ISO27017基于云服务的ISO27002信息安全指南,ISO27017与CSASTAR的比较–两种领先的云安全标准的比较

ISO27017基于云服务的ISO27002信息安全指南

ISO27017是基于云服务的ISO27002的信息安全控制操作规范的指南。 ISO27017标准旨在协助业务模型完全或部分依赖于云服务的组织。

ISO27017认识到云服务中可能出现的其他不可预测的安全风险，并提供相应的指南。 ISO27017提供了有关参与云服务的各方的责任的准则，尤其是在供应商或顾客与服务提供商上下文中。

ISO27017还为服务提供商和顾客提供了进行风险评估和实施控制的指南。 除此之外，ISO27017在以下情况下提供了有关在云服务中实施安全控制的行业和部门特定指南:

人力资源安全；

资产管理;

访问控制;

密码控制；

物理和环境安全；

运营安全；

通讯安全；

系统购置，开发和维护；

供应商关系；

信息安全事件管理；

业务连续性管理的信息安全方面；

合规性。

ISO27017与CSASTAR的比较–两种领先的云安全标准的比较

随着云计算的指数级增长，各种规模的组织都必须了解有关在云中存储敏感数据的风险，以及研究和实施云安全选项。 为了支持这项工作，能够使用几种专门的云安全标准。

这些标准中的两个已在全球范围内引起关注：ISO 27017和CSA STAR 。 这篇文章比较了这些领先标准，包含每种标准旨在解决的用例。

CSA云安全联盟，安全信任和保证申请注册表（ CSA STAR ）是1个“计划，包含3个级别的保证（自我评估，第三方认证和持续审核），专门针对支持和评估云服务提供商（ CSP）。 CSA STAR计划基于以下准则：

CSA云控制矩阵（CCM）是特定于云的安全控制的“元框架，映射到ISO 27001，PCI / DSS，HIPAA，COBIT和其他标准。 旨在提供“事实上的云安全保证和合规性标准，该标准能够指导CSP优化其安全状况，并协助公司评估CSP的安全状况。

共识评估计划问卷 ，一组是/否问题，准顾客或审计师能够要求云提供商评估其与云控制矩阵的一致性。

CSA符合GDPR的行为准则 ，该工具可协助CSP 遵守GDPR 。

利用这些资源，CSP能够基于包含CCM和ISO 27001要求的严格的第三方评估，对自身的安全控制进行自我评估和公开记录，和/或获得CSA STAR认证。 CSP不断发布有关其安全实践的数据的一种选择是“开发中。

ISO 27017是基于云服务的ISO/IEC 27002的信息安全控制规范描述性命名。 该框架以ISO 27001中定义的控件为基础，并在ISO 27002中进行了更详细的描述，它添加了附加的控件和实施指南，专门用于协助企业安全地设置和使用云服务来保护在云中存储和/或处理的信息。

ISO 27001中添加了最特定于云的指南的部分包含：

9.访问控制

12.运营安全

13.通讯安全

15.供应商关系

18.合规

ISO 27017满足了整个行业的需求，解决了CSP以及顾客围绕云安全性的各自角色和职责。 它阐明了谁负责什么控制，怎样在合同终止，分离和保护顾客的云环境时安全地删除/返回信息资产，监视顾客在云中的活动等。

ISO 27017不仅比CSA STAR更能为CSP和云用户提供指导。 云用户能够使用它在其信息安全管理系统（ISMS）中开发特定于云的控件，而CSP能够将其用作实现安全控件的指南。

ISO 27017本身不是管理标准，而是“实践准则。可是，在更广泛的ISO 27001认证审核的背景下，认证公司能够发布等同于ISO 27017的“符合性声明。 换句话说，要获得ISO 27017“认证，公司（包含CSP）必须同时或最初获得ISO 27001认证 。

哪种标准适合您的情况？

ISO 27017为将数据移动到云和/或在云中共享数据（包含CSP）的企业提供了价值。 CSA STAR更加全面，并且针对CSP。

云消费者将在27017中找到更大的价值。CSP将在27017和CSA STAR中找到价值，假如这是长期目标，则ISO 27017是通往CSA STAR的良好过渡点。 由于27017和CSA STAR在很大程度上覆盖了相同的领域，因此您无需支出更多的精力和成本即可实现这两个目标。

符合这两个标准的证明将协助企业建立与顾客和其他利益相关者的信任，展示竞争优势，保护其品牌/声誉，遵守GDPR或当地法规，并且最重要的是-保护他们的数据负责保护。