颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢

    ISO/IEC 27017 为云服务商提供指南

    来源: 网络
    日期: 2020-05-19
    浏览次数:


    信息安全管理的黄金标准是ISO/IEC 27001以及ISO/IEC 27002中给出的指南。这些标准仍然是基础,但是该指南主要是在组织处理自己的信息的前提下编写的。 在共享安全责任的情况下,越来越多地采用托管IT和云服务正在挑战这一假设。 这并不是说这些标准和指南不适用于云,而是在需要外部处理信息的情况下需要对它们进行解释。 ISO/IEC 27017和ISO/IEC 27018标准提供了解决此问题的指南。


    ISO/IEC 27018建立了针对公共云计算环境保护个人身份信息的措施的控件和准则。 该准则以ISO/IEC 27002中指定的准则为基础,控制目标扩展到包括满足ISO/IEC 29100中的隐私原则所需的要求。这些准则很容易映射到现有的EU隐私原则上。 该标准对于帮助组织在使用公共云服务处理个人身份信息时确保合规性非常有用。 在这种情况下,云客户是数据控制器,并且根据当前的欧盟法律,仍应对数据处理器的违规行为负责。 为了提供这种级别的保证,一些云服务提供商已获得对其符合此标准的独立认证。


    新的ISO/IEC 27017提供了更广泛适用于云服务使用的指南。 针对现有的ISO/IEC 27002控件中的37个提供了具体指南; 针对云服务客户和云服务提供商提供了单独但互补的指南。 这强调了云服务安全性的共同责任。 这包括需要云客户制定使用云服务的策略以及云服务提供商向客户提供信息的政策。


    例如,关于限制访问(ISO 27001控制A.9.4.1),该指南是:

    云服务客户应确保可以根据其访问控制策略来限制对云服务中信息的访问,并确保实现这些限制。

    云服务提供商应提供访问控制,以允许云服务客户限制对其云服务,其云服务功能以及服务中维护的云服务客户数据的访问。

    此外,该标准还包括与云服务相关的7个其他控件。 这些新控件的编号符合现有的相关ISO/IEC 27002控件; 这些扩展控件涵盖:

    云计算环境中的角色和职责共享

    删除和返还云服务客户资产

    虚拟计算环境中的隔离

    虚拟机强化

    管理员的操作安全

    监控云服务

    虚拟和物理网络的安全管理对齐


    总之,ISO/IEC 27017云服务信息管理体系提供了非常有用的指南提供者,我们建议云客户和云服务提供者应遵循该指南。 尽管对云服务提供商而言,获得符合此标准的独立认证会有所帮助,但这并不能免除客户确保遵循指南的责任。


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开