ISO/IEC 27017:2015是基于ISO/IEC 27002的云服务信息安全控制的实施规范,ISO/IEC 27018:2014是公共云作为个人信息(PII)处理者的信息安全控制规范,这两个标准则是联合技术委员会ISO/IEC JTC 1 SC 27开发小组开发的,其小组也开发过ISO/IEC 27001标准。
ISO27001信息安全管理体系—要求:
ISO 27002 信息技术—安全技术—信息安全管理实践规范
ISO 27017 针对云服务的信息安全控制提供了实施指导。
ISO 27018 是首个专注于云中个人数据保护的国际行为准则。
ISO 27017和ISO 27018都是基于ISO 27002标准,并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。
两个标准都是基于ISO 27001延伸。
ISO 27017 提出比较多的改变安全控制。
ISO 27018 则是提出比较多新增安全控制。
ISO 27017是基于ISO 27002延伸的标准。 主要目的在于提供云端服务厂商一个云端建置与维运的安全规范。
ISO 27017与ISO27002主要的差异在于:ISO27017额外规范云端安全的建置与维护。
ISO 27017于2015-12-15官方正式公布。
ISO 27017认证的方式有可能会与ISO 27001认证审核一并进行。
ISO 27001/ISO 27002与ISO 27017 标准的差异部分:
ISO 27001/ISO 27002 标准 | ISO 27017 标准额外增加的差异 |
A5 信息安全方针 | 中 |
A6 信息安全组织 | 中 |
A7 人力资源安全 | 中低 |
A8 资产管理 | 中低 |
A9 访问控制 | 高 |
A10 密码学 | 中 |
A11 物理和环境安全 | 中低 |
A12 操作安全 | 中高 |
A13 通信安全 | 中高 |
A14 信息系统获取、开发和维护 | 中 |
A15 供应商关系 | 中高 |
A16 信息安全事件管理 | 中 |
A17 信息安全方面业务连续性管理 | 低 |
A18 符合性 | 中高 |
什么是 ISO 27018?
ISO 27018更着重于个人隐私数据保护,基于ISO 27002的基础上,延伸定义新增个人资料的隐私保护。
ISO 27018于2014-8-1正式公布。
ISO 27001/ISO 27002与ISO 27018 标准的差异部分:
ISO 27001/ISO 27002 标准 | ISO 27018 标准额外增加的差异 |
A5 信息安全方针 | 中 |
A6 信息安全组织 | 低 |
A7 人力资源安全 | 低 |
A8 资产管理 | 低 |
A9 访问控制 | 低 |
A10 密码学 | 低 |
A11 物理和环境安全 | 低 |
A12 操作安全 | 高 |
A13 通信安全 | 低 |
A14 信息系统获取、开发和维护 | 低 |
A15 供应商关系 | 低 |
A16 信息安全事件管理 | 中 |
A17 信息安全方面业务连续性管理 | 低 |
A18 符合性 | 中 |
ISO27001 or ISO 27018 or ISO 27017?
ISO 27001因为是最基础的规范,所以在进行 ISO 27018 or ISO 27017之前,必须先经过基本的ISO 27001认证。
基于ISO 27001 认证基础下,可以思考额外包含:
ISO 27018 : 如果公司预计提供云端服务,相关云端维运的安全控制措施
ISO 27017: 云端对于个人隐私数据的产生、储存、管理、通知、消除、加密、传输等处理。
从市场营销的观点来看,ISO 27001是可以获得一个认证,因此容易得到客户的认可。
从信息安全来看,ISO 27018 or ISO 27017 更偏重于信息安全管制措施。