ISO27017标准的具体内容是什么
ISO27017 标准的具体内容
ISO27017.全称 ISO/IEC 27017 云服务信息安全管理体系(Cloud Services Information Security Management System,简称 CSISMS),是针对云服务环境下信息安全性的国际标准。该标准建立在 ISO/IEC 27001 信息安全管理体系框架和 ISO/IEC 27002 最佳实践控制设置的基础之上,为云服务提供商和云服务客户提供了详细的信息安全控制指南。以下是 ISO27017 标准的具体内容:
一、核心领域
ISO27017 标准涵盖了云服务信息安全管理的多个核心领域,包括:
云服务提供商的安全策略和控制:
明确云服务提供商在信息安全方面的策略和控制措施,确保云服务的安全性和可靠性。
云服务提供商的运营管理:
包括供应链安全、合同管理、服务备份和恢复等,确保云服务的运营过程符合信息安全要求。
客户数据和应用程序的安全性:
涉及隐私保护、网络安全、身份验证和访问控制等,确保客户数据和应用程序在云中得到充分保护。
二、新增控制措施
ISO27017 标准不仅基于 ISO/IEC 27002 提供了多个控制措施的针对云服务的特殊要求,还介绍了全新的云服务控制措施,以解决云服务特有的信息安全问题。这些新增的控制措施包括:
云服务提供商和云服务客户关系的管理:
明确双方在信息安全方面的角色和责任,确保协作顺畅。
合同终止时的资产处理:
规定当合同终止时,如何安全地移除或归还云服务客户的资产。
客户虚拟环境的保护和分离:
确保不同客户的虚拟环境相互隔离,防止数据泄露和干扰。
虚拟机配置管理:
对虚拟机进行安全配置,防止安全漏洞和攻击。
云环境相关操作的管理和监控:
对云环境中的操作进行管理和监控,确保操作符合信息安全要求。
云服务客户监控云中活动:
允许云服务客户监控其在云中的活动,增强透明度和信任度。
虚拟和云网络环境的对接:
确保虚拟网络和云网络环境的对接安全,防止网络攻击和数据泄露。
三、适用范围
ISO27017 标准适用于云服务提供商和云服务客户,不仅与将信息存储在云中的组织有关,还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。
四、实施意义
实施 ISO27017 标准对云服务提供商和云服务客户具有重要意义,包括:
增强客户信任:通过展示对信息安全的承诺和能力,增强客户对云服务的信任。
满足合规要求:帮助组织满足国内外关于云服务信息安全的法规和标准要求。
系统化安全管理:提供一套系统化的信息安全管理体系框架,规范安全操作流程。
全面风险管理:识别和控制云计算环境中的特定风险,确保业务的连续性和数据的保密性、完整性。
提升竞争力:在竞争激烈的云服务市场中,ISO27017 认证是区分服务提供商的重要标志。
