ISO27040:2015 数据存储安全管理体系关于合规性
遵守法律和监管要求已成为全球范围内的一个重要问题,这种合规性正在推动许多组织的安全议程和战略的重要部分。 除了ISO / IEC 27002:2013第18章中的相关合规性指南外,以下要素是信息系统(IS)审核员关注的存储系统和基础架构的关键合规性方面。
- 问责制
- 确保用户(尤其是特权用户)具有唯一的用户ID(即,没有共享帐户);
- 在可能的情况下,根据角色授予权利和特权;
- 记录所有尝试(成功和不成功)的管理事件和事务。
- 可追溯性
- 确保记录的事件/事务数据包含足够的应用程序或系统详细信息,以清楚地识别源;
- 确保用户信息可以追溯到特定的个人;
- 在适当的时候,将日志记录视为证据(监管链,不可否认性,真实性等)。
- 检测,监控和评估
- 确保存储层参与外部审计日志记录措施;
- 监控审核日志记录事件并发出相应的警报。
- 信息保留和清除
- 实施适当的数据保留措施;
- 实施适当的数据完整性和真实性措施;
- 在删除,重新利用或退役硬件时正确清理数据;
- 在生命周期结束时正确清理虚拟服务器映像及其副本。
- 隐私
- 实施适当的数据访问控制措施,以控制对数据和元数据的访问
(例如,搜索结果); 尽可能采取最小特权姿势;
- 实施适当的数据保密措施,以防止未经授权的披露。
- 法律
- 确保重复数据删除的使用不会与数据真实性要求相冲突;
- 确保数据和介质清理机制不违反保存令;
- 当处理证据数据(例如,审计日志,元数据,镜像,时间点副本等)时,确保遵循适当的监管链程序。
注:在审计存储系统和基础设施时,附件B可能是一种有用的资源。