ISO27017是什么
ISO27017 是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的专门针对云服务信息安全的国际标准,属于 ISO/IEC 27000 系列标准的一部分。它为云服务提供商和云服务客户提供了在云计算环境中建立、实施、维护和持续改进信息安全管理体系(ISMS)的指南。
一、标准背景与目的
背景:随着云计算技术的广泛应用,云服务的安全性问题日益受到关注。为了应对云计算特有的安全挑战,ISO/IEC 制定了 ISO27017 标准。
目的:为云服务提供商和云服务客户提供一个共同的信息安全控制框架,确保云服务的安全性和客户数据的保护。
二、核心内容
ISO27017 标准基于 ISO/IEC 27002 标准,并增加了针对云服务的特定控制措施。其核心内容包括:
云服务角色和责任:
明确云服务提供商和云服务客户之间的共同角色和责任,确保双方在信息安全方面的协作。
新的控制措施:
引入了针对云服务的全新控制措施,例如:
虚拟环境的安全管理:确保虚拟化环境的安全配置和隔离。
多租户环境的安全:防止不同租户之间的数据泄露和干扰。
云服务客户资产的移除和归还:在合同终止时,确保客户数据的完整移除或安全归还。
增强的现有控制措施:
对 ISO/IEC 27002 中的现有控制措施进行了增强,以适应云计算环境的需求。
三、适用范围
云服务提供商:为其他组织或个人提供云计算服务的机构,如公有云、私有云或混合云服务提供商。
云服务客户:使用云服务提供商提供的云计算服务的组织或个人。
四、标准的意义
增强客户信任:
通过遵循 ISO27017 标准,云服务提供商能够向客户展示其对信息安全的承诺和能力,增强客户对云服务的信任。
满足合规要求:
帮助云服务提供商和云服务客户满足国内外关于云服务信息安全的法规和标准要求,如 GDPR(通用数据保护条例)等。
系统化安全管理:
提供了一套系统化的信息安全管理体系框架,帮助组织规范安全操作流程,提高安全管理的效率和一致性。
全面风险管理:
识别和控制云计算环境中的特定风险,如数据泄露、服务中断、恶意攻击等,确保业务的连续性和数据的保密性、完整性。
促进业务创新:
在安全的前提下,支持云服务提供商和云服务客户采用新技术、新业务模式,推动业务发展和创新。
五、与其他标准的关系
与 ISO27001 的关系:
ISO27017 是 ISO27001 在云服务领域的扩展和补充。ISO27001 提供了信息安全管理体系的通用要求,而 ISO27017 则针对云计算环境的特点,提供了具体的控制措施和指南。
与 ISO27002 的关系:
ISO27017 基于 ISO27002 中的控制措施,并增加了针对云服务的特定要求。ISO27002 提供了信息安全管理的最佳实践,而 ISO27017 则将这些最佳实践应用于云计算环境。
六、实施 ISO27017 的步骤
了解标准:
详细了解 ISO27017 标准的要求和适用范围,评估其对组织的适用性。
建立体系:
根据 ISO27017 标准的要求,结合组织的业务特点和实际情况,建立一套完整的信息安全管理体系。
实施控制:
实施 ISO27017 标准中规定的控制措施,确保云计算环境的安全性。
内部审核:
定期进行内部审核,检查信息安全管理体系的运行情况,及时发现和纠正问题。
管理评审:
进行管理评审,评估信息安全管理体系的适宜性、充分性和有效性,确保其能够持续满足组织的信息安全需求。
持续改进:
根据内部审核和管理评审的结果,对信息安全管理体系进行持续改进和优化。
七、认证与优势
认证:
云服务提供商和云服务客户可以通过获得 ISO27017 认证来展示其在云服务信息安全方面的专业能力和严谨态度。
优势:
提升竞争力:在竞争激烈的云服务市场中,ISO27017 认证是区分服务提供商的重要标志,有助于吸引注重安全性的客户。
降低风险:通过系统化的安全管理,减少因数据泄露、安全事件等带来的法律诉讼和财务损失风险。
满足合规:确保组织满足国内外关于云服务信息安全的法规和标准要求,避免处罚和法律责任。
