ISO27017和ISO27018标准适应什么组织
假如组织使用或提供云服务,则应尽早实施ISO 27017标准。
假如组织处理顾客的个人身份信息(PII),则应该实施ISO 27018标准。
ISO 27017和ISO 27018建立在ISO 27001标准原则的基础上,该标准为公司建立,运营和维护信息安全管理系统提供了控制清单。 ISO 27017专注于云服务中信息的保护。 它扩展到云计算提供商的早期合规性标准中的控件,该合规性标准控制着IT供应商的信息管理和共享。
作为对此的补充,ISO 27018概述了云中用户数据的保护和隐私要求。 它提供了一种在云中保护个人身份信息(PII)的行为准则,该准则已被国际标准化组织(ISO)采用。
ISO27017基于云服务的ISO27002信息安全指南
ISO27017是基于云服务的ISO27002的信息安全控制操作规范的指南。 ISO27017标准旨在协助业务模型完全或部分依赖于云服务的组织。
ISO27017认识到云服务中可能出现的其他不可预测的安全风险,并提供相应的指南。 ISO27017提供了有关参与云服务的各方的责任的准则,尤其是在供应商或顾客与服务提供商上下文中。
ISO27017还为服务提供商和顾客提供了进行风险评估和实施控制的指南。 除此之外,ISO27017在以下情况下提供了有关在云服务中实施安全控制的行业和部门特定指南:
人力资源安全;
资产管理;
访问控制;
密码控制;
物理和环境安全;
运营安全;
通讯安全;
系统购置,开发和维护;
供应商关系;
信息安全事件管理;
业务连续性管理的信息安全方面;
合规性。