信息安全管理的黃金標準是ISO/IEC 27001以及ISO/IEC 27002中給出的指南。這些標準仍然是基礎,但是該指南主要是在組織處理自己的信息的前提下編寫的。 在共享安全責任的情況下,越來越多地采用托管IT和云服務正在挑戰這一假設。 這并不是說這些標準和指南不適用于云,而是在需要外部處理信息的情況下需要對它們進行解釋。 ISO/IEC 27017和ISO/IEC 27018標準提供了解決此問題的指南。
ISO/IEC 27018建立了針對公共云計算環境保護個人身份信息的措施的控件和準則。 該準則以ISO/IEC 27002中指定的準則為基礎,控制目標擴展到包括滿足ISO/IEC 29100中的隱私原則所需的要求。這些準則很容易映射到現有的EU隱私原則上。 該標準對于幫助組織在使用公共云服務處理個人身份信息時確保合規性非常有用。 在這種情況下,云客戶是數據控制器,并且根據當前的歐盟法律,仍應對數據處理器的違規行為負責。 為了提供這種級別的保證,一些云服務提供商已獲得對其符合此標準的獨立認證。
新的ISO/IEC 27017提供了更廣泛適用于云服務使用的指南。 針對現有的ISO/IEC 27002控件中的37個提供了具體指南; 針對云服務客戶和云服務提供商提供了單獨但互補的指南。 這強調了云服務安全性的共同責任。 這包括需要云客戶制定使用云服務的策略以及云服務提供商向客戶提供信息的政策。
例如,關于限制訪問(ISO 27001控制A.9.4.1),該指南是:
云服務客戶應確保可以根據其訪問控制策略來限制對云服務中信息的訪問,并確保實現這些限制。
云服務提供商應提供訪問控制,以允許云服務客戶限制對其云服務,其云服務功能以及服務中維護的云服務客戶數據的訪問。
此外,該標準還包括與云服務相關的7個其他控件。 這些新控件的編號符合現有的相關ISO/IEC 27002控件; 這些擴展控件涵蓋:
云計算環境中的角色和職責共享
刪除和返還云服務客戶資產
虛擬計算環境中的隔離
虛擬機強化
管理員的操作安全
監控云服務
虛擬和物理網絡的安全管理對齊
總之,ISO/IEC 27017提供了非常有用的指南提供者,我們建議云客戶和云服務提供者應遵循該指南。 盡管對云服務提供商而言,獲得符合此標準的獨立認證會有所幫助,但這并不能免除客戶確保遵循指南的責任。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
