一、 ISO27040 简介

ISO 27040标准旨在帮助计算机存储技术的购买者和用户确定和处理相关的信息风险，范围涵盖设备和媒体的安全性，与设备和媒体、应用程序/服务和最终用户有关的管理活动的安全性，以及与存储相关联的通信链路上传输信息的安全性。

ISO 27040标准采用经过充分验证的一致方法来规划、设计、记录和实施数据存储安全性，为组织如何定义适当的风险缓解水平提供详细的技术指导，是管理数据存储安全的最高执行性标准之一。

ISO 27040标准也界定并拓宽了存储安全性的边界，不仅仅包括存储方式、传输方式，浏览权限，还包括法律法规、人员管理、物资管理等，涵盖设备和介质的安全性、与设备和介质相关的管理活动的安全性、应用程序和服务的安全性，以及在设备和介质的使用寿命期间以及使用结束后与最终用户相关的安全性等各方面。

二、 ISO27040认证流程

1. 差距分析

2. 提交认证申请

3. 认证现场审核

4. 颁发证书

5. 年度监督审核

三、ISO27040申请条件

1.认证客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、社会团体登记证书、非企业法人登记证书等，可独立申请认证。其他类型的客户，应由具备资格的单位代为申请;

2.国家、地方或行业有要求时，认证客户具有规定的行政许可文件,其申请认证范围应在法律地位文件和行政许可文件核准的范围内;

3.认证客户承诺遵守国家的法律、法规及其他要求,承诺始终遵守认证的有关规定，承担与认证有关的法律责任，并有义务协助认证监管部门的监督检查，对有关事项的询问和调查如实提供相关材料和信息;

4.认证客户在全国企业信用信息公示系统中未被列入“严重weifa企业名单”;

四、ISO27040申请所需材料

1.公司简介;

2.公司营业执照;

3.其他相关资质(如ISO27001信息安全管理体系认证、软件著作权、专利、商标许可等);

4.公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位);

5.公司现有的业务流程;

6.提供有关存储安全性设计和实施的指南(例如，设计原则;数据可靠性，可用性和弹性;数据保留;数据机密性和完整性;可视化;以及设计和实施注意事项)。