隨著云計算的指數(shù)級增長,各種規(guī)模的組織都需要了解有關(guān)在云中存儲敏感數(shù)據(jù)的風(fēng)險,以及研究和實施云安全選項。 為了支持這項工作,可以使用幾種專門的云安全標(biāo)準(zhǔn)。
這些標(biāo)準(zhǔn)中的兩個已在全球范圍內(nèi)引起關(guān)注:ISO 27017和CSA STAR 。 這篇文章比較了這些領(lǐng)先標(biāo)準(zhǔn),包括每種標(biāo)準(zhǔn)旨在解決的用例。
CSA云安全聯(lián)盟,安全信任和保證注冊表( CSA STAR )是一個“計劃”,包含三個級別的保證(自我評估,第三方認(rèn)證和持續(xù)審核),專門針對支持和評估云服務(wù)提供商( CSP)。 CSA STAR計劃基于以下準(zhǔn)則:
CSA云控制矩陣(CCM)是特定于云的安全控制的“元框架”,映射到ISO 27001,PCI / DSS,HIPAA,COBIT和其他標(biāo)準(zhǔn)。 旨在提供“事實上的云安全保證和合規(guī)性標(biāo)準(zhǔn)”,該標(biāo)準(zhǔn)可以指導(dǎo)CSP優(yōu)化其安全狀況,并幫助公司評估CSP的安全狀況。
共識評估計劃問卷 ,一組是/否問題,準(zhǔn)客戶或?qū)徲嫀熆梢砸笤铺峁┥淘u估其與云控制矩陣的一致性。
CSA符合GDPR的行為準(zhǔn)則 ,該工具可幫助CSP 遵守GDPR 。
利用這些資源,CSP可以基于包含CCM和ISO 27001要求的嚴(yán)格的第三方評估,對自身的安全控制進(jìn)行自我評估和公開記錄,和/或獲得CSA STAR認(rèn)證。 CSP不斷發(fā)布有關(guān)其安全實踐的數(shù)據(jù)的一種選擇是“開發(fā)中”。
ISO 27017是基于云服務(wù)的ISO/IEC 27002的信息安全控制規(guī)范描述性命名。 該框架以ISO 27001中定義的控件為基礎(chǔ),并在ISO 27002中進(jìn)行了更詳細(xì)的描述,它添加了附加的控件和實施指南,專門用于幫助企業(yè)安全地設(shè)置和使用云服務(wù)來保護(hù)在云中存儲和/或處理的信息。
ISO 27001中添加了最特定于云的指南的部分包括:
9.訪問控制
12.運營安全
13.通訊安全
15.供應(yīng)商關(guān)系
18.合規(guī)
ISO 27017滿足了整個行業(yè)的需求,解決了CSP及其客戶圍繞云安全性的各自角色和職責(zé)。 它闡明了誰負(fù)責(zé)什么控制,如何在合同終止,分離和保護(hù)客戶的云環(huán)境時安全地刪除/返回信息資產(chǎn),監(jiān)視客戶在云中的活動等。
ISO 27017不僅比CSA STAR更能為CSP和云用戶提供指導(dǎo)。 云用戶可以使用它在其信息安全管理系統(tǒng)(ISMS)中開發(fā)特定于云的控件,而CSP可以將其用作實現(xiàn)安全控件的指南。
ISO 27017本身不是管理標(biāo)準(zhǔn),而是“實踐準(zhǔn)則”。但是,在更廣泛的ISO 27001認(rèn)證審核的背景下,認(rèn)證機(jī)構(gòu)可以發(fā)布等同于ISO 27017的“符合性聲明”。 換句話說,要獲得ISO 27017“認(rèn)證”,公司(包括CSP)需要同時或最初獲得ISO 27001認(rèn)證 。
哪種標(biāo)準(zhǔn)適合您的情況?
ISO 27017為將數(shù)據(jù)移動到云和/或在云中共享數(shù)據(jù)(包括CSP)的企業(yè)提供了價值。 CSA STAR更加全面,并且針對CSP。
云消費者將在27017中找到更大的價值。CSP將在27017和CSA STAR中找到價值,如果這是長期目標(biāo),則ISO 27017是通往CSA STAR的良好過渡點。 由于27017和CSA STAR在很大程度上覆蓋了相同的領(lǐng)域,因此您無需花費更多的精力和成本即可實現(xiàn)這兩個目標(biāo)。
符合這兩個標(biāo)準(zhǔn)的證明將幫助企業(yè)建立與客戶和其他利益相關(guān)者的信任,展示競爭優(yōu)勢,保護(hù)其品牌/聲譽,遵守GDPR或當(dāng)?shù)胤ㄒ?guī),并且最重要的是-保護(hù)他們的數(shù)據(jù)負(fù)責(zé)保護(hù)。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
