ISO27001認(rèn)證
熱線:
Q Q:ISO/IEC 27017--為云服務(wù)商提供指南
發(fā)布時(shí)間:2020-06-16 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
信息安全管理的黃金標(biāo)準(zhǔn)是ISO / IEC 27001和ISO / IEC 27002中給出的指南。這些標(biāo)準(zhǔn)仍然是基礎(chǔ),但是該指南主要是在組織處理自己的信息的前提下編寫的。在共享安全責(zé)任的情況下,越來越多的人采用托管的IT和云服務(wù)正受到挑戰(zhàn)這一假設(shè)。 這并不是說這些標(biāo)準(zhǔn)和準(zhǔn)則不適用于云,而是在需要外部處理信息時(shí)需要對(duì)其進(jìn)行調(diào)整。
ISO / IEC 27017和ISO / IEC 27018標(biāo)準(zhǔn)提供了解決此問題的準(zhǔn)則。
ISO / IEC 27018建立了用于保護(hù)個(gè)人身份信息以實(shí)現(xiàn)公共云計(jì)算環(huán)境保護(hù)的措施的控制和準(zhǔn)則。 指引基于ISO / IEC27002中指定的標(biāo)準(zhǔn),控制目標(biāo)已擴(kuò)展為包括滿足ISO / IEC 29100中的隱私原則需要。 這些準(zhǔn)則可以輕松地映射到現(xiàn)有的歐盟隱私原則。 該標(biāo)準(zhǔn)旨在幫助組織使用公共云服務(wù)來處理個(gè)人身份信息。確保合規(guī)性非常有用。 在這種情況下,云客戶是數(shù)據(jù)控制器,并且根據(jù)當(dāng)前的歐盟法律,它仍會(huì)響應(yīng)數(shù)據(jù)處理器違規(guī)負(fù)責(zé)合規(guī)。 為了提供這種級(jí)別的保證,一些云服務(wù)提供商已獲得獨(dú)立認(rèn)證,證明它們符合此標(biāo)準(zhǔn)。
新的ISO / IEC 27017提供了更廣泛適用于云服務(wù)使用的準(zhǔn)則。 對(duì)于現(xiàn)有的ISO / IEC27002個(gè)控件中的37個(gè)提供了具體準(zhǔn)則; 為云服務(wù)客戶和云服務(wù)提供商提供了單獨(dú)的補(bǔ)充準(zhǔn)則。 這強(qiáng)調(diào)了云服務(wù)的安全性共同的責(zé)任。
這包括云客戶需要制定使用云服務(wù)的策略以及云服務(wù)提供商向客戶提供信息的策略。
例如,關(guān)于受限訪問(ISO 27001控制A.9.4.1),準(zhǔn)則是:
云服務(wù)客戶應(yīng)確保可以根據(jù)其訪問控制策略來限制對(duì)云服務(wù)中信息的訪問,并確保已實(shí)施這些限制。
云服務(wù)提供商應(yīng)提供訪問控制,以允許云服務(wù)客戶限制其云服務(wù),其云服務(wù)功能和服務(wù)保持對(duì)云服務(wù)客戶數(shù)據(jù)的訪問。
此外,該標(biāo)準(zhǔn)還包括其他7個(gè)與云服務(wù)相關(guān)的控件。 這些新控件的數(shù)量與現(xiàn)有相關(guān)控件的數(shù)量一致ISO / IEC 27002控制 這些擴(kuò)展控件涵蓋:
云計(jì)算環(huán)境中的角色和責(zé)任共享
刪除并返回云服務(wù)客戶資產(chǎn)
虛擬計(jì)算環(huán)境中的隔離
虛擬機(jī)強(qiáng)化
管理員的操作安全
監(jiān)控云服務(wù)
虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的安全管理對(duì)齊
簡(jiǎn)而言之,ISO / IEC 27017提供了非常有用的指南提供商,我們建議云客戶和云服務(wù)提供商應(yīng)遵循該指南。 盡管對(duì)于云服務(wù)提供商來說,獲得符合此標(biāo)準(zhǔn)的獨(dú)立認(rèn)證是有幫助的,但它并不能免除客戶確保遵守準(zhǔn)則的責(zé)任。
