ISO/IEC27040標(biāo)準(zhǔn)安全自主數(shù)據(jù)移動(dòng)控制措施

一、條款、目標(biāo)、控制措施

1、應(yīng)將數(shù)據(jù)移動(dòng)的配置策略限制為經(jīng)過(guò)身份驗(yàn)證和授權(quán)的特權(quán)用戶

2、建立配置的個(gè)人應(yīng)該熟悉源和目標(biāo)的安全屬性

3、實(shí)現(xiàn)或終止自主數(shù)據(jù)移動(dòng)的配置更改應(yīng)反映在審核日志中

4、所有自主數(shù)據(jù)移動(dòng)事務(wù)都應(yīng)反映在執(zhí)行數(shù)據(jù)移動(dòng)的系統(tǒng)的審核日志中

5、作為自主數(shù)據(jù)移動(dòng)事務(wù)的一部分，應(yīng)驗(yàn)證移動(dòng)數(shù)據(jù)的完整性（最好使用加密散列）

6、自主數(shù)據(jù)移動(dòng)事務(wù)不應(yīng)影響數(shù)據(jù)的真實(shí)性（例如，原始系統(tǒng)元數(shù)據(jù)（如創(chuàng)建日期、上次訪問(wèn)等）在移動(dòng)的數(shù)據(jù)中得到正確表示）

7、自主數(shù)據(jù)移動(dòng)事務(wù)不應(yīng)否定不變性或其他數(shù)據(jù)保存控制（例如，支持法律封存）

8、自主數(shù)據(jù)移動(dòng)事務(wù)不應(yīng)消除或削弱與數(shù)據(jù)相關(guān)的加密控制

9、跨系統(tǒng)的自主數(shù)據(jù)移動(dòng)事務(wù)應(yīng)包括對(duì)敏感和高價(jià)值數(shù)據(jù)的動(dòng)態(tài)數(shù)據(jù)加密

10、作為自主數(shù)據(jù)移動(dòng)事務(wù)的一部分，源數(shù)據(jù)或存儲(chǔ)媒體在釋放供重用之前應(yīng)進(jìn)行適當(dāng)?shù)南?nbsp;

11、與自主數(shù)據(jù)移動(dòng)一起執(zhí)行的清理還應(yīng)包括驗(yàn)證和某種形式的清理證明

12、自主數(shù)據(jù)移動(dòng)事務(wù)不應(yīng)導(dǎo)致數(shù)據(jù)跨安全域（例如，生產(chǎn)到開發(fā)環(huán)境）

13、自主數(shù)據(jù)移動(dòng)事務(wù)不應(yīng)導(dǎo)致數(shù)據(jù)移動(dòng)到證書和認(rèn)證不充分的系統(tǒng)

14、自主數(shù)據(jù)移動(dòng)事務(wù)不應(yīng)導(dǎo)致數(shù)據(jù)移動(dòng)到物理安全性不足的系統(tǒng)

1.準(zhǔn)備《安全自主數(shù)據(jù)移動(dòng)安全策略》

2準(zhǔn)備《安全審計(jì)、會(huì)計(jì)和監(jiān)控安全策略》

1. 是否依據(jù)《安全多租戶安全策略》實(shí)施管理

2 是否依據(jù)《安全審計(jì)、會(huì)計(jì)和監(jiān)控安全策略》實(shí)施管理