一、企业要做的内容

　　1.准备《保护管理接口安全策略》

　　2.准备《认证和授权安全策略》

　　3.准备《特权访问管理安全策略》

　　4.准备《远程工作安全策略》

　　5.准备《合作方访问管理安全策略》

　　6.准备《安全审计、会计和监控安全策略》

　　二、审核员关注的内容

　　1.是否依据《保护管理接口安全策略》实施保护

　　2.是否依据《认证和授权安全策略》实施保护

　　3.是否依据《特权访问管理安全策略》实施保护

　　4.是否依据《远程工作安全策略》实施保护

　　5.是否依据《合作方访问管理安全策略》实施保护

　　6.是否依据《安全审计、会计和监控安全策略》实施保护

　　三、条款、目标、控制措施

　　为了保护软件/固件接口，组织应:

　　A、使用防火墙和TCP包装器将对管理网络的访问限制为授权的系统和协议;

　　B、使用实体身份验证在存储系统和管理系统之间建立信任关系:

　　C、利用IDS和IPS机制识别和防范异常行为;

　　D、使用具有适当安全控制的ICT基础设施(域名系统或DNS、服务定位协议或SLP、网络时间协议或NTP)，以避免间接攻击;

　　E、使用适当的特权用户控件，包括身份验证、授权、和安全审核/监视:

　　F、确保操作系统和应用程序是最新的，并且对攻击有足够的防御能力

　　四、远程管理存储系统时应使用以下附加安全措施:

　　A、对所有远程访问使用安全通道(虚拟专用网或VPN、TLS、安全外壳或SSH、超文本传输协议安全或HTTPS)采用强认证或多因素认证;

　　B、将权限限制在所需的最小值(即，最小权限);

　　组织应设计组织和技术控制，以限制用于远程(非本地)供应商维护会话的管理接口

　　A、技术控制应将通信流量(即系统、端口和协议)限制在远程供应商维护操作所需的最低限度。B、在对访问方进行身份验证之后，应该在访问点设计额外的控件来授权供应商维护会话。其中包括接受、请求批准或拒绝请求的会话。

　　C、应生成包含供应商操作审核记录的适当日志

　　D、该组织应将拨号接入线路限制为授权接入方。

　　如您想更详细的了解ISO27040标准，需要IS027040标准，请您致电199-0343-9240，快人一步，成就管理者风范。