全

譯 / 王雯雯

ISO/IEC 27040:2015標準護航數據的安全

譯 / 王雯雯

安全地存儲和保護數據比簡單地備份要復雜得多，業務系統中累積的資料是企業不可或缺的寶貴資產，從商業和法律的角度來看，及時、安全且有效地儲存數據勢在必行。然而，數據管理的過程可以是相當復雜，涉及范圍不僅是存儲方式，亦包括瀏覽的權限及如何在廣泛的媒體和通訊過程中安全地傳達數據。一份以數據存儲的安全為目的的嶄新國際標準，將能確保您的寶貴資料安然無恙。

為此，國際標準化組織一個新的國際標準（ISO）和國際電工委員會（IEC）制定了ISO/IEC 27040:2015《資訊科技 安全技術 存儲安全》。該標準為企業提供關于如何有效地管理數據安全儲存方面的指導，從規劃、設計到實施均有相關規定。它僅會作為企業標準而非針對個人的標準而存在。該系列擴大了在資訊保安領域的范圍，不僅僅包含隱私、保密以及資訊科技層面，更包含了包括法律、人員管理，物資管理等諸多方面，從而可以使其適合各種大小的組織。根據標準，每個與資訊相關的組織都應該根據基本系列進行相關的資訊保護風險評估，并藉由相關的知識和建議實施適當的資訊管控。

透過ISO/IEC 27040:2015《資訊科技 安全技術 存儲安全》中詳細的技術指引，企業可采用成熟和一致的方法來為數據存儲安全進行規劃、設計、實施及文件化，從而定義風險減緩的適當級別。

該標準包括數據泄露和遭受破壞的風險緩解指導，同時亦考慮到新技術和連通性的復雜狀況，進一步支援ISO/IEC 27001:2013資訊安全管理標準的要求。在新的方面，標準包括對減輕數據泄露和腐敗風險的指導，并同時兼顧了新技術和連接的復雜性。它解決了云存儲環境下長期保留數據的安全性，同時支持信息安全管理體系的所有要求。

總體來講，ISO/IEC 27040:2015旨在：

● 幫助提醒對風險的關注；

● 幫助企業在存儲數據的時候更好地保護它們；

● 為存儲安全控制的審核、設計和審查提供基礎準則。

該標準是由聯合技術委員會（ISO/IEC JTC1) 和SC27分技術委員會制定，另有一部分仍然在制定之中。標準文本由國際標準化組織直接銷售，本土化及譯本標準則有相關國家標準組織銷售。

（原文：Keeping Data Safe with a New International Standard，來源：ANSI官網）