ISO/IEC27017:2015是基于ISO/IEC27002的云服務(wù)信息安全控制的實(shí)施規(guī)范,ISO/IEC27018:2019是公共云作為個(gè)人信息(PII)處理者的信息安全控制規(guī)范,這兩個(gè)標(biāo)準(zhǔn)則是聯(lián)合技術(shù)委員會(huì)ISO/IECJTC 1 SC 27開發(fā)小組開發(fā)的,其小組也開發(fā)過ISO/IEC27001標(biāo)準(zhǔn)。
ISO/IEC27017和ISO/IEC27018的由來
最近幾乎每一項(xiàng)市場(chǎng)調(diào)查都預(yù)測(cè)云服務(wù)的快速擴(kuò)張。著名的信息和通信技術(shù)市場(chǎng)研究公司加特納(Gartner)預(yù)測(cè),云計(jì)算市場(chǎng)從2012年的1100億美元增長(zhǎng)到2017年的1310億美元,整體增長(zhǎng)了18.6%、。思科全球云指數(shù)、預(yù)測(cè)IaaS和SaaS服務(wù)正分別以13%的復(fù)合年增長(zhǎng)率和33%的復(fù)合年增長(zhǎng)率快速成長(zhǎng)。
現(xiàn)在差不多所有的個(gè)人和消費(fèi)層面的應(yīng)用均為云端應(yīng)用。但是,在企業(yè)、政府和公共服務(wù)環(huán)境中云服務(wù)的采用依然不高。根據(jù)Ciphercloud研究,合規(guī)性(64%)和數(shù)據(jù)安全(32%)是云應(yīng)用最大的兩個(gè)挑戰(zhàn)。
對(duì)用戶而言,如果一個(gè)云服務(wù)提供商能提供安心和信心給到其用戶,證明其云服務(wù)是可靠的、符合適用法規(guī)和合同要求的,并對(duì)其能采用最好的行業(yè)實(shí)踐,那么該云服務(wù)提供商將成為用戶的選擇。在這種實(shí)際需求存在的背景下,ISO/IEC27017和ISO/IEC27018應(yīng)運(yùn)而生。
對(duì)云營(yíng)運(yùn)來講,ISO/IEC27001則是一個(gè)很好的標(biāo)準(zhǔn),但云服務(wù)提供商希望看到更多的針對(duì)云的控制規(guī)范來幫助他們解決云的具體問題。ISO/IEC27017和ISO/IEC27018標(biāo)準(zhǔn)正是工業(yè)界在產(chǎn)生這些要求后結(jié)果的體現(xiàn)。
云服務(wù)提供商提供的傳統(tǒng)服務(wù)級(jí)別協(xié)議(SLA)主要側(cè)重于數(shù)據(jù)中心的績(jī)效,如服務(wù)器和網(wǎng)絡(luò)可用性、環(huán)境和物理安全問題,以及傳統(tǒng)的服務(wù),如備份和監(jiān)控。云服務(wù)有其特定的關(guān)注點(diǎn),它們通常不在服務(wù)級(jí)別和合同協(xié)議中提到。
標(biāo)準(zhǔn)概述
1、ISO/IEC 27017是什么?
ISO/IEC 27017簡(jiǎn)稱云服務(wù)信息安全認(rèn)證"。ISO/IEC 27017是有關(guān)《信息技術(shù)-安全技術(shù)-基于ISO/IEC 27002的云服務(wù)信息安全控制的實(shí)施規(guī)程》的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供了適用于提供和使用云服務(wù)的信息安全控制指南,包括如下方面:
①ISO/IEC 27002標(biāo)準(zhǔn)中有關(guān)控制的附加實(shí)施指南。
②帶有具體涉及云服務(wù)實(shí)施指南的附加控制。
2、ISO/IEC 27017的適用性
ISO27017認(rèn)證適用于云服各提供商和云服各空戶,ISO/IEC 27017標(biāo)準(zhǔn)與ISO/IEC 27001系列標(biāo)準(zhǔn)配合使用,為云服務(wù)提供商和云服務(wù)客戶提供了加強(qiáng)控制。ISO/IEC 27017標(biāo)準(zhǔn)闡明了云服務(wù)提供商和云服務(wù)客戶雙方在幫助確保云服務(wù)安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。
ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云服務(wù)的指導(dǎo)方針,而且還介紹了7個(gè)全新的云服務(wù)控制措施,以解決以下問題:
1.負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰
2.當(dāng)合同終止時(shí),資產(chǎn)的移除/歸還
3.客戶虛擬環(huán)境的保護(hù)和分離
4.虛擬機(jī)配置
5.與云環(huán)境相關(guān)的管理操作和程序
6.云客戶監(jiān)控云中活動(dòng)
7.虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接
3、ISO/IEC 27018是什么?
ISO/IEC 27018公有云個(gè)人信息保護(hù)國(guó)際認(rèn)證(又稱“云隱私保護(hù)認(rèn)證”)主要針對(duì)云服務(wù)商對(duì)云中個(gè)人數(shù)據(jù)和隱私的安全防護(hù)的標(biāo)準(zhǔn)認(rèn)證。為云服務(wù)供應(yīng)商如何處理個(gè)人可識(shí)別信息(PII)的企業(yè)提供了指南,用以保護(hù)公共云中的個(gè)人身份信息(PII)不受侵犯,是目前國(guó)際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證。
ISO/IEC 27018能夠確保云服務(wù)供應(yīng)商在處理PII方面有著適當(dāng)?shù)某绦颉K€可以幫助制定更強(qiáng)的云服務(wù)協(xié)議。該標(biāo)準(zhǔn)就PII的問題規(guī)定了CSPs如何培訓(xùn)員工,需要什么文件程序,并提供了相應(yīng)的指導(dǎo)方針。ISO/IEC 27018旨在為云服務(wù)客戶提供真正的透明度,以便客戶能夠清楚了解云服務(wù)供應(yīng)商商在保護(hù)和保護(hù)個(gè)人數(shù)據(jù)方面所做的事情。
越來越多的消費(fèi)者要求企業(yè)在采集、使用和保護(hù)其線上數(shù)據(jù)方面能夠變得更加透明。ISO 27018 旨在為云服務(wù)客戶提供真正的透明度,以便客戶能夠清楚了解云服務(wù)供應(yīng)商商在保護(hù)和保護(hù)個(gè)人數(shù)據(jù)方面所做的事情。
ISO 27017和ISO 27018都是基于ISO27002標(biāo)準(zhǔn),并針對(duì)適用于公有云個(gè)人可識(shí)別信息(PI)的ISO27002控制體系提供了實(shí)施指南。兩個(gè)標(biāo)準(zhǔn)都是基于ISO27001延伸。
ISO 27017提出比較多的改變安全控制。
ISO 27018則是提出比較多新增安全控制。
ISO27001因?yàn)槭腔A(chǔ)的規(guī)范,所以在進(jìn)行ISO27017 or ISO27018之前,必須先經(jīng)過基本的ISO27001認(rèn)證。
目前已經(jīng)公布的ISO/IEC 27018標(biāo)準(zhǔn)與ISO/IEC 27001標(biāo)準(zhǔn)配合使用,可用于支持其基礎(chǔ)設(shè)施通過標(biāo)準(zhǔn)認(rèn)證的云服務(wù)提供商告知其現(xiàn)有和潛在客戶,其數(shù)據(jù)得到了安全的保護(hù),不會(huì)被用于任何其未明確同意的用途。
認(rèn)證益處
一、ISO/IEC27017和ISO/IEC27018實(shí)施和認(rèn)證的好處
1. 提高顧客信心。這兩個(gè)標(biāo)準(zhǔn)提供的額外控制提供了額外的保證,解決了云特定的技術(shù)和合同問題,并提供了保證。
2. 加強(qiáng)治理和風(fēng)險(xiǎn)管理。證書證明了該組織的委員會(huì)、技術(shù)能力和對(duì)云架構(gòu)中繼承的適用風(fēng)險(xiǎn)和附加風(fēng)險(xiǎn)的信心。
3. 減少客戶審核。許多客戶通過頻繁的審核將他們的管理權(quán)分配給供應(yīng)商。該認(rèn)證提供了一個(gè)獨(dú)立的第三方的證據(jù),證明該組織的云操作不僅受控,而且是按照國(guó)際最佳實(shí)踐基準(zhǔn)標(biāo)準(zhǔn)進(jìn)行控制的。
二、云服務(wù)供應(yīng)商實(shí)施ISO/IEC27017和ISO/IEC27018的益處
ISO/IEC27017和ISO/IEC27018不是獨(dú)立的管理體系標(biāo)準(zhǔn),需要與ISO/IEC27001管理體系審核一起進(jìn)行。為了達(dá)到成功的認(rèn)證,需要有效地實(shí)施ISO/IEC27001、ISO/IEC27017和(或)ISO/IEC27018中的所有適用的控制點(diǎn)。
電話:400-656-5059
地址:
山東省青島市城陽(yáng)區(qū)山河路恒大御瀾國(guó)際154號(hào)樓
江蘇省蘇州市工業(yè)園區(qū)國(guó)泰新點(diǎn)軟件研發(fā)辦公樓331室
深圳市龍崗區(qū)坂田街道贛鋒科技大廈B座810
微信二維碼
版權(quán)所有?2018 中質(zhì)捷管理咨詢有限公司[魯ICP備2021027106號(hào)]