ISO/IEC 27017到底是怎么回事�����?
文章來(lái)源:http://wczpcms.com
發(fā)布時(shí)間:2020-08-05
瀏覽次數(shù):78
在互聯(lián)網(wǎng)和大數(shù)據(jù)時(shí)代,許多業(yè)務(wù)的開(kāi)展都離不開(kāi)個(gè)人隱私信息的輸入�����,每個(gè)組織都會(huì)或多或少地處理個(gè)人身份信息(PII),保護(hù)PII不僅是法律要求���,也是社會(huì)的需要�。隨著越來(lái)越嚴(yán)格的數(shù)據(jù)保護(hù)要求和法律��,如歐盟保護(hù)個(gè)人數(shù)據(jù)的《General Data Protection Regulation》 (GDPR)和美國(guó)的 《California Consumer Privacy Act》(CCPA)等法律法規(guī)的相繼出臺(tái)��,以及與隱私和數(shù)據(jù)保護(hù)相關(guān)的投訴和罰款數(shù)量的增加�,許多組織都迫切地需要開(kāi)展行動(dòng)以提高其PII的保護(hù)能力。同時(shí)����,基于互聯(lián)網(wǎng)云服務(wù)的交互信息模式廣泛使用,信息���、資料廣泛存在于網(wǎng)絡(luò)��,使得云服務(wù)信息安全管理問(wèn)題引起了足夠的重視����。
ISO/IEC 27017 云服務(wù)信息安全管理體系認(rèn)證(CSSMS)認(rèn)證 是為云服務(wù)提供商和云服務(wù)客戶提供增強(qiáng)控制能力的依據(jù),從而有助于讓云服務(wù)與傳統(tǒng)信息系統(tǒng)一樣安全可靠���。獲得CSSMS認(rèn)證的企業(yè)�,標(biāo)志著其建立的安全控制措施滿足云服務(wù)客戶的信息安全要求�,云服務(wù)信息安全管理水平處于云服務(wù)提供商前列。同時(shí)標(biāo)志著企業(yè)云服務(wù)信息安全和個(gè)人身份信息(PII)保護(hù)達(dá)到了全球一定的標(biāo)準(zhǔn)����。
ISO/EC27017旨在幫助推薦和實(shí)施基于云的組織的密件。這不僅與將信息存儲(chǔ)在云中的組織有關(guān)�����,而且還與向可能擁有敏感信息的其他公司提供基于云的服務(wù)的提供商有關(guān)����。該標(biāo)準(zhǔn)建立在ISO27002標(biāo)標(biāo)準(zhǔn)的基礎(chǔ)上,但是允許添加特定的控件以滿足云組織及其最終用戶的需求���。
1、它提供了有關(guān)誰(shuí)負(fù)責(zé)云服務(wù)提供商和云客戶之間的責(zé)任的明確說(shuō)明����;
2、合同終止時(shí)的資產(chǎn)清算/歸還;
3�、保護(hù)和分離客戶的虛擬環(huán)境;
4���、虛擬機(jī)配置�;
5�、與云環(huán)境相關(guān)的管理操作和過(guò)程;
6����、云端客戶對(duì)云端活動(dòng)的監(jiān)控;
7�����、虛擬和云網(wǎng)絡(luò)環(huán)境對(duì)齊�����。
云數(shù)據(jù)的安全至關(guān)重要���,因?yàn)榭蛻粝M_保其存儲(chǔ)在云中時(shí)數(shù)據(jù)的安全�����。
ISO/IEC 27017標(biāo)準(zhǔn)允許組織致力于長(zhǎng)期目標(biāo)�����。該組織將擁有一個(gè)國(guó)際標(biāo)準(zhǔn)化框架來(lái)建立其云安全�����。在所需求的內(nèi)部化之后����,組織將能夠減少運(yùn)營(yíng)和聲譽(yù)風(fēng)險(xiǎn),并朝著可持續(xù)的未來(lái)努力�����。
該標(biāo)準(zhǔn)廣泛涵蓋了以下主題:資產(chǎn)所有權(quán)���,CSP解散時(shí)的恢復(fù)措施��,具有敏感信息的資產(chǎn)處置��,數(shù)據(jù)的隔離和存儲(chǔ),虛擬和物理網(wǎng)絡(luò)的安全管理調(diào)整等�����。
1、制定長(zhǎng)期戰(zhàn)略——遵循ISO/IEC 27017準(zhǔn)則���,可以將聲譽(yù)風(fēng)險(xiǎn)�����、云安全性和可持續(xù)發(fā)展相關(guān)的問(wèn)題降至最低���。這將鼓勵(lì)潛在的投資者和贊助商將您視為負(fù)責(zé)任的合作伙伴;
2���、提高透明度——認(rèn)證將幫助該公司向利益相關(guān)者展示其在全球信息安全實(shí)踐中的立足點(diǎn)以及滿足行業(yè)標(biāo)準(zhǔn)要求的能力����;
3�、降低聲譽(yù)風(fēng)險(xiǎn)——實(shí)施基于ISO/IEC 27017的策略,該公司將能夠分析其自身的漏洞并減輕數(shù)據(jù)泄露的風(fēng)險(xiǎn)�;
4、贏得客戶信任——通過(guò)減輕數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)�����,您可以贏得利益相關(guān)者的信心并獲得競(jìng)爭(zhēng)優(yōu)勢(shì);
5�����、擴(kuò)展業(yè)務(wù)——遵循ISO/IEC 27017的國(guó)際準(zhǔn)則���,成為首選的CSP�,并在全球擴(kuò)展業(yè)務(wù)��;
6�����、滿足合規(guī)性——實(shí)施ISO/IEC 27017將幫助您遵守國(guó)家和國(guó)際法則�����,從而減輕因數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊而受到法律和罰款的風(fēng)險(xiǎn)����;
7、包容性標(biāo)準(zhǔn)——在云計(jì)算環(huán)境中���, ISO/IEC 27017明確闡述了云服務(wù)客戶與云服務(wù)提供商之間的確切關(guān)系�,角色,權(quán)利和責(zé)任���。
1、按照ISO/IEC27017:2015云服務(wù)信息安全管理體系標(biāo)準(zhǔn)要求建立體系框架�;
2、體系建立后����,需要運(yùn)行一段時(shí)間,最少三個(gè)月���,產(chǎn)生三個(gè)月的運(yùn)行記錄�;
3���、向認(rèn)證機(jī)構(gòu)遞交審核申請(qǐng)���;
4、認(rèn)證機(jī)構(gòu)評(píng)估費(fèi)用和正式審核時(shí)間�����;
5���、認(rèn)證機(jī)構(gòu)將進(jìn)行第一階段審核���;
6�、認(rèn)證機(jī)構(gòu)將進(jìn)行第二階段審核�,通過(guò)現(xiàn)場(chǎng)審核為企業(yè)出具審核報(bào)告并給出建議;
7��、如果能順利完成審核���,在確定清楚認(rèn)證范圍后�����,發(fā)放ISO/IEC27017:2015云服務(wù)信息安全管理體系認(rèn)證證書(shū)�����。
8���、在滿足持續(xù)審核情況下,三年有效�����。
