什么叫ISO27017为何云顾客和提供商应该关注
ISO 27017是国际标准化组织(ISO)专门针对云计算的相对较新的出版物。
ISO 27017与其他几个ISO标准一起使用。 这些包含:
ISO 27001:管理整体信息安全管理系统的准则
ISO 27002:组织能够使用的特定安全控制列表
ISO 27017:在云中运行的通常安全准则
ISO 27018:专门针对怎样保护云中的个人数据的准则
实际上,ISO 27017建立在ISO 27002的基础上:它为某些安全控制提供了额外的细节,并添加了一些新的控制,以增加与云计算领域的关联性。
ISO 27017中的指南是针对云服务的提供商和顾客而设计的。 它指出,云计算的工作方式代表着有可能拥有1个供应链,在该供应链中,同一组织既能够是云服务顾客,也能够是云服务提供商。
开发ISO 27017的目的不仅仅是云服务提供商维护安全性的问题。 相反,顾客将必须评估提供商的安全控制,其次顾客可能不得不调整自己的活动以满足其安全要求。
ISO 27017具有与ISO 27002类似的结构,即可能的安全控件的清单格式。 各个组织可能必须决定这些控件中的什么控件与他们的情况相关,这可能取决于它们作为云服务提供商,顾客或两者的状态。 一些控件以相同的方式应用于提供商和顾客,而其他控件则具有单独的条目。
关键差异
ISO 27017添加到ISO 27002的最重要的特定于云的指南解决了备份问题。
云服务顾客应指定他们必须从提供商那里获得什么备份功能,验证所提供的服务是否满足他们的需求,并在服务不足时自行安排; 而云服务提供商应提供“对备份的安全且分开的访问,并提供备份功能的规范。
建议在规范中解决的一些问题包含:
备份范围和时间表
备份方式
资料格式
加密
保留期
备份数据的完整性
恢复程序和时间表
测试中
备份的物理位置。
ISO 27017中最重要的新控件涉及虚拟计算环境中的隔离。 他们的关键原则是要保护顾客的虚拟环境免受别人(包含其他顾客)的未经授权的访问。 这要求对数据和资源进行“适当的逻辑隔离,并考虑到容许顾客运行自己的软件的风险。
什么叫ISO27018
什么叫ISO27018?
ISO 27018建立了公认的控制目标,控制和准则,用于根据公共云计算环境的ISO/IEC 29100中的隐私原则实施保护个人身份信息(PII)的措施。
云为组织和消费者带来了诸多好处:节省成本,灵活性和对信息的移动访问是最重要的。 它还引起了对数据保护和隐私的担忧; 特别是围绕个人身份信息(PII)。 PII包含能够识别特定用户的任何信息。 最明显的例子包含姓名和联络方式或您母亲的娘家姓。 可是,人们可能不会轻易想到医疗记录,IP地址和银行对帐单。
已发布ISO/IEC 27018,以容许基础结构已通过标准认证的云服务提供商告知其现有顾客和潜在顾客其数据受到保护,不会被用于未经他们明确同意的任何目的。
ISO 27018有什么好处?
激发您对企业的信任–为顾客和利益相关者提供更大的保证,即个人数据和信息受到保护。
竞争优势–通过最大限度地保护个人信息,在竞争对手中脱颖而出
保护您的品牌保护–减少由于数据泄露而引起的不利宣传的风险
降低风险–确保识别风险,并采取控制措施来管理或降低风险
防止罚款–确保遵守当地法规,减少数据泄露的罚款风险
协助您发展业务-提供不同国家/地区的通用准则,使在全球开展业务变得更容易,并能够作为首选供应商
什么行业执行ISO 27018?
ISO 27018认证适用于任何部门的大型或小型组织。
该标准特别适用于在云端环境中存储个人资料(例如薪水单,HR或顾客付款明细)的保护。 现在,GDPR现已生效,对于组织而言,证明合规性并显示其怎样保护数据(尤其是未存储在1个位置的数据)至关重要。
假如您的组织已经在实施ISO 27001 ISMS,则符合ISO 27001的70%规定。可是,假如您使用的是基于云的技术,则ISO 27018被视为有效的附加标准,由于公司希望专门通过存储在云中的数据证明GDPR的合规性。