盖蒂图片/iStockphoto

管理 学习应用最佳实践并优化您的运营。

采用数据存储安全标准以确保法规遵从性

数据存储安全标准对于审计活动的准备和确保遵从至关重要。本文将研究解决数据存储安全性的标准。

标准有助于确保合规性,并可为组织在任何学科的审计活动做好准备。数据存储安全标准可以为保护提供有用的指导。

从法律合规的角度来看,数据存储安全至关重要。组织可能用于诉讼的数据必须既安全又容易访问。这个需求也适用于业务操作数据。

机密性、完整性和可用性是保护和保护数据的关键。管理员必须解决物理问题,例如存储介质、存储设备的位置、对设备的访问以及支持该设备的基础设施。它们还必须考虑非物理元素,如数据访问控制、数据备份和存储应用程序、身份验证和数据加密。这将有助于提供最佳的安全数据存储环境。

下面,我们将研究数据存储安全的关键标准。这不是一个详尽的列表,但将涵盖目前影响数据存储安全的六大标准和法规遵从性法规。

ISO/IEC 27040:2015,信息技术——安全技术——存储安全

这个国际标准,是由国际标准化组织,指定了对物理、技术和管理控制的需要,以保护存储系统及其相关基础架构以及其中存储的数据。ISO/IEC 27040定义的控制可以是预防性、检测性、纠正性、威慑性、恢复性或补偿性,也可以是这些属性的组合。该标准提供了有关如何管理数据存储安全的所有方面的技术指导,从初始规划和设计到实施、文档编制和日常管理、测试和审查。

风险缓解数据存储是ISO/IEC 27040中的一个关键要素,它检查数据泄露和损坏的风险。该标准还涵盖了新技术和连接问题。根据ISO/IEC 27001:2013《信息技术——安全技术——信息安全管理系统——要求》,它符合信息安全管理系统的要求。

除了强烈的风险焦点外,该标准还旨在帮助组织为其数据提供最好的安全性,并作为设计、审查和审计存储安全控制的基础。

支付卡行业数据安全标准

支付卡行业数据安全标准(PCI DSS)2018年3.2.1版是一项全球信息安全标准,通过对信用卡数据实施强大的安全和访问控制,帮助公司防止欺诈。接受五大信用卡品牌(Visa、MasterCard、American Express、Discover和日本信用局)支付卡的机构必须遵守PCI DSS要求。

存储、处理或传输支付和持卡人数据的组织必须遵守PCI DSS。本标准的要求6专门针对组织“开发和维护安全系统和应用程序”的需要,如数据存储系统。

一般资料保护规例

2018年发布的《通用数据保护条例》(GDPR)规定了欧盟公民的个人数据必须如何受到拥有该数据的组织的保护,无论数据位于何处。GDPR规定企业如何收集、存储、处理和销毁数据. 数据存储安全是GDPR的一个重要组成部分,遵守该法规已成为全球IT部门的一个关键目标。

存储网络行业协会传输层安全规范

存储网络工业协会(SNIA)是一个非营利性的全球组织,致力于发展标准和教育计划来推进存储和信息技术。该协会就ISO数据存储安全标准、其作用以及如何描述数据存储安全的良好实践提供了自己的看法。

SNIA的传输层安全规范(Version 2.0, 2021)提供要求和指导用于TLS协议以及数据存储技术。这些要求旨在促进存储客户端和服务器的安全互操作性,以及可能具有特定互操作性需求的非存储技术。

NIST SP 800-209(2020)存储基础设施安全指南

美国国家标准与技术协会(NIST)特别出版物(SP)技术标准概述了存储技术的发展和演变,检查了当前的数据存储安全威胁,并提供了一套详细的安全建议和指南,以解决存储威胁。

NIST SP 800-209超越了传统IT基础设施元素,如物理和逻辑安全、访问控制和认证、变更管理、配置管理、事件响应和恢复。它检查存储基础设施问题,包括数据保护、网络、加密和存储设备安全。

HIPAA安全规则

健康保险可携性和责任法案(HIPAA)为电子保护健康信息的保护提供了广泛的可审核要求。安全规则有许多处理数据安全问题的部分。

例如,HIPAA数据备份计划要求规定:“建立和实施程序,以创建和维护受保护的电子健康信息的可检索的精确副本。”此外,加密和解密的访问控制要求表示:“实现加密和解密电子受保护健康信息的机制。”

深入了解数据存储法规遵从性和管理法规

搜索灾难复苏
搜索数据备份
搜索汇聚基础设施
Baidu