什么是ISO27017认证?
ISO 27001系列标准可以帮助客户解决其中一些担忧,然而新标准——ISO/IEC 27017信息技术—安全技术, 则能够更进一步解决问题, 使潜在云客户更加安全放心地使用。 详尽说明云供应商控制 及指导原则的传统云标准和技术标准均旨在云服务供应商。而ISO/IEC 27017标准独特和极具益 处的优势在于,它为CSP和云服务客户均提供了指导原则和建议。 除了确保服务安全之外, ISO/IEC 27017还旨在让客户真正明白他们应当从其云主机获得什么。
ISO/IEC 27017《信息技术 -- 安全技术 -- 基于ISO/IEC 27002的云服务信息安全控制的实用规则》
ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用,为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是,ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。
ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
1、负责云服务提供商和云客户之间关系的人是谁
2、当合同终止时,资产的移除/归还
3、客户虚拟环境的保护和分离
4、虚拟机配置
5、与云环境相关的管理操作和程序
6、云客户监控云中活动
7、虚拟和云网络环境的对接
ISO 27017认证的好处
委托敏感客户数据的任何云提供商都可能会从ISO 27017中受益。该标准通过提供云环境独有的指导来帮助组织,并解决了许多云提供商的痛点,例如在云计算中角色和职责的划分环境。
该标准可以帮助组织根据其环境的特定需求增强其信息安全管理系统。 此外,利用ISO 27017标准可以使组织降低云服务组织固有的风险以及潜在的破坏成本。
如何利用ISO 27017认证
由于ISO 27017不是管理标准,因此无法严格按照ISO 27017控件对组织进行认证。 但是,可以通过在ISO 27001认证审核范围内添加其他ISO 27017控件来帮助组织,以确保公司可以证明符合ISO 27017标准。
