ISO27017與CSA STAR的比較–兩種領(lǐng)先的云安全標(biāo)準(zhǔn)的比較
發(fā)布時(shí)間:2025-05-12 點(diǎn)擊:23
隨著云計(jì)算的指數(shù)級增長,各種規(guī)模的組織都需要了解有關(guān)在云中存儲敏感數(shù)據(jù)的風(fēng)險(xiǎn),以及研究和實(shí)施云安全選項(xiàng)。 為了支持這項(xiàng)工作,可以使用幾種專門的云安全標(biāo)準(zhǔn)。
這些標(biāo)準(zhǔn)中的兩個(gè)已在全球范圍內(nèi)引起關(guān)注:ISO 27017和CSA STAR 。 這篇文章比較了這些領(lǐng)先標(biāo)準(zhǔn),包括每種標(biāo)準(zhǔn)旨在解決的用例。
CSA云安全聯(lián)盟,安全信任和保證注冊表( CSA STAR )是一個(gè)“計(jì)劃”,包含三個(gè)級別的保證(自我評估,第三方認(rèn)證和持續(xù)審核),專門針對支持和評估云服務(wù)提供商( CSP)。 CSA STAR計(jì)劃基于以下準(zhǔn)則:
CSA云控制矩陣(CCM)是特定于云的安全控制的“元框架”,映射到ISO 27001,PCI / DSS,HIPAA,COBIT和其他標(biāo)準(zhǔn)。 旨在提供“事實(shí)上的云安全保證和合規(guī)性標(biāo)準(zhǔn)”,該標(biāo)準(zhǔn)可以指導(dǎo)CSP優(yōu)化其安全狀況,并幫助公司評估CSP的安全狀況。
共識評估計(jì)劃問卷 ,一組是/否問題,準(zhǔn)客戶或?qū)徲?jì)師可以要求云提供商評估其與云控制矩陣的一致性。
CSA符合GDPR的行為準(zhǔn)則 ,該工具可幫助CSP 遵守GDPR 。
利用這些資源,CSP可以基于包含CCM和ISO 27001要求的嚴(yán)格的第三方評估,對自身的安全控制進(jìn)行自我評估和公開記錄,和/或獲得CSA STAR認(rèn)證。 CSP不斷發(fā)布有關(guān)其安全實(shí)踐的數(shù)據(jù)的一種選擇是“開發(fā)中”。
ISO 27017是基于云服務(wù)的ISO/IEC 27002的信息安全控制規(guī)范描述性命名。 該框架以ISO 27001中定義的控件為基礎(chǔ),并在ISO 27002中進(jìn)行了更詳細(xì)的描述,它添加了附加的控件和實(shí)施指南,專門用于幫助企業(yè)安全地設(shè)置和使用云服務(wù)來保護(hù)在云中存儲和/或處理的信息。
ISO 27001中添加了最特定于云的指南的部分包括:
9.訪問控制
12.運(yùn)營安全
13.通訊安全
15.供應(yīng)商關(guān)系
18.合規(guī)
ISO 27017滿足了整個(gè)行業(yè)的需求,解決了CSP及其客戶圍繞云安全性的各自角色和職責(zé)。 它闡明了誰負(fù)責(zé)什么控制,如何在合同終止,分離和保護(hù)客戶的云環(huán)境時(shí)安全地刪除/返回信息資產(chǎn),監(jiān)視客戶在云中的活動等。
ISO 27017不僅比CSA STAR更能為CSP和云用戶提供指導(dǎo)。 云用戶可以使用它在其信息安全管理系統(tǒng)(ISMS)中開發(fā)特定于云的控件,而CSP可以將其用作實(shí)現(xiàn)安全控件的指南。
ISO 27017本身不是管理標(biāo)準(zhǔn),而是“實(shí)踐準(zhǔn)則”。但是,在更廣泛的ISO 27001認(rèn)證審核的背景下,認(rèn)證機(jī)構(gòu)可以發(fā)布等同于ISO 27017的“符合性聲明”。 換句話說,要獲得ISO 27017“認(rèn)證”,公司(包括CSP)需要同時(shí)或最初獲得ISO 27001認(rèn)證 。
哪種標(biāo)準(zhǔn)適合您的情況?
ISO 27017為將數(shù)據(jù)移動到云和/或在云中共享數(shù)據(jù)(包括CSP)的企業(yè)提供了價(jià)值。 CSA STAR更加全面,并且針對CSP。
云消費(fèi)者將在27017中找到更大的價(jià)值。CSP將在27017和CSA STAR中找到價(jià)值,如果這是長期目標(biāo),則ISO 27017是通往CSA STAR的良好過渡點(diǎn)。 由于27017和CSA STAR在很大程度上覆蓋了相同的領(lǐng)域,因此您無需花費(fèi)更多的精力和成本即可實(shí)現(xiàn)這兩個(gè)目標(biāo)。
符合這兩個(gè)標(biāo)準(zhǔn)的證明將幫助企業(yè)建立與客戶和其他利益相關(guān)者的信任,展示競爭優(yōu)勢,保護(hù)其品牌/聲譽(yù),遵守GDPR或當(dāng)?shù)胤ㄒ?guī),并且最重要的是-保護(hù)他們的數(shù)據(jù)負(fù)責(zé)保護(hù)。
HSE管理體系的建立與實(shí)施
廣州市海珠區(qū)如何申報(bào)餐飲行業(yè)品牌證書衛(wèi)生達(dá)標(biāo)示范單位
為什么一定要下車間?
TS16949認(rèn)證的步驟是怎樣的
iso體系認(rèn)證優(yōu)點(diǎn)是什么,iso國際質(zhì)量體系認(rèn)證是什么意思?
iso三體系認(rèn)證標(biāo)準(zhǔn)的要求有哪些
QES三體系認(rèn)證是什么?認(rèn)證條件和認(rèn)證優(yōu)勢
什么是3C認(rèn)證?什么是CCC認(rèn)證?
這些標(biāo)準(zhǔn)中的兩個(gè)已在全球范圍內(nèi)引起關(guān)注:ISO 27017和CSA STAR 。 這篇文章比較了這些領(lǐng)先標(biāo)準(zhǔn),包括每種標(biāo)準(zhǔn)旨在解決的用例。
CSA云安全聯(lián)盟,安全信任和保證注冊表( CSA STAR )是一個(gè)“計(jì)劃”,包含三個(gè)級別的保證(自我評估,第三方認(rèn)證和持續(xù)審核),專門針對支持和評估云服務(wù)提供商( CSP)。 CSA STAR計(jì)劃基于以下準(zhǔn)則:
CSA云控制矩陣(CCM)是特定于云的安全控制的“元框架”,映射到ISO 27001,PCI / DSS,HIPAA,COBIT和其他標(biāo)準(zhǔn)。 旨在提供“事實(shí)上的云安全保證和合規(guī)性標(biāo)準(zhǔn)”,該標(biāo)準(zhǔn)可以指導(dǎo)CSP優(yōu)化其安全狀況,并幫助公司評估CSP的安全狀況。
共識評估計(jì)劃問卷 ,一組是/否問題,準(zhǔn)客戶或?qū)徲?jì)師可以要求云提供商評估其與云控制矩陣的一致性。
CSA符合GDPR的行為準(zhǔn)則 ,該工具可幫助CSP 遵守GDPR 。
利用這些資源,CSP可以基于包含CCM和ISO 27001要求的嚴(yán)格的第三方評估,對自身的安全控制進(jìn)行自我評估和公開記錄,和/或獲得CSA STAR認(rèn)證。 CSP不斷發(fā)布有關(guān)其安全實(shí)踐的數(shù)據(jù)的一種選擇是“開發(fā)中”。
ISO 27017是基于云服務(wù)的ISO/IEC 27002的信息安全控制規(guī)范描述性命名。 該框架以ISO 27001中定義的控件為基礎(chǔ),并在ISO 27002中進(jìn)行了更詳細(xì)的描述,它添加了附加的控件和實(shí)施指南,專門用于幫助企業(yè)安全地設(shè)置和使用云服務(wù)來保護(hù)在云中存儲和/或處理的信息。
ISO 27001中添加了最特定于云的指南的部分包括:
9.訪問控制
12.運(yùn)營安全
13.通訊安全
15.供應(yīng)商關(guān)系
18.合規(guī)
ISO 27017滿足了整個(gè)行業(yè)的需求,解決了CSP及其客戶圍繞云安全性的各自角色和職責(zé)。 它闡明了誰負(fù)責(zé)什么控制,如何在合同終止,分離和保護(hù)客戶的云環(huán)境時(shí)安全地刪除/返回信息資產(chǎn),監(jiān)視客戶在云中的活動等。
ISO 27017不僅比CSA STAR更能為CSP和云用戶提供指導(dǎo)。 云用戶可以使用它在其信息安全管理系統(tǒng)(ISMS)中開發(fā)特定于云的控件,而CSP可以將其用作實(shí)現(xiàn)安全控件的指南。
ISO 27017本身不是管理標(biāo)準(zhǔn),而是“實(shí)踐準(zhǔn)則”。但是,在更廣泛的ISO 27001認(rèn)證審核的背景下,認(rèn)證機(jī)構(gòu)可以發(fā)布等同于ISO 27017的“符合性聲明”。 換句話說,要獲得ISO 27017“認(rèn)證”,公司(包括CSP)需要同時(shí)或最初獲得ISO 27001認(rèn)證 。
哪種標(biāo)準(zhǔn)適合您的情況?
ISO 27017為將數(shù)據(jù)移動到云和/或在云中共享數(shù)據(jù)(包括CSP)的企業(yè)提供了價(jià)值。 CSA STAR更加全面,并且針對CSP。
云消費(fèi)者將在27017中找到更大的價(jià)值。CSP將在27017和CSA STAR中找到價(jià)值,如果這是長期目標(biāo),則ISO 27017是通往CSA STAR的良好過渡點(diǎn)。 由于27017和CSA STAR在很大程度上覆蓋了相同的領(lǐng)域,因此您無需花費(fèi)更多的精力和成本即可實(shí)現(xiàn)這兩個(gè)目標(biāo)。
符合這兩個(gè)標(biāo)準(zhǔn)的證明將幫助企業(yè)建立與客戶和其他利益相關(guān)者的信任,展示競爭優(yōu)勢,保護(hù)其品牌/聲譽(yù),遵守GDPR或當(dāng)?shù)胤ㄒ?guī),并且最重要的是-保護(hù)他們的數(shù)據(jù)負(fù)責(zé)保護(hù)。
HSE管理體系的建立與實(shí)施
廣州市海珠區(qū)如何申報(bào)餐飲行業(yè)品牌證書衛(wèi)生達(dá)標(biāo)示范單位
為什么一定要下車間?
TS16949認(rèn)證的步驟是怎樣的
iso體系認(rèn)證優(yōu)點(diǎn)是什么,iso國際質(zhì)量體系認(rèn)證是什么意思?
iso三體系認(rèn)證標(biāo)準(zhǔn)的要求有哪些
QES三體系認(rèn)證是什么?認(rèn)證條件和認(rèn)證優(yōu)勢
什么是3C認(rèn)證?什么是CCC認(rèn)證?