2024年1月26日，ISO国际标准化组织发布了新版ISO/IEC 27040:2024信息技术-安全技术-存储安全国际标准，替代了之前发布的ISO/IEC 27040:2015版标准，该标准主要带来以下变化：

数据要素正在成为数字经济深化发展的核心引擎，是打造未来企业的原生驱动力和企业重要资产。越来越多的信息被数字化，越来越多的产品、服务、流程以数字化方式呈现，数据呈现出海量高速增长态势，数据存储作为数据生命周期管理中最重要的环节之一，组织面临着如何实施数据存储保护和安全措施以应对数字资产被破坏的挑战，包括法规的遵从性、数据泄露、故意破坏或其他恶意事件等。ISO/IEC 27040国际标准为组织中的存储安全系统建立、实施和维护提供了指南，特别支持符合以ISO/IEC 27001信息安全管理系统(ISMS)的要求为基础的存储安全控制。

001

控制项四个类别的要求之上进行扩充

标准的条款结构与 ISO/IEC 27001:2022 附录 A保持一致，存储安全控制项从组织、人员控制、物理控制、技术控制四个类别的要求之上进行扩充。ISO/IEC 27040:2024标准结构如下：

002

加入了存储安全控制基线集的要求，且使用副标题

在原ISO/IEC 27040:2015版标准中，存储安全控制项多为指南性要求；而在新标准汇总，加入了存储安全控制基线集的要求，为了帮助识别这些基准控制和关键指导，标准中使用了副标题。这些副标题包括一个带有描述的控制标签。控制标签采用xx-yyyy-cnn的形式展示，将存储安全控制项被分成要求（R）和指南（G）两个部分，在组织控制（OC）、物理控制（PC）和技术控制（TC）章节分别加入了要求（R）部分，这些要求（R)需在存储系统安全控制中进行满足。

控制类别	要求（R）	指南（G）
OC-组织控制	2	11
SC-人员控制	0	2
PC-物理控制	1	4
TC-技术控制	30	137

003

调整了储存技术，增加新的控制方案

由于存储技术升级迭代，新版中对存储技术进行了调整，增加了新的控制方案，如新增了“10.14.4存储快照”、“10.15数据归档和存储”的存储技术控制要求。

004

细化说明数据加密传输要求

数据加密传输要求方面，进一步进行了细化说明，如TLS，IP Security。

005

删除指导方案

删除了 ISO/IEC 27040:2015附录 A 中关于清理不同类型介质上存储数据的指导方案，取而代之的是在标准10.6.3章节中增加了推荐采用 IEEE 2883中适用的不同介质的数据清理方案。

006

删除存储安全控制措施

删除了 ISO/IEC 27040:2015附录 B中通过确定优先次序选择适当的存储安全控制措施，取代的是采用新标准附录 A 中总结的包含的要求和指南两类控制项。