Norma ISO/IEC 27040:2015
- Detalji
- Kreirano Utorak, 03 Veljača 2015 10:08
- Hitovi: 4929
Tehnički odbor JTC 1 (Joint Technical Committee) Međunarodne organizacije za normizaciju (ISO)i Međunarodne elektrotehničke komisije (IEC) objavio je u siječnju 2015. godine normu ISO/IEC 27040:2015, Information technology – Security techniques – Storage security. Norma je sastavni dio niza normi ISO 27000 koji se odnosi na upravljanje sigurnošću informacija, a svrha joj je definiranje smjernica za očuvanje sigurnosti informacija pohranjenih u sustavima za pohranu podataka.
Norma ima za zadatak:
• skrenuti pozornost na važnost informacijskih sigurnosnih rizika povezanih sa zaštitom povjerljivosti, cjelovitosti i dostupnosti pohranjenih podataka;
• poticanje organizacija za poboljšanje njihove zaštite pohranjenih podataka pomoću implementacije odgovarajućih sigurnosnih kontrola;
• stvoriti temelj za provedbu audita procesa uspostavljenih za pohranu i kasniju pronalažljivost informacija.
Norma podržava opće pojmove navedene u normi ISO/IEC 27001, a relevantna je za tvrtke koje već imaju uspostavljen sustav upravljanja sigurnošću informacija. ISO/IEC 27040 sadrži specifične i provedbene smjernice relevantne za ispunjenje općih sigurnosnih kontrola opisanih u normi ISO/IEC 27002.
Norma ima sedam poglavlja i tri aneksa.
U prvom poglavlju je definiran opseg primjene norme, u drugom je dan popis drugih normi koje su neophodne za razumijevanje i korištenje same norme dok su u trećem sadržani nazivi i definicije.
Četvrto poglavlje sadrži popis korištenih kratica i akronima, a u petom je dan pregled ključnih koncepata za skladištenje i pohranu informacija, uključujući i upravljanje pripadajućim rizicima.
Šesto poglavlje opisuje kontrole koje se odnose na sigurnosne aspekte tehničke arhitekture – izravna pohrana (DAS), mrežna pohrana, upravljanje pohranom, blok-based, file-based i object-based pohranu.
Sedmo poglavlje pruža smjernice za projektiranje i implementaciju sigurnosti pohrane: načela dizajna, pouzdanost podataka, dostupnosti i elastičnost, zadržavanje podataka, povjerljivost i integritet podataka, vizualizacija, te dizajn i implementaciju.
U prilozima norme su dane smjernice za odabir odgovarajuće sigurnosne kontrole na temelju osjetljivosti podataka ili sigurnosnih prioriteta (povjerljivost, integritet, ili dostupnosti) te opisi važnih sigurnosnih koncepata (autentifikacija, autorizacija, prava pristupa, enkripcija i sl.).
Jedan od aspekata upravljanja informacijskom sigurnošću koji je obuhvaćen ovom normom je i aspekt sanitizacije, a pod kojim se smatra onemogućavanje da se prostori za pohranu informacija po prestanku korištenja zloupotrijebe na način da omoguće neovlašten pristup podacima koji su se nekada na njima nalazili.
Sve smjernice i zahtjevi sadržani u normi nisu obvezni za korištenje svakoj organizaciji pa su slijedom toga u informativnom dodatku B norme sadržane sve moguće kontrole (mehanizmi) od kojih organizacija s obzirom na kategoriju i važnost inormacija koje posjeduje odabire one koje su joj prikladne.
Norma se u izvorniku može kupiti na internetskoj stranici ISO-a, www.iso.org.
Izvor:Svijet kvalitete
DNV
TUV
INFRASTRUKTURA KVALITETE
URS
OCJENJIVANJE SUKLADNOSTI
SUPERA KVALITETA
ICR
KVALITETA U SEKTORIMA
ZNAKOVI KVALITETE
NORME
CQ
EFZG
BVC
SEMINARI
SGS
KONFERENCIJE
SUSTAVI UPRAVLJANJA
METROTEKA
SIQ
NAJČITANIJE
LITERATURA
MENADŽMENT
EG
