一、什么是 ISO 27017
ISO 27017,叫云服务信息安全管理体系,是基于ISO 27002延伸的标准。主要目的在于提供云端服务厂商一个云端建置与维运的安全规范。ISO/IEC 27017:2015 行为守则专为组织设计,用作在根据 ISO/IEC 27002:2013 实施云计算信息安全管理系统时选择云服务信息安全控制措施的参考。 云服务使用的越来越多,云服务商怎么提供能保证客户信息安全的云服务,ISO27017云服务信息安全管理体系可以帮您!此外,云服务提供商还可将其用作实施公认的保护控制措施的指南文档。
此国际标准基于 ISO/IEC 27002 提供了特定于云的附加实施指南,并针对 ISO/IEC 27002:2013 第 5-18 条中特定于云的信息安全威胁和风险提供了附加控制措施、实施指南和其他信息。 具体来说,此标准提供了 ISO/IEC 27002 中有关 37 个控制措施的指南,以及在 ISO/IEC 27002 中未重复的 7 个新控制措施。
ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
1、云计算环境中的共享角色和职责
2、合同终止时删除和退回云服务客户资产
3、保护客户的虚拟环境并将其与其他客户的虚拟环境分离
4、强化要求以满足业务需求的虚拟机
5、云计算环境的管理操作程序
6、使客户能够监视云计算环境中的相关活动
7、协调虚拟和物理网络的安全管理
二、基于ISO/IEC 27002的云服务信息安全控制的实用规则
如果您的组织正服务于云服务提供商或考虑将您的业务转移到云端,通过ISO27017的认证,可以有效地保护数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。在进行ISO27017之前,必须先经过基本的ISO27001认证。ISO27017认证也可以与1SO27001认证审核一并进行。
由于云服务所具备的灵活性、连续性以及可扩展性等诸多优势,越来越多的企业将其业务部署在云上,期望借助云服务来驱动业务实现成功。与此同时,出于对安全的担忧,许多组织对云服务的安全性仍顾虑重重。
ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用,为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是,ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。
三、办理流程
四、云服务提供商如何从ISO/IEC 27017认证中受益
1、驱使他人对您企业的信任感——让您的客户和利益相关者对其数据和信息的安全性更加放心。
2、提供竞争优势——展示对数据保护的稳健控制。
3、保护品牌声誉——降低因数据泄露引发的负面宣传风险。
4、防止罚款——确保遵守当地法规,降低对数据泄露的罚款风险。
5、助力企业发展——提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。
