隨著云計(jì)算的指數(shù)級(jí)增長，各種規(guī)模的組織都需要了解有關(guān)在云中存儲(chǔ)敏感數(shù)據(jù)的風(fēng)險(xiǎn)，以及研究和實(shí)施云安全選項(xiàng)。 為了支持這項(xiàng)工作，可以使用幾種專門的云安全標(biāo)準(zhǔn)。

這些標(biāo)準(zhǔn)中的兩個(gè)已在全球范圍內(nèi)引起關(guān)注：ISO 27017和CSA STAR 。 這篇文章比較了這些領(lǐng)先標(biāo)準(zhǔn)，包括每種標(biāo)準(zhǔn)旨在解決的用例。

CSA云安全聯(lián)盟，安全信任和保證注冊表（ CSA STAR ）是一個(gè)“計(jì)劃”，包含三個(gè)級(jí)別的保證（自我評(píng)估，第三方認(rèn)證和持續(xù)審核），專門針對(duì)支持和評(píng)估云服務(wù)提供商（ CSP）。 CSA STAR計(jì)劃基于以下準(zhǔn)則：

CSA云控制矩陣（CCM）是特定于云的安全控制的“元框架”，映射到ISO 27001，PCI / DSS，HIPAA，COBIT和其他標(biāo)準(zhǔn)。 旨在提供“事實(shí)上的云安全保證和合規(guī)性標(biāo)準(zhǔn)”，該標(biāo)準(zhǔn)可以指導(dǎo)CSP優(yōu)化其安全狀況，并幫助公司評(píng)估CSP的安全狀況。

共識(shí)評(píng)估計(jì)劃問卷 ，一組是/否問題，準(zhǔn)客戶或?qū)徲?jì)師可以要求云提供商評(píng)估其與云控制矩陣的一致性。

CSA符合GDPR的行為準(zhǔn)則 ，該工具可幫助CSP 遵守GDPR 。

利用這些資源，CSP可以基于包含CCM和ISO 27001要求的嚴(yán)格的第三方評(píng)估，對(duì)自身的安全控制進(jìn)行自我評(píng)估和公開記錄，和/或獲得CSA STAR認(rèn)證。 CSP不斷發(fā)布有關(guān)其安全實(shí)踐的數(shù)據(jù)的一種選擇是“開發(fā)中”。

ISO 27017是基于云服務(wù)的ISO/IEC 27002的信息安全控制規(guī)范描述性命名。 該框架以ISO 27001中定義的控件為基礎(chǔ)，并在ISO 27002中進(jìn)行了更詳細(xì)的描述，它添加了附加的控件和實(shí)施指南，專門用于幫助企業(yè)安全地設(shè)置和使用云服務(wù)來保護(hù)在云中存儲(chǔ)和/或處理的信息。

ISO 27001中添加了最特定于云的指南的部分包括：

9.訪問控制

12.運(yùn)營安全

13.通訊安全

15.供應(yīng)商關(guān)系

18.合規(guī)

ISO 27017滿足了整個(gè)行業(yè)的需求，解決了CSP及其客戶圍繞云安全性的各自角色和職責(zé)。 它闡明了誰負(fù)責(zé)什么控制，如何在合同終止，分離和保護(hù)客戶的云環(huán)境時(shí)安全地刪除/返回信息資產(chǎn)，監(jiān)視客戶在云中的活動(dòng)等。

ISO 27017不僅比CSA STAR更能為CSP和云用戶提供指導(dǎo)。 云用戶可以使用它在其信息安全管理系統(tǒng)（ISMS）中開發(fā)特定于云的控件，而CSP可以將其用作實(shí)現(xiàn)安全控件的指南。

ISO 27017本身不是管理標(biāo)準(zhǔn)，而是“實(shí)踐準(zhǔn)則”。但是，在更廣泛的ISO 27001認(rèn)證審核的背景下，認(rèn)證機(jī)構(gòu)可以發(fā)布等同于ISO 27017的“符合性聲明”。 換句話說，要獲得ISO 27017“認(rèn)證”，公司（包括CSP）需要同時(shí)或最初獲得ISO 27001認(rèn)證 。

哪種標(biāo)準(zhǔn)適合您的情況？

ISO 27017為將數(shù)據(jù)移動(dòng)到云和/或在云中共享數(shù)據(jù)（包括CSP）的企業(yè)提供了價(jià)值。 CSA STAR更加全面，并且針對(duì)CSP。

云消費(fèi)者將在27017中找到更大的價(jià)值。CSP將在27017和CSA STAR中找到價(jià)值，如果這是長期目標(biāo)，則ISO 27017是通往CSA STAR的良好過渡點(diǎn)。 由于27017和CSA STAR在很大程度上覆蓋了相同的領(lǐng)域，因此您無需花費(fèi)更多的精力和成本即可實(shí)現(xiàn)這兩個(gè)目標(biāo)。

符合這兩個(gè)標(biāo)準(zhǔn)的證明將幫助企業(yè)建立與客戶和其他利益相關(guān)者的信任，展示競爭優(yōu)勢，保護(hù)其品牌/聲譽(yù)，遵守GDPR或當(dāng)?shù)胤ㄒ?guī)，并且最重要的是-保護(hù)他們的數(shù)據(jù)負(fù)責(zé)保護(hù)。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5600.html