客服热线:021-8034****

ISO/IEC27017标准与ISO/IEC27002标准的差异,ISO/IEC27017给组织带来的协助

  
很多企业对ISO/IEC27017标准与ISO/IEC27002标准的差异,ISO/IEC27017给组织带来的协助都不是很了解,今天企业易就为大家简单介绍一下ISO/IEC27017标准与ISO/IEC27002标准的差异,ISO/IEC27017给组织带来的协助,希望大家能对ISO/IEC27017标准与ISO/IEC27002标准的差异,ISO/IEC27017给组织带来的协助有一个深入的了解.如果对ISO/IEC27017标准与ISO/IEC27002标准的差异,ISO/IEC27017给组织带来的协助还有疑问,可查看更多内容.
ISO/IEC27017标准与ISO/IEC27002标准的差异,ISO/IEC27017给组织带来的协助

ISO/IEC27017标准与ISO/IEC27002标准的差异

ISO/IEC 27017标准提供了ISO/IEC 27002中的37项控制指导及ISO/IEC 27002未涉及的7个新控制方面。

CLD.6.3.1:顾客和供应商之间就共同或单独责任达成协议,以清晰定义、记录和沟通与云服务 相关的信息安全角色。

CLD.8.1.5:明确当顾客和供应商之间的合同/协议终止时,应怎样将资产从云端退回或转移。

CLD.9.5.1:供应商必须保护顾客的虚拟环境并将其与其他顾客和外部各方的环境分离。

CLD.9.5.2:顾客和供应商必须确保对虚拟机进行配置和增强,以满足组织的需求。

CLD.12.1.5:顾客有责任定义、记录和监控与云环境相关的管理运营和程序, 在顾客必须 时, CSP要共享关于重要运营和程序的文档。

CLD.12.4.5:供应商的能力将怎样支持顾客有效监控云计算环境中的活动。

CLD.13.1.4:应进行一致性配置, 从而使虚拟 网络环境符合物理网络的信息安全政策。

角色与责任

角色、涉及问题(如数据所有权、访问控制和基础设施维护等)责任定义及责任分配的模糊不清,可能引起业务或法律纠纷;尤其在涉及第三方的情况下。正如该标准所规定:

“云服务使用过程中,云服务供应商系统所创建或修改的数据和文件可能对于确保服务运营、恢复和连续性至关重要。资产所有权以及对于这些资产相关的操作(例如,备份和恢复操作)承担责任的各方应当被定义和记录。否则,将会存在云服务供应商假设云服务顾客执行了这些重要任务(反之亦然)的风险,并且可能发生数据丢失。

安全控制

该标准不仅只是区划责任,还具有下列优势:ISO/IEC 27017更详细地定义了供应商应当实施安全控制的类型,这有助于减少云技术采用的障碍。

ISO/IEC 27017为云服务供应商提供了一种方法以表明已实施控制的级别。这代表着有记录的证据—由独立来源(例如,针对某些标准的认证)支持—可证明已实施适当的政策,最重要的是,已引入什么类型的控制。在合同签署前,应当与云顾客共享此信息,以规避未来可能出现的任何潜在问题。

在无法进行独立审核或者可能对信息安全构成更大风险的情况下,这一标准为CSP提供了选项以进行自评估。假如出现这种情况,CSP须告知顾客已进行自评估。

密码保护

该标准还包含针对所采用密码保护的指导原则,适用于顾客和供应商,因双方在此方面均承担责任。供应商应当告知顾客怎样使用密码保护,并协助顾客应用自身的那些保护措施。与此同时还应当虑到特殊情况,例如健康数据,因其可能涉以及他一些监管指导原则。

顾客也应当坦诚告知其所使用的密码保护类型—假如风险分析表明有必要,他们应当采用密码保护。实际上,正由于存在争议或误解,才更必须标准。

双方不仅应当彼此确保网络被有效保护,还应当能够确保两个系统之间的兼容性。重要的是,应当明确这些控制是适用于存储的数据、传输的数据,或两者均用,因此处以往常常被误解。

顾客关系

该标准对要求进行了拓展,不仅仅局限于技术,还为培训确立了知道原则。对于云服务供应商提供的基础设施,许多顾客标明满意,若要进1步支持,则略显担忧。

由于毕竟有大量证据表明,员工往往是组织安全措施中的薄弱环节。顾客不仅必须担忧存在缺陷的安全设备,并且还要担心员工是否遵循了所有适当的措施。此新标准不仅规定供应商应当让员工和承包商增强意识并为其提供相关培训,还规定培训应当涵盖监管要求、顾客访问以及特定要求。

资产所有权

云资产归谁所有可能是另一外1个混淆点。该标准建议应当建立云储存资产清单,并且还重新提及了ISO/IEC 27002中所规定的针对资产所有权、可接受的资产使用及退还的指导原则信息。

新标准明确了安全处理顾客资产的参数,从而使敏感数据不会被简单地“丢弃于虚拟回收站中。

ISO/IEC27017给组织带来的协助

当顾客对顾客和利益相关者有更大的放心时,激发对业务的信任。

它为组织提供了竞争优势-到位的强大控制措施能够保护数据。

协助发展业务-提供不同国家/地区的通用指南,使在全球开展业务变得更加容易。

简化的全球运营-由于ISO 27017和ISO 27018准则具有普遍性,因此一致性使云服务提供商更容易进入全球市场,并使顾客更容易签署国际合同。

提供和采用云仍然会引起误解。 任何将敏感的顾客数据委托给第三方的组织都必须知道,在灰色区域中,权利和责任没有得到明确的定义。

已经采取了许多信任措施,但这不一定是成功的最佳长期方法-尤其是当ISO/IEC 27017现在明确职责时。

从法律的角度来看,至关重要的是,您必须表现出尽职调查并应用了谨慎的标准。 当要求从云计算环境中提供数字证据或其他信息时,这一点尤其重要。

遵循并遵循ISO/IEC 27017是1个最佳实践框架,假如您遇到有关信息隐私的任何取证调查或挑战,将协助您做好准备。

CIO和IT经理与CSP之间关系的转变将使他们感到鼓舞,由于他们既支持并采用该标准。 它为保证云计算安全性引入了真正的共同点。

作为云服务的用户,您知道自己已经完成要求并履行了职责,您的顾客和相关方也将对您有更高的信任度。

免责声明
• 
本文仅代表作者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们