国家标准计划《网络安全技术 存储安全指南》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 浪潮电子信息产业股份有限公司 、北京工业大学 、公安部第三研究所 、华为技术有限公司 、联想（北京）有限公司 、新华三技术有限公司 。

本标准修改采用ISO/IEC国际标准：ISO/IEC 27040:2024。

采标中文名称:信息技术 安全技术 存储安全。

伴随新一代信息技术的快速发展，数据呈爆发式增长，愈来愈多组织面临着实施数据保护和安全措施的挑战，如：对存储技术的理解有误以及对存储技术的熟悉程度有限，或者由于管理者和系统管理员对固有风险或基本安全概念的理解有限，很多时候忽略了与存储系统和基础设施相关的安全性，这种情况将导致数字资产由于数据泄露，故意破坏，被劫持或其他恶意事件而处于的风险之中，因此迫切需要一个存储安全指南来指导存储解决方案提供商和信息系统的运营者开展应用。

本标准旨在：提供不同存储架构下，面对存储安全威胁和攻击面风险时所采取的合理安全控制措施，以缓解安全风险，一是减小对于整个存储市场不同存储产品风险缓解能力的实现难度，二是有助于使用网络存储的运营者对于数据存储的安全能力形成清晰的认识，进而更好地建设自有信息系统中的存储基础设施，进而帮助组织在存储时更好地保护数据。

本文件给出了存储安全的相关概念和定义，提供了与典型存储场景和存储技术领域相关的威胁、设计和控制方面的指南，说明组织如何通过采用经过充分验证的一致方法来规划、设计、记录和实施数据存储安全，从而实现适当级别的风险缓解。存储安全适用于数据存储在信息和通信技术（ICT）系统中以及通过与存储相关的通信链路传输时的数据保护。存储安全包括设备和介质的安全、与设备和介质、应用程序和服务相关的管理活动，以及在设备和介质的生命周期内以及使用结束或寿命终止后控制或监视用户活动。 主要技术内容为： 1 范围 2 规范性引用文件 3 术语和定义 5 文件结构 6 概述 7 存储的组织控制 8 存储的人员控制 9 存储的物理控制 10 存储的技术控制 附 录 A （资料性附录） 存储安全控制概要