CAN/CSA-ISO/IEC 27040:F18 (C2023)
Technologies de l’information — Techniques de sécurité — Sécurité de stockage (norme ISO/IEC 27040:2015 adoptée, première édition, 2015-01-15)
Product Details
Préface CSA
L’élaboration des normes dans le secteur des technologies de l’information est harmonisée à l’élaboration des normes à l’échelle internationale. Par l’intermédiaire du Comité technique CSA sur les technologies de l’information (CTTI), des Canadiens forment le Comité parallèle du CCN (CPC) ou sein du Comité technique 1 de l’ISO/IEC sur la technologie de l’information (ISO/IEC JTC1) pour le compte du Conseils canadien des normes (CCN), organisme membre de l’ISO pour le Canada et parrain du Comité national canadien de l’IEC. De plus, à titre de membre de l’Union internationale des télécommunications (UIT), le Canada participe aux travaux du Secteur de normalisation des télécommunications de l’UIT (UIT-T).
Par souci de brièveté, tout au long de ce document, il sera appelé « CAN/CSA-ISO/IEC 27040 ».
Cette Norme internationale a été revue par le CTTI de CSA sous l’autorité du Comité directeur stratégique CSA sur les technologies de l’information et les communications et jugée acceptable pour le Canada. Il arrive que de temps à autre, l’ISO/IEC publie des addenda, des corrigenda, etc. Le CTTI de CSA étudiera ces documents en vue de leur éventuelle publication. Pour prendre connaissance de la liste de ces documents, veuillez consultez la page Activités de normalisation en cours, laquelle est affichée au standardsactivities.csagroup.org. Cette norme a été officiellement approuvée, sans modifications, par le Comité technique et a été élaborée conformément aux exigences du Conseil canadien des normes concernant les Normes nationales du Canada. Cette norme a été publiée en tant que Norme nationale du Canada par Groupe CSA.
Domaine d’application
La présente Norme internationale donne des préconisations techniques détaillées concernant la manière dont les organismes peuvent définir un niveau approprié d’atténuation du risque grâce à l’emploi d’une approche reconnue et cohérente de la planification, la conception, la documentation et la mise en oeuvre de la sécurité de stockage des données. La sécurité du stockage s’applique à la protection (la sécurité) des informations là où elles sont stockées et à la sécurité des informations transférées au moyen des liaisons de communication associées au stockage. La sécurité du stockage comprend la sécurité des dispositifs et des supports, la sécurité des activités de management associées aux dispositifs et aux supports, la sécurité des applications et des services et la sécurité relative aux utilisateurs finaux pendant la durée de vie de leurs dispositifs et supports et après la fin de leur utilisation.
La sécurité du stockage concerne toute personne impliquée dans la possession, l’exploitation ou l’utilisation de dispositifs, supports et réseaux de stockage de données. Il s’agit des cadres supérieurs, des acheteurs de produits et services de stockage et d’autres gestionnaires ou utilisateurs non techniciens, outre les gestionnaires et administrateurs ayant des responsabilités spécifiques en matière de sécurité de l’information ou de sécurité du stockage, d’exploitation du stockage, ou responsables du programme général de sécurité et du développement des politiques de sécurité de l’organisme. Elle concerne également toute personne impliquée dans la planification, la conception et la mise en oeuvre des aspects architecturaux de la sécurité des réseaux de stockage.
La présente Norme internationale propose une description générale des concepts de sécurité du stockage et des définitions associées. Elle comprend des préconisations concernant les aspects relatifs aux menaces, à la conception et au contrôle ainsi que des scénarios de stockage et des technologies de stockage typiques. Elle donne de plus des références à d’autres Normes internationales et rapports techniques qui traitent des pratiques et techniques existantes pouvant être appliquées à la sécurité du stockage.