分享好友 资讯首页 频道列表

ISO27017与CSASTAR的比较–两种领先的云安全标准的比较(ISO认证申请需要注意什么)

0
ISO27017与CSASTAR的比较–两种领先的云安全标准的比较(ISO认证申请需要注意什么)

随着云计算的指数级增长,各种规模的组织都必须了解有关在云中存储敏感数据的风险,以及研究和实施云安全选项。 为了支持这项工作,能够使用几种专门的云安全标准。

这些标准中的两个已在全球范围内引起关注:ISO 27017和CSA STAR 。 这篇文章比较了这些领先标准,包含每种标准旨在解决的用例。

CSA云安全联盟,安全信任和保证申请注册表( CSA STAR )是1个“计划,包含3个级别的保证(自我评估,第三方认证和持续审核),专门针对支持和评估云服务提供商( CSP)。 CSA STAR计划基于以下准则:

CSA云控制矩阵(CCM)是特定于云的安全控制的“元框架,映射到ISO 27001,PCI / DSS,HIPAA,COBIT和其他标准。 旨在提供“事实上的云安全保证和合规性标准,该标准能够指导CSP优化其安全状况,并协助公司评估CSP的安全状况。

共识评估计划问卷 ,一组是/否问题,准顾客或审计师能够要求云提供商评估其与云控制矩阵的一致性。

CSA符合GDPR的行为准则 ,该工具可协助CSP 遵守GDPR 。

利用这些资源,CSP能够基于包含CCM和ISO 27001要求的严格的第三方评估,对自身的安全控制进行自我评估和公开记录,和/或获得CSA STAR认证。 CSP不断发布有关其安全实践的数据的一种选择是“开发中。

ISO 27017是基于云服务的ISO/IEC 27002的信息安全控制规范描述性命名。 该框架以ISO 27001中定义的控件为基础,并在ISO 27002中进行了更详细的描述,它添加了附加的控件和实施指南,专门用于协助企业安全地设置和使用云服务来保护在云中存储和/或处理的信息。

ISO 27001中添加了最特定于云的指南的部分包含:

9.访问控制

12.运营安全

13.通讯安全

15.供应商关系

18.合规

ISO 27017满足了整个行业的需求,解决了CSP以及顾客围绕云安全性的各自角色和职责。 它阐明了谁负责什么控制,怎样在合同终止,分离和保护顾客的云环境时安全地删除/返回信息资产,监视顾客在云中的活动等。

ISO 27017不仅比CSA STAR更能为CSP和云用户提供指导。 云用户能够使用它在其信息安全管理系统(ISMS)中开发特定于云的控件,而CSP能够将其用作实现安全控件的指南。

ISO 27017本身不是管理标准,而是“实践准则。可是,在更广泛的ISO 27001认证审核的背景下,认证公司能够发布等同于ISO 27017的“符合性声明。 换句话说,要获得ISO 27017“认证,公司(包含CSP)必须同时或最初获得ISO 27001认证 。

哪种标准适合您的情况?

ISO 27017为将数据移动到云和/或在云中共享数据(包含CSP)的企业提供了价值。 CSA STAR更加全面,并且针对CSP。

云消费者将在27017中找到更大的价值。CSP将在27017和CSA STAR中找到价值,假如这是长期目标,则ISO 27017是通往CSA STAR的良好过渡点。 由于27017和CSA STAR在很大程度上覆盖了相同的领域,因此您无需支出更多的精力和成本即可实现这两个目标。

符合这两个标准的证明将协助企业建立与顾客和其他利益相关者的信任,展示竞争优势,保护其品牌/声誉,遵守GDPR或当地法规,并且最重要的是-保护他们的数据负责保护。

ISO27001认证费用一般是多少钱?(怎么申请ISO认证)
ISO27001认证费用ISO27001认证多少钱,这是我们企业在做ISO27001认证的情况下,比较关注的还是ISO27001认证价格怎样,这个关系到我们办理ISO27001信息安全体系认证证书的成本,其实ISO27001认证价格与诸多因素有关系,不能一概而论,价格都有一定的区别。小编整理I
哪些企业适合做ISO27001信息安全管理体系认证服务?(怎么申请ISO认证)
ISO27001即信息安全管理体系,它以其严格的审查标准和权威的认证体系,成为全球应用最广泛与典型的信息安全管理标准,主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。现在,ISO27001标准已得到了许多国家的认可,是国际上具有代表性的信息安全管理体系标准。什么
ISO13485:2003认证概况(怎么申请ISO认证)
ISO13485:2003认证概况ISO13485的概况 本规范是医疗器械生产和质量管理的基本准则,适用于医疗器械制剂生产的全过程生产中影响成品质量的关键工序。2003年,国际标准化组织“医疗器械质量管理和通用要求技术委员会(ISO/TC210)”发布
iso14000认证涉及到的法律法规(ISO认证申请需要注意什么)
ISO14000认证涉及到的法律法规1、中华人民共和国宪法2、中华人民共和国刑法3、中华人民共和国环境保护法4、中华人民共和国大气污染防治法5、中华人民共和国水污染防治法 6、中华人民共和国固体废物污染环境防治
ISO9000认证和ISO9001认证有什么区别?(iso9001资质申请)
ISO9000认证和ISO9001认证有什么区别?( ISO9001资质申请)根据IS09000—1给出的定义,IS09000族是指由ISO/TC176技术委员会制定的所有国际标准。那么由 ISO/TC176技术委员会制定的标准目前有多?众不一。准确的说
ISO27001信息安全管理体系认证所需材料清单(怎么申请ISO认证)
在审核以前,必须准备的资料有:1、公司简介;2、公司工商营业执照;3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等);4、组织结构图(部门架构和目前公司的主要人员姓名、归属部门、岗位);<
ISO20000IT服务管理体系认证咨询(怎么申请ISO认证)
ISO20000IT服务管理体系认证咨询2001年由英国政府计算机和电信中心(CCTA)整合而来的英国商务办公室(OGC),从20世纪80年代开始就致力于研究和解决“IT服务质量不佳”的问题。1989年,CCTA发布了一套10卷本的IT服务管理指南,这10本书系统地介绍了根据“最
家具ISO9000标准推行的重点?(ISO认证申请需要注意什么)
家具ISO9000标准推行的重点? 家具ISO9000认证往往由受益者(顾客、员工、所有者、分供方、社会)推动的,出于对外提供质量保证的必须,为满足顾客在订货时,向供方提出ISO9000认证的要求,而寻求家具ISO9000认证,即供方最高管理者处于被动状态,由受益者推动供方按顾客
深圳ISO9001认证质量管理体系持续改进的实施(ISO认证申请需要注意什么)
深圳ISO9001认证质量管理体系持续改进的实施深圳ISO9001认证在持续改进的实施过程中,我们重点抓了以下工作,促进质量管理体系的持续有效运行:1. 深圳ISO9001认证始终坚持预防为主。IS09000标准强调,所有的控制都应一针