ISO27017认证咨询|云服务信息安全管理体系认证简介及标准主要内容

ISO27017云服务信息安全管理体系认证标准简介

安全是云客户担忧的一大问题，尽管云有着出色的灵活性和可拓展性，但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之- -。云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视客户数安全问题主要在于担心数据终可能会落入不法之徒手中，以及客户就那些粗心大意造成问题的运营商会采取什么样的控制措施。当然还存在这其它的担忧， 例如:客户身份、虚拟服务器中的资产隔离、以及在云服务供应商出现停业的况下，资产会发生什么情况等， 这些都是潜在云用户关注的问题。

ISO 27001系列标准可以帮助客户解决其中- -些担忧，然而新标准一一ISO/IEC 27017信息技术一安全技术，则能够进一步解决问题，使潜在云客户加安全放心地使用。详尽说明云供应商控制及指导原则的传统云标准和技术标准均旨在云服务供应商。而ISO/IEC 27017标准*特和较具益处的优势在于，它为CSP和云:

服务客户均提供了指导原则和建议。除了确保服务安全之外，ISO/IEC 27017还旨在让客户真正明白他们应当从其云主机获得什么。

ISO/IEC 27017《信息技术--安全技术--基于ISO/IEC 27002的云服务信息安全控制的实用规则》

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是，ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。

ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针，而且还介绍了7个全新云控制以解决以下问题：

• 负责云服务提供商和云客户之间关系的人是谁

• 当合同终止时，资产的移除/归还

• 客户虚拟环境的保护和分离

• 虚拟机配置

• 与云环境相关的管理操作和程序

• 云客户监控云中活动

• 虚拟和云网络环境的对接

ISO 27017标准内容

ISO 27017或基于ISO/IEC 27001的云服务信息安全控制操作规范，为云服务行业提供了基于ISO 27002的指南。

该标准针对ISO 27002中的37个控件提供了特定于云服务提供商的指南，但还具有七个新控件:

1)云计算环境中的角色和职责共享

2)云服务客户资产

3)虚拟计算环境中的隔离

4)虚拟机强化

5)管理员的操作安全

6)监控云服务

7)虚拟和物理网络的安全管理对齐

该标准与提供基于云的服务的组织以及在云中存储信息的任何组织有关。