信息安全管理的黃金標(biāo)準(zhǔn)是ISO/IEC 27001以及ISO/IEC 27002中給出的指南。這些標(biāo)準(zhǔn)仍然是基礎(chǔ)，但是該指南主要是在組織處理自己的信息的前提下編寫的。 在共享安全責(zé)任的情況下，越來越多地采用托管IT和云服務(wù)正在挑戰(zhàn)這一假設(shè)。 這并不是說這些標(biāo)準(zhǔn)和指南不適用于云，而是在需要外部處理信息的情況下需要對(duì)它們進(jìn)行解釋。 ISO/IEC 27017和ISO/IEC 27018標(biāo)準(zhǔn)提供了解決此問題的指南。

ISO/IEC 27018建立了針對(duì)公共云計(jì)算環(huán)境保護(hù)個(gè)人身份信息的措施的控件和準(zhǔn)則。 該準(zhǔn)則以ISO/IEC 27002中指定的準(zhǔn)則為基礎(chǔ)，控制目標(biāo)擴(kuò)展到包括滿足ISO/IEC 29100中的隱私原則所需的要求。這些準(zhǔn)則很容易映射到現(xiàn)有的EU隱私原則上。 該標(biāo)準(zhǔn)對(duì)于幫助組織在使用公共云服務(wù)處理個(gè)人身份信息時(shí)確保合規(guī)性非常有用。 在這種情況下，云客戶是數(shù)據(jù)控制器，并且根據(jù)當(dāng)前的歐盟法律，仍應(yīng)對(duì)數(shù)據(jù)處理器的違規(guī)行為負(fù)責(zé)。 為了提供這種級(jí)別的保證，一些云服務(wù)提供商已獲得對(duì)其符合此標(biāo)準(zhǔn)的獨(dú)立認(rèn)證。

新的ISO/IEC 27017提供了更廣泛適用于云服務(wù)使用的指南。 針對(duì)現(xiàn)有的ISO/IEC 27002控件中的37個(gè)提供了具體指南； 針對(duì)云服務(wù)客戶和云服務(wù)提供商提供了單獨(dú)但互補(bǔ)的指南。 這強(qiáng)調(diào)了云服務(wù)安全性的共同責(zé)任。 這包括需要云客戶制定使用云服務(wù)的策略以及云服務(wù)提供商向客戶提供信息的政策。

例如，關(guān)于限制訪問（ISO 27001控制A.9.4.1），該指南是：

云服務(wù)客戶應(yīng)確保可以根據(jù)其訪問控制策略來限制對(duì)云服務(wù)中信息的訪問，并確保實(shí)現(xiàn)這些限制。

云服務(wù)提供商應(yīng)提供訪問控制，以允許云服務(wù)客戶限制對(duì)其云服務(wù)，其云服務(wù)功能以及服務(wù)中維護(hù)的云服務(wù)客戶數(shù)據(jù)的訪問。

此外，該標(biāo)準(zhǔn)還包括與云服務(wù)相關(guān)的7個(gè)其他控件。 這些新控件的編號(hào)符合現(xiàn)有的相關(guān)ISO/IEC 27002控件； 這些擴(kuò)展控件涵蓋：

云計(jì)算環(huán)境中的角色和職責(zé)共享

刪除和返還云服務(wù)客戶資產(chǎn)

虛擬計(jì)算環(huán)境中的隔離

虛擬機(jī)強(qiáng)化

管理員的操作安全

監(jiān)控云服務(wù)

虛擬和物理網(wǎng)絡(luò)的安全管理對(duì)齊

總之，ISO/IEC 27017提供了非常有用的指南提供者，我們建議云客戶和云服務(wù)提供者應(yīng)遵循該指南。 盡管對(duì)云服務(wù)提供商而言，獲得符合此標(biāo)準(zhǔn)的獨(dú)立認(rèn)證會(huì)有所幫助，但這并不能免除客戶確保遵循指南的責(zé)任。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5597.html