ISO27040:2015 数据存储安全管理体系关于合规性

添加时间：2020-10-09 12:16:49 浏览：

遵守法律和监管要求已成为全球范围内的一个重要问题，这种合规性正在推动许多组织的安全议程和战略的重要部分。除了ISO / IEC 27002：2013第18章中的相关合规性指南外，以下要素是信息系统（IS）审核员关注的存储系统和基础架构的关键合规性方面。

- 问责制

- 确保用户（尤其是特权用户）具有唯一的用户ID（即，没有共享帐户）;

- 在可能的情况下，根据角色授予权利和特权;

- 记录所有尝试（成功和不成功）的管理事件和事务。

- 可追溯性

- 确保记录的事件/事务数据包含足够的应用程序或系统详细信息，以清楚地识别源;

- 确保用户信息可以追溯到特定的个人;

- 在适当的时候，将日志记录视为证据（监管链，不可否认性，真实性等）。

- 检测，监控和评估

- 确保存储层参与外部审计日志记录措施;

- 监控审核日志记录事件并发出相应的警报。

- 信息保留和清除

- 实施适当的数据保留措施;

- 实施适当的数据完整性和真实性措施;

- 在删除，重新利用或退役硬件时正确清理数据;

- 在生命周期结束时正确清理虚拟服务器映像及其副本。

- 隐私

- 实施适当的数据访问控制措施，以控制对数据和元数据的访问

（例如，搜索结果）; 尽可能采取最小特权姿势;

- 实施适当的数据保密措施，以防止未经授权的披露。

- 法律

- 确保重复数据删除的使用不会与数据真实性要求相冲突;

- 确保数据和介质清理机制不违反保存令;

- 当处理证据数据（例如，审计日志，元数据，镜像，时间点副本等）时，确保遵循适当的监管链程序。

注：在审计存储系统和基础设施时，附件B可能是一种有用的资源。

分享到：

下一篇：无