ISO/IEC 27017是什么?
ISO/IEC 27017簡稱“云服務(wù)信息安全認證”�����。
ISO/IEC 27017是有關(guān)《信息技術(shù) - 安全技術(shù) – 基于ISO/IEC 27002的云服務(wù)信息安全控制的實施規(guī)程》的國際標準�����。該標準提供了適用于提供和使用云服務(wù)的信息安全控制指南��,包括如下方面:
① ISO/IEC 27002標準中有關(guān)控制的附加實施指南��。
② 帶有具體涉及云服務(wù)實施指南的附加控制��。
ISO/IEC 27017的適用性
ISO27017認證適用于云服務(wù)提供商和云服務(wù)客戶�����。
ISO27017與ISO27k系列標準之間的關(guān)系
ISO27017是基于ISO27001的增強版本����,旨在為云服務(wù)提供商和云服務(wù)客戶提供增強的控制能力,從而有助于讓云服務(wù)與傳統(tǒng)信息系統(tǒng)一樣安全可靠�����。
ISO/IEC 27017標準闡明了云服務(wù)提供商和云服務(wù)客戶雙方在幫助確保云服務(wù)安全可靠方面所扮演的角色和所承擔的責任����。
ISO/IEC 27017標準不僅提供了ISO/IEC 27002標準中37個控制基于云服務(wù)的指導方針,而且還介紹了7個全新的云服務(wù)控制措施�����,以解決以下問題:
? 負責云服務(wù)提供商和云客戶之間關(guān)系的人是誰
? 當合同終止時����,資產(chǎn)的移除/歸還
? 客戶虛擬環(huán)境的保護和分離
? 虛擬機配置
? 與云環(huán)境相關(guān)的管理操作和程序
? 云客戶監(jiān)控云中活動
? 虛擬和云網(wǎng)絡(luò)環(huán)境的對接
ISO 27017和ISO 27018都是基于ISO27002標準�����,并針對適用于公有云個人可識別信息(PII)的ISO27002控制體系提供了實施指南��。兩個標準都是基于ISO27001延伸����。
ISO 27017 提出比較多的改變安全控制�����。
ISO 27018 則是提出比較多新增安全控制��。
ISO27001因為是基礎(chǔ)的規(guī)范����,所以在進行ISO27017 or ISO27018之前,必須先經(jīng)過基本的ISO27001認證��。
基于ISO27001認證基礎(chǔ)下��,可增加的認證包括:
ISO27017: 云端對于個人隱私數(shù)據(jù)的產(chǎn)生����、儲存、管理��、通知�����、消除����、加密、傳輸?shù)忍幚恚?/span>
ISO27018 : 如果公司預計提供云服務(wù)��,相關(guān)云端維運的安全控制措施��;
ISO27040 : 網(wǎng)絡(luò)空間安全����,針對提供互聯(lián)網(wǎng)服務(wù)的企業(yè);
ISO27032 : 規(guī)劃�����、設(shè)計��、記錄和實施數(shù)據(jù)存儲安全性,為組織如何定義適當?shù)娘L險緩解水平提供詳細的技術(shù)指導�����,是管理數(shù)據(jù)存儲安全的最高執(zhí)行性標準之一��。其存儲安全性適用于存儲信息的保護(安全性)以及通過與存儲相關(guān)的通信鏈路傳輸?shù)男畔踩?/span>
從客戶服務(wù)來看��,ISO27001是業(yè)內(nèi)最基礎(chǔ)的信息安全認證����,容易得到大眾客戶的認可。
從信息安全來看����,ISO27017 / ISO27018 / ISO27040 / ISO27032更側(cè)重于細分領(lǐng)域的安全管控措施。
ISO/IEC 27017認證收益
1)增強外部信任 —— 讓您的客戶和利益相關(guān)者對其個人數(shù)據(jù)和信息的安全性更加放心����;
2)提高競爭優(yōu)勢 —— 通過最大限度地保護個人信息,讓您從競爭對手中脫穎而出��;
3)保護品牌聲譽 —— 降低因數(shù)據(jù)泄露引發(fā)的負面宣傳風險��;
4)降低風險 —— 確保風險被識別,并采取控制措施來管理或降低風險����;
5)防止罰款 —— 確保遵守當?shù)胤ㄒ?guī)�����,減少數(shù)據(jù)泄露的罰款風險����;
6)助力企業(yè)發(fā)展 —— 提供覆蓋不同國家/地區(qū)的通用準則,為在全球范圍內(nèi)開展業(yè)務(wù)和獲得作為首選供應商的機會提供便利性�����。
擎標神盾局可提供如下服務(wù):
1)提供基于國際最新標準的中文譯著����,其中多數(shù)為業(yè)內(nèi)首發(fā)版,包括:
《ISO22301:2019 業(yè)務(wù)連續(xù)性管理體系 要求》
《ISO27701:2019 隱私信息管理體系》
《ISO27018:2019 公有云中的個人身份信息(PII)保護實施規(guī)則》
《ISO27032:2012 網(wǎng)絡(luò)空間安全指南》
《ISO27040:2015 信息技術(shù)-安全技術(shù)-存儲安全》
《ISO29100:2011 隱私框架》
《ISO29134:2017 隱私影響評估指南》
《ISO29151:2017 個人身份信息保護實踐指南》
2)由AICF亞洲智能計算基金會授信的《GDPR符合性評估報告》
3)ISO27018/ISO27701/ISO29151 標準簡介/內(nèi)審員培訓
4)ISO27018/27701/ISO29151 隱私原則解讀
浙公網(wǎng)安備:33010502006920號
