ISO 27040-2015 信息技术安全技术存储安全管理手册程序文件制度文件表单一整套.doc

文件编号：HY-ISMS-A-2023

信息技术.安全技术.存储安全

管理手册

版本：v1.0

编制：信息技术.安全技术.存储安全小组

审核：

批准：

受控状态：

深圳市XX数字科技有限公司发布

发布日期：2023-4-3实施日期：

2023-4-3

变更记录

变更日期版本变更说明编写审核批准

信息技术.安全技

2023-4-3V1.0创建刘海燕黄静

术.存储安全小组

第2页共384页

目录

0.1管理手册发布令

0.2安全方针

0.3存储安全小组组长委任书

0.4组织简介

0.5公司组织架构图

1范围

2规范性参考文献

3术语和定义

4符号和缩略语

5概述和概念

5.1概述

5.2存储概念

5.3存储安全简介

5.4存储安全风险

5.4.1背景

5.4.2数据泄露

5.4.3数据损坏或销毁

5.4.4暂时或永久性的访问/可用性损失

5.4.5满足法定、监管或法律要求

6支持控制

6.1概述

6.2直连存储(DAS)

6.3存储网络

6.3.1背景

6.3.2存储区域网络(SAN)

6.3.3网络附加存储(NAS)

6.4存储管理

6.4.1背景

6.4.2认证和授权

6.4.3确保管理接口

6.4.4安全审计、会计和监控

6.4.5系统硬化

6.5基于块的存储

6.5.1光纤通道(FC)存储

6.5.2IP存储

6.6基于文件的存储

6.6.1基于nfs的NAS

6.6.2基于MB/CIFS的NAS

6.6.3基于并行NFS的NAS

6.7基于对象的存储

6.7.1云计算存储

6.7.2基于对象的存储设备(OSD)

6.7.3内容寻址存储器(CA)

6.8存储安全服务

6.8.1数据消毒

6.8.2数据保密

6.8.3数据缩减

7存储安全设计和实施指南

7.1概述

7.2存储安全设计原则

7.2.1纵深防御

7.2.2安全域

7.2.3设计弹性

7.2.4安全初始化

7.3数据可靠性、可用性和弹性

7.3.1可靠性

7.3.2可用性

7.3.3备份和复制

7.3.4灾难恢复和业务连续性

7.3.5弹性

7.4数据保留

7.4.1长期保留

7.4.2短期至中期保留

7.5数据保密性和完整性

7.6虚拟化

7.6.1存储虚拟化

7.6.2虚拟化系统的存储

7.7设计和实施注意事项

7.7.1加密和关键管理问题

7.7.2对齐存储和策略

7.7.3合规性

7.7.4保障多租户

7.7.5安全自主数据移动

8运行

8.1运行的规划和控制

8.2存储安全风险评估

8.3存储安全风险处置

9绩效评价

9.1监视、测量、分析和评价

9.2内部审核

9.3管理评审

10改进

10.1不符合和纠正措施

10.2持续改进

附件A(规范性)介质卫生处理

附件B(资料性附录)选择适当的存储安全控制

附件C(资料性)重要安全概念

附件1信息存储安全目标

附件2组织角色、职责和权限

附件3信息存储安全职责权限划分对照表

1

20.1管理手册发布令

深圳市XX数字科技有限公司

信息技术.安全技术.存储安全

管理手册发布令