信息安全管理的黃金標(biāo)準(zhǔn)是ISO/IEC 27001以及ISO/IEC 27002中給出的指南。這些標(biāo)準(zhǔn)仍然是基礎(chǔ)，但是該指南主要是在組織處理自己的信息的前提下編寫的。 在共享安全責(zé)任的情況下，越來越多地采用托管IT和云服務(wù)正在挑戰(zhàn)這一假設(shè)。 這并不是說這些標(biāo)準(zhǔn)和指南不適用于云，而是在需要外部處理信息的情況下需要對它們進(jìn)行解釋。 ISO/IEC 27017和ISO/IEC 27018標(biāo)準(zhǔn)提供了解決此問題的指南。
ISO/IEC 27018建立了針對公共云計算環(huán)境保護(hù)個人身份信息的措施的控件和準(zhǔn)則。 該準(zhǔn)則以ISO/IEC 27002中指定的準(zhǔn)則為基礎(chǔ)，控制目標(biāo)擴(kuò)展到包括滿足ISO/IEC 29100中的隱私原則所需的要求。這些準(zhǔn)則很容易映射到現(xiàn)有的EU隱私原則上。 該標(biāo)準(zhǔn)對于幫助組織在使用公共云服務(wù)處理個人身份信息時確保合規(guī)性非常有用。 在這種情況下，云客戶是數(shù)據(jù)控制器，并且根據(jù)當(dāng)前的歐盟法律，仍應(yīng)對數(shù)據(jù)處理器的違規(guī)行為負(fù)責(zé)。 為了提供這種級別的保證，一些云服務(wù)提供商已獲得對其符合此標(biāo)準(zhǔn)的獨立認(rèn)證。
新的ISO/IEC 27017提供了更廣泛適用于云服務(wù)使用的指南。 針對現(xiàn)有的ISO/IEC 27002控件中的37個提供了具體指南； 針對云服務(wù)客戶和云服務(wù)提供商提供了單獨但互補(bǔ)的指南。 這強(qiáng)調(diào)了云服務(wù)安全性的共同責(zé)任。 這包括需要云客戶制定使用云服務(wù)的策略以及云服務(wù)提供商向客戶提供信息的政策。
例如，關(guān)于限制訪問（ISO 27001控制A.9.4.1），該指南是：
云服務(wù)客戶應(yīng)確保可以根據(jù)其訪問控制策略來限制對云服務(wù)中信息的訪問，并確保實現(xiàn)這些限制。
云服務(wù)提供商應(yīng)提供訪問控制，以允許云服務(wù)客戶限制對其云服務(wù)，其云服務(wù)功能以及服務(wù)中維護(hù)的云服務(wù)客戶數(shù)據(jù)的訪問。
此外，該標(biāo)準(zhǔn)還包括與云服務(wù)相關(guān)的7個其他控件。 這些新控件的編號符合現(xiàn)有的相關(guān)ISO/IEC 27002控件； 這些擴(kuò)展控件涵蓋：
云計算環(huán)境中的角色和職責(zé)共享
刪除和返還云服務(wù)客戶資產(chǎn)
虛擬計算環(huán)境中的隔離
虛擬機(jī)強(qiáng)化
管理員的操作安全
監(jiān)控云服務(wù)
虛擬和物理網(wǎng)絡(luò)的安全管理對齊
總之，ISO/IEC 27017提供了非常有用的指南提供者，我們建議云客戶和云服務(wù)提供者應(yīng)遵循該指南。 盡管對云服務(wù)提供商而言，獲得符合此標(biāo)準(zhǔn)的獨立認(rèn)證會有所幫助，但這并不能免除客戶確保遵循指南的責(zé)任。


iso22716是什么意思,ISO22716認(rèn)證證書有效期查詢
為什么GB/T50430記錄不需要控制版本
去哪代辦中國綠色環(huán)保產(chǎn)品多少錢
淺談信息檢索「查全」的三個基本要求
3A信用等級認(rèn)證如何辦理
IFS認(rèn)證簡介
去哪辦理ISO質(zhì)量管理體系費用一般多少錢
售后服務(wù)管理師證書_初級售后管理師認(rèn)證