ISO27017是基于云服务的ISO27002的信息安全控制操作规范的指南。 ISO27017标准旨在帮助业务模型完全或部分依赖于云服务的组织。
ISO27017认识到云服务中可能出现的其他不可预测的安全风险,并提供相应的指南。 ISO27017提供了有关参与云服务的各方的责任的准则,尤其是在供应商或客户与服务提供商上下文中。
ISO27017还为服务提供商和客户提供了进行风险评估和实施控制的指南。 此外,ISO27017在以下情况下提供了有关在云服务中实施安全控制的行业和部门特定指南:
人力资源安全;
资产管理;
访问控制;
密码控制;
物理和环境安全;
运营安全;
通讯安全;
系统购置,开发和维护;
供应商关系;
信息安全事件管理;
业务连续性管理的信息安全方面;
合规性。
