信息安全管理的黃金標準是ISO/IEC 27001以及ISO/IEC 27002中給出的指南。這些標準仍然是基礎，但是該指南主要是在組織處理自己的信息的前提下編寫的。 在共享安全責任的情況下，越來越多地采用托管IT和云服務正在挑戰這一假設。 這并不是說這些標準和指南不適用于云，而是在需要外部處理信息的情況下需要對它們進行解釋。 ISO/IEC 27017和ISO/IEC 27018標準提供了解決此問題的指南。
ISO/IEC 27018建立了針對公共云計算環境保護個人身份信息的措施的控件和準則。 該準則以ISO/IEC 27002中指定的準則為基礎，控制目標擴展到包括滿足ISO/IEC 29100中的隱私原則所需的要求。這些準則很容易映射到現有的EU隱私原則上。 該標準對于幫助組織在使用公共云服務處理個人身份信息時確保合規性非常有用。 在這種情況下，云客戶是數據控制器，并且根據當前的歐盟法律，仍應對數據處理器的違規行為負責。 為了提供這種級別的保證，一些云服務提供商已獲得對其符合此標準的獨立認證。
新的ISO/IEC 27017提供了更廣泛適用于云服務使用的指南。 針對現有的ISO/IEC 27002控件中的37個提供了具體指南； 針對云服務客戶和云服務提供商提供了單獨但互補的指南。 這強調了云服務安全性的共同責任。 這包括需要云客戶制定使用云服務的策略以及云服務提供商向客戶提供信息的政策。
例如，關于限制訪問（ISO 27001控制A.9.4.1），該指南是：
云服務客戶應確保可以根據其訪問控制策略來限制對云服務中信息的訪問，并確保實現這些限制。
云服務提供商應提供訪問控制，以允許云服務客戶限制對其云服務，其云服務功能以及服務中維護的云服務客戶數據的訪問。
此外，該標準還包括與云服務相關的7個其他控件。 這些新控件的編號符合現有的相關ISO/IEC 27002控件； 這些擴展控件涵蓋：
云計算環境中的角色和職責共享
刪除和返還云服務客戶資產
虛擬計算環境中的隔離
虛擬機強化
管理員的操作安全
監控云服務
虛擬和物理網絡的安全管理對齊
總之，ISO/IEC 27017提供了非常有用的指南提供者，我們建議云客戶和云服務提供者應遵循該指南。 盡管對云服務提供商而言，獲得符合此標準的獨立認證會有所幫助，但這并不能免除客戶確保遵循指南的責任。


iso22716是什么意思,ISO22716認證證書有效期查詢
為什么GB/T50430記錄不需要控制版本
去哪代辦中國綠色環保產品多少錢
淺談信息檢索「查全」的三個基本要求
3A信用等級認證如何辦理
IFS認證簡介
去哪辦理ISO質量管理體系費用一般多少錢
售后服務管理師證書_初級售后管理師認證