3月标准速递｜新版ISO/IEC 27040:2024存储安全标准发布，带来哪些变化？

新版ISO/IEC 27040:2024标准发布

数据要素正在成为数字经济深化发展的核心引擎，是打造未来企业的原生驱动力和企业重要资产。越来越多的信息被数字化，越来越多的产品、服务、流程以数字化方式呈现，数据呈现出海量高速增长态势，数据存储作为数据生命周期管理中最重要的环节之一，组织面临着如何实施数据存储保护和安全措施以应对数字资产被破坏的挑战，包括法规的遵从性、数据泄露、故意破坏或其他恶意事件等。ISO/IEC 27040国际标准为组织中的存储安全系统建立、实施和维护提供了指南，特别支持符合以ISO/IEC 27001信息安全管理系统(ISMS)的要求为基础的存储安全控制。

2024年1月26日，ISO国际标准化组织发布了新版ISO/IEC 27040:2024信息技术-安全技术-存储安全国际标准，替代了之前发布的ISO/IEC 27040:2015版标准，该标准主要带来以下变化：

新版标准主要变化

001控制项四个类别的要求之上进行扩充

标准的条款结构与 ISO/IEC 27001:2022 附录 A保持一致，存储安全控制项从组织、人员控制、物理控制、技术控制四个类别的要求之上进行扩充。

002加入了存储安全控制基线集的要求，且使用副标题

在原ISO/IEC 27040:2015版标准中，存储安全控制项多为指南性要求；而在新标准汇总，加入了存储安全控制基线集的要求，为了帮助识别这些基准控制和关键指导，标准中使用了副标题。这些副标题包括一个带有描述的控制标签。控制标签采用xx-yyyy-cnn的形式展示，将存储安全控制项被分成要求（R）和指南（G）两个部分，在组织控制（OC）、物理控制（PC）和技术控制（TC）章节分别加入了要求（R）部分，这些要求（R)需在存储系统安全控制中进行满足。

003调整了储存技术，增加新的控制方案

由于存储技术升级迭代，新版中对存储技术进行了调整，增加了新的控制方案，如新增了“10.14.4存储快照”、“10.15数据归档和存储”的存储技术控制要求。

004细化说明数据加密传输要求

数据加密传输要求方面，进一步进行了细化说明，如TLS，IP Security。

005删除指导方案

删除了 ISO/IEC 27040:2015附录 A 中关于清理不同类型介质上存储数据的指导方案，取而代之的是在标准10.6.3章节中增加了推荐采用 IEEE 2883中适用的不同介质的数据清理方案。

006删除存储安全控制措施

删除了 ISO/IEC 27040:2015附录 B中通过确定优先次序选择适当的存储安全控制措施，取代的是采用新标准附录 A 中总结的包含的要求和指南两类控制项。

建设ISO 27040存储安全管理体系

BSI始终处于信息安全标准的前沿，我们拥有丰富的经验和支持服务来帮助您充分利用ISO/IEC 27040标准框架，提高您在数据安全存储方面的安全能力。