ISO27017云服務(wù)信息安全管理認(rèn)證

ISO27017云服務(wù)管理認(rèn)證概述
  安全是云客戶擔(dān)憂的一大問題，盡管云有著出色的靈活性和可拓展性，但安全問題始終是組織在選擇使用云服務(wù)過程中為何猶豫不決的原因之一。云客戶主要的擔(dān)憂在于云服務(wù)供應(yīng)商（CSP）是否能夠認(rèn)真對待并且備充分重視客戶數(shù)據(jù)安全問題主要在于擔(dān)心數(shù)據(jù)最終可能會(huì)落入不法之徒手中，以及客戶就那些粗心大意造成問題的運(yùn)營商會(huì)采取什么樣的控制措施。當(dāng)然還存在這其他的擔(dān)憂，例如：客戶身份、虛擬服務(wù)器中的資產(chǎn)隔離、以及在云服務(wù)供應(yīng)商出現(xiàn)停業(yè)的況下，資產(chǎn)會(huì)發(fā)生什么情況等，這些都是潛在云用戶關(guān)注的問題。
  ISO/IEC 27017標(biāo)準(zhǔn)與ISO/IEC 27001系統(tǒng)標(biāo)準(zhǔn)配合使用，為云服務(wù)提供商和云服務(wù)客戶提供了加強(qiáng)控制。ISO/IEC 27017標(biāo)準(zhǔn)闡明了云服務(wù)提供商和云服務(wù)客戶雙方在幫助確保云服務(wù)安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。
  ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了基于ISO/IEC 27002標(biāo)準(zhǔn)中多個(gè)控制措施的針對云服務(wù)的特殊要求，還介紹了7個(gè)全新的云服務(wù)控制措施,通過ISO/IEC 27017的認(rèn)證，可以有效地保護(hù)數(shù)據(jù)，降低數(shù)據(jù)以及違反法律法規(guī)帶來的風(fēng)險(xiǎn)和負(fù)面的加強(qiáng)客戶對企業(yè)的信任。ISO27001因?yàn)槭亲罨�礎(chǔ)的規(guī)范，所以在進(jìn)行ISO27017之前，必須先經(jīng)過基本的ISO27001認(rèn)證。

   

ISO27017認(rèn)證的好處

　　委托敏感客戶數(shù)據(jù)的任何云提供商都可能會(huì)從ISO27017中受益。該標(biāo)準(zhǔn)通過提供云環(huán)境獨(dú)有的指導(dǎo)來幫助組織，并解決了許多云提供商的痛點(diǎn)，例如在云計(jì)算中角色和職責(zé)的劃分環(huán)境。

　　該標(biāo)準(zhǔn)可以幫助組織根據(jù)其環(huán)境的待定需求增強(qiáng)其信息安全管理系統(tǒng)。此外，利用ISO27017標(biāo)準(zhǔn)可以是組織降低云服務(wù)組織固有的風(fēng)險(xiǎn)以及潛在的破壞成本。

如何ISO27017云服務(wù)信息安全管理認(rèn)證

　　由于ISO/IEC27017不是管理標(biāo)準(zhǔn)，因此無法嚴(yán)格按照ISO/IEC27017控件對組織進(jìn)行認(rèn)證。但是，可能通過在ISO/IEC27017認(rèn)證審核范圍內(nèi)添加其他ISO27017控件來幫助組織，以確保公司可以證明符合ISO/IEC27017標(biāo)準(zhǔn)。

　　ISO/IEC27017的云服務(wù)信息安全控制操作規(guī)范，為云服務(wù)行業(yè)提供了基于ISO27002的指南。

　　該標(biāo)準(zhǔn)針對ISO27002中的37個(gè)控件提供了特定于云服務(wù)提供商的指南，但還具有七個(gè)新控件：

　　1、云計(jì)算環(huán)境中的角色和職責(zé)共享

　　2、刪除云服務(wù)客戶資產(chǎn)

　　3、虛擬計(jì)算環(huán)境中的隔離

　　4、虛擬機(jī)強(qiáng)化

　　5、管理員的操作安全

　　6、監(jiān)控云服務(wù)

　　7、虛擬和物理網(wǎng)絡(luò)的安全管理對齊

　　該標(biāo)準(zhǔn)與提供基于云的服務(wù)的組織以及云中存儲(chǔ)信息的任何組織有關(guān)。

　　ISO/IEC27017標(biāo)準(zhǔn)不僅提供了ISO/IEC27002標(biāo)準(zhǔn)中37個(gè)控制基于云端的指導(dǎo)方針，而且還介紹了7個(gè)全新云控制以解決以下問題：

　　1、負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰

　　2、當(dāng)合同終止時(shí)，資產(chǎn)的移除/歸還

　　3、客戶虛擬環(huán)境的保護(hù)和分離

　　4、虛擬機(jī)配置

　　5、與云環(huán)境相關(guān)的管理操作和程序

　　6、云客戶監(jiān)控云中活動(dòng)

　　7、虛擬和云網(wǎng)絡(luò)環(huán)境的對接     

  上海賽學(xué)-最早從事ISO27017云服務(wù)信息安全管理認(rèn)證的輔導(dǎo)機(jī)構(gòu)。我們教會(huì)企業(yè)從做品牌跟做企業(yè)第一個(gè)字是“小”，第二個(gè)字是“穩(wěn)”，第三個(gè)字是“強(qiáng)”，第四個(gè)字是“大”，第五個(gè)字是“久”。中興和華為被美國以信息安全和知識(shí)產(chǎn)權(quán)的理由多次拒絕。我們在信息安全和知識(shí)產(chǎn)權(quán)領(lǐng)域始終重視程度不夠。我們可以平凡，但不能平庸。預(yù)警系統(tǒng)的建立對風(fēng)控非常重要。細(xì)節(jié)主義在為取得成功的努力過程中，不可缺少的是執(zhí)行原理。用立權(quán)主義果斷制定策略，在行動(dòng)中注重細(xì)節(jié)，相輔相成，事半功倍。

　　上海賽學(xué)是最早一批幫助中小企業(yè)進(jìn)行云服務(wù)管理體系認(rèn)證咨詢公司之一。我們讓您的公司在成長的道路上節(jié)約時(shí)間、少走彎路，將信息安全管理成功和失敗的案例分享給大家!咨詢熱線：13370039986余老師