ISO27017与CSASTAR的比较–两种领先的云安全标准的比较
随着云计算的指数级增长,各种规模的组织都必须了解有关在云中存储敏感数据的风险,以及研究和实施云安全选项。 为了支持这项工作,能够使用几种专门的云安全标准。
这些标准中的两个已在全球范围内引起关注:ISO 27017和CSA STAR 。 这篇文章比较了这些领先标准,包含每种标准旨在解决的用例。
CSA云安全联盟,安全信任和保证申请注册表( CSA STAR )是1个“计划,包含3个级别的保证(自我评估,第三方认证和持续审核),专门针对支持和评估云服务提供商( CSP)。 CSA STAR计划基于以下准则:
CSA云控制矩阵(CCM)是特定于云的安全控制的“元框架,映射到ISO 27001,PCI / DSS,HIPAA,COBIT和其他标准。 旨在提供“事实上的云安全保证和合规性标准,该标准能够指导CSP优化其安全状况,并协助公司评估CSP的安全状况。
共识评估计划问卷 ,一组是/否问题,准顾客或审计师能够要求云提供商评估其与云控制矩阵的一致性。
CSA符合GDPR的行为准则 ,该工具可协助CSP 遵守GDPR 。
利用这些资源,CSP能够基于包含CCM和ISO 27001要求的严格的第三方评估,对自身的安全控制进行自我评估和公开记录,和/或获得CSA STAR认证。 CSP不断发布有关其安全实践的数据的一种选择是“开发中。
ISO 27017是基于云服务的ISO/IEC 27002的信息安全控制规范描述性命名。 该框架以ISO 27001中定义的控件为基础,并在ISO 27002中进行了更详细的描述,它添加了附加的控件和实施指南,专门用于协助企业安全地设置和使用云服务来保护在云中存储和/或处理的信息。
ISO 27001中添加了最特定于云的指南的部分包含:
9.访问控制
12.运营安全
13.通讯安全
15.供应商关系
18.合规
ISO 27017满足了整个行业的需求,解决了CSP以及顾客围绕云安全性的各自角色和职责。 它阐明了谁负责什么控制,怎样在合同终止,分离和保护顾客的云环境时安全地删除/返回信息资产,监视顾客在云中的活动等。
ISO 27017不仅比CSA STAR更能为CSP和云用户提供指导。 云用户能够使用它在其信息安全管理系统(ISMS)中开发特定于云的控件,而CSP能够将其用作实现安全控件的指南。
ISO 27017本身不是管理标准,而是“实践准则。可是,在更广泛的ISO 27001认证审核的背景下,认证公司能够发布等同于ISO 27017的“符合性声明。 换句话说,要获得ISO 27017“认证,公司(包含CSP)必须同时或最初获得ISO 27001认证 。
哪种标准适合您的情况?
ISO 27017为将数据移动到云和/或在云中共享数据(包含CSP)的企业提供了价值。 CSA STAR更加全面,并且针对CSP。
云消费者将在27017中找到更大的价值。CSP将在27017和CSA STAR中找到价值,假如这是长期目标,则ISO 27017是通往CSA STAR的良好过渡点。 由于27017和CSA STAR在很大程度上覆盖了相同的领域,因此您无需支出更多的精力和成本即可实现这两个目标。
符合这两个标准的证明将协助企业建立与顾客和其他利益相关者的信任,展示竞争优势,保护其品牌/声誉,遵守GDPR或当地法规,并且最重要的是-保护他们的数据负责保护。
ISO27017云服务安全管理体系适用行业有哪些怎么申请认证
ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
- 负责云服务提供商和云客户之间关系的人是谁
- 当合同终止时,资产的移除/归还
- 客户虚拟环境的保护和分离
- 虚拟机配置
- 与云环境相关的管理操作和程序
- 云客户监控云中活动
- 虚拟和云网络环境的对接
通过ISO27017的认证,可以有效地保护数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。ISO27001因为是最基础的规范,所以在进行ISO27017之前,必须先经过基本的ISO27001认证。ISO27017认证也有可能会与1SO27001认证审核一并进行。
ISO 27017云服务安全管理体系适用行业
ISO27017认证适用于云服务提供商和云服务客户。
ISO 27017云服务安全管理体系作用
1、提升信任——让您的客户和利益相关者对其数据和信息的安全性更加放心。
2、竞争优势——展示对数据保护的稳健控制。
3、品牌声誉——降低因数据泄露引发的负面宣传风险。
4、防止罚款——确保遵守当地法规,降低对数据泄露的罚款风险。
5、企业发展——提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。
ISO 27017云服务安全管理体系认证条件
1、申请认证的组织应建立符合ISO 27017云服务安全管理体系标准要求的文件化信息;
2、在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;
3、组织应向认证机构提供业务连续性管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,认证机构将以抽样的方式对多现场进行审核。