什么叫ISO27017,什么叫ISO27017为何云顾客和提供商应该关注

什么叫ISO27017

在世界范围内，组织越来越意识到云计算所带来的商业价值，并正在采取步骤向云过渡。 平稳的过渡必须对收益和所涉及的挑战有透彻的了解。 云计算的主要挑战之一是怎样解决计划采用它的企业和实施它的云服务提供商（CSP）的安全和隐私问题。 有价值的企业数据将驻留在企业防火墙之外的事实引起了人们的严重关注。 即使仅攻击1个站点，对云基础架构的黑客攻击和各种网络攻击也会产生多米诺骨牌效应，并影响多个顾客端。 随着全球云技术的使用持续增长，企业必须从战略上考虑存储受保护信息的风险，并探索可行的安全选项以保护其信息系统。

寻求以结构化且可靠的方式使用Cloud Security的组织能够从ISO/IEC 27017 Cloud Security指南中受益匪浅。 ISO/IEC 27017是为云服务提供商和用户开发的标准，用于保护基于云的环境并最大程度降低安全事件的潜在风险。

ISO/IEC 27017旨在协助推荐和实施基于云的组织的控件。 这不仅与将信息存储在云中的组织有关，并且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。 该标准建立在ISO 27002标准的基础上，可是容许添加特定的控件以满足云组织以及最终用户的需求。

评估通常在量身定制的验证步骤中进行。 验证过程的输出既能够在公司内部使用，也能够公开使用。 组织还能够选择定义与标准的核心问题相关的评估边界，重点放在对组织本身以及业务实践最关键的问题上。

什么叫ISO27017为何云顾客和提供商应该关注

ISO 27017是国际标准化组织（ISO）专门针对云计算的相对较新的出版物。

ISO 27017与其他几个ISO标准一起使用。 这些包含：

ISO 27001：管理整体信息安全管理系统的准则

ISO 27002：组织能够使用的特定安全控制列表

ISO 27017：在云中运行的通常安全准则

ISO 27018：专门针对怎样保护云中的个人数据的准则

实际上，ISO 27017建立在ISO 27002的基础上：它为某些安全控制提供了额外的细节，并添加了一些新的控制，以增加与云计算领域的关联性。

ISO 27017中的指南是针对云服务的提供商和顾客而设计的。 它指出，云计算的工作方式代表着有可能拥有1个供应链，在该供应链中，同一组织既能够是云服务顾客，也能够是云服务提供商。

开发ISO 27017的目的不仅仅是云服务提供商维护安全性的问题。 相反，顾客将必须评估提供商的安全控制，其次顾客可能不得不调整自己的活动以满足其安全要求。

ISO 27017具有与ISO 27002类似的结构，即可能的安全控件的清单格式。 各个组织可能必须决定这些控件中的什么控件与他们的情况相关，这可能取决于它们作为云服务提供商，顾客或两者的状态。 一些控件以相同的方式应用于提供商和顾客，而其他控件则具有单独的条目。

关键差异

ISO 27017添加到ISO 27002的最重要的特定于云的指南解决了备份问题。

云服务顾客应指定他们必须从提供商那里获得什么备份功能，验证所提供的服务是否满足他们的需求，并在服务不足时自行安排； 而云服务提供商应提供“对备份的安全且分开的访问，并提供备份功能的规范。

建议在规范中解决的一些问题包含：

备份范围和时间表

备份方式

资料格式

加密

保留期

备份数据的完整性

恢复程序和时间表

测试中

备份的物理位置。

ISO 27017中最重要的新控件涉及虚拟计算环境中的隔离。 他们的关键原则是要保护顾客的虚拟环境免受别人（包含其他顾客）的未经授权的访问。 这要求对数据和资源进行“适当的逻辑隔离，并考虑到容许顾客运行自己的软件的风险。