ISO/IEC 27040:2015認證標準旨在幫助計算機存儲技術的購買者和用戶確定和處理相關的信息風險。 范圍涵蓋設備和媒體的安全性,與設備和媒體,應用程序/服務和最終用戶有關的管理活動的安全性,以及與存儲相關聯的通信鏈路上傳輸信息的安全性。
ISO27040:2015認證標準描述了與數據存儲相關的信息風險,并進行了控制以減輕風險。 目的是:
ISO27040認證提請注意與各種數據存儲技術上的信息的機密性,完整性和可用性有關的常見風險;
ISO27040鼓勵組織使用適當的信息安全控制措施來改善對存儲信息的保護;
例如,通過促進對保護存儲數據的信息安全控制措施的審查或審核來提高保證。
ISO27040認證涵蓋了與備份/災難恢復位置和云存儲相關的信息安全問題,以及與各種數據存儲技術,介質和子系統( 例如 SAN,NAS和CAS)上的主/本地存儲相關的信息安全問題。
還介紹了介質清理(銷毀存儲在各種類型的存儲介質上的數據)。
ISO27040認證標準非常詳細,超過100頁。 它提到了許多特定的存儲技術,這對于ISO27k標準也是不常見的,因為它們通常是通用的,因此是永恒的。