ISO/IEC27017:2015是基于ISO/IEC27002的云服務信息安全控制的實施規范,ISO/IEC27018:2019是公共云作為個人信息(PII)處理者的信息安全控制規范,這兩個標準則是聯合技術委員會ISO/IECJTC 1 SC 27開發小組開發的,其小組也開發過ISO/IEC27001標準。
ISO/IEC27017和ISO/IEC27018的由來
最近幾乎每一項市場調查都預測云服務的快速擴張。著名的信息和通信技術市場研究公司加特納(Gartner)預測,云計算市場從2012年的1100億美元增長到2017年的1310億美元,整體增長了18.6%、。思科全球云指數、預測IaaS和SaaS服務正分別以13%的復合年增長率和33%的復合年增長率快速成長。
現在差不多所有的個人和消費層面的應用均為云端應用。但是,在企業、政府和公共服務環境中云服務的采用依然不高。根據Ciphercloud研究,合規性(64%)和數據安全(32%)是云應用最大的兩個挑戰。
對用戶而言,如果一個云服務提供商能提供安心和信心給到其用戶,證明其云服務是可靠的、符合適用法規和合同要求的,并對其能采用最好的行業實踐,那么該云服務提供商將成為用戶的選擇。在這種實際需求存在的背景下,ISO/IEC27017和ISO/IEC27018應運而生。
對云營運來講,ISO/IEC27001則是一個很好的標準,但云服務提供商希望看到更多的針對云的控制規范來幫助他們解決云的具體問題。ISO/IEC27017和ISO/IEC27018標準正是工業界在產生這些要求后結果的體現。
云服務提供商提供的傳統服務級別協議(SLA)主要側重于數據中心的績效,如服務器和網絡可用性、環境和物理安全問題,以及傳統的服務,如備份和監控。云服務有其特定的關注點,它們通常不在服務級別和合同協議中提到。
標準概述
1、ISO/IEC 27017是什么?
ISO/IEC 27017簡稱云服務信息安全認證"。ISO/IEC 27017是有關《信息技術-安全技術-基于ISO/IEC 27002的云服務信息安全控制的實施規程》的國際標準。該標準提供了適用于提供和使用云服務的信息安全控制指南,包括如下方面:
①ISO/IEC 27002標準中有關控制的附加實施指南。
②帶有具體涉及云服務實施指南的附加控制。
2、ISO/IEC 27017的適用性
ISO27017認證適用于云服各提供商和云服各空戶,ISO/IEC 27017標準與ISO/IEC 27001系列標準配合使用,為云服務提供商和云服務客戶提供了加強控制。ISO/IEC 27017標準闡明了云服務提供商和云服務客戶雙方在幫助確保云服務安全可靠方面所扮演的角色和所承擔的責任。
ISO/IEC 27017標準不僅提供了ISO/IEC 27002標準中37個控制基于云服務的指導方針,而且還介紹了7個全新的云服務控制措施,以解決以下問題:
1.負責云服務提供商和云客戶之間關系的人是誰
2.當合同終止時,資產的移除/歸還
3.客戶虛擬環境的保護和分離
4.虛擬機配置
5.與云環境相關的管理操作和程序
6.云客戶監控云中活動
7.虛擬和云網絡環境的對接
3、ISO/IEC 27018是什么?
ISO/IEC 27018公有云個人信息保護國際認證(又稱“云隱私保護認證”)主要針對云服務商對云中個人數據和隱私的安全防護的標準認證。為云服務供應商如何處理個人可識別信息(PII)的企業提供了指南,用以保護公共云中的個人身份信息(PII)不受侵犯,是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。
ISO/IEC 27018能夠確保云服務供應商在處理PII方面有著適當的程序。它還可以幫助制定更強的云服務協議。該標準就PII的問題規定了CSPs如何培訓員工,需要什么文件程序,并提供了相應的指導方針。ISO/IEC 27018旨在為云服務客戶提供真正的透明度,以便客戶能夠清楚了解云服務供應商商在保護和保護個人數據方面所做的事情。
越來越多的消費者要求企業在采集、使用和保護其線上數據方面能夠變得更加透明。ISO 27018 旨在為云服務客戶提供真正的透明度,以便客戶能夠清楚了解云服務供應商商在保護和保護個人數據方面所做的事情。
ISO 27017和ISO 27018都是基于ISO27002標準,并針對適用于公有云個人可識別信息(PI)的ISO27002控制體系提供了實施指南。兩個標準都是基于ISO27001延伸。
ISO 27017提出比較多的改變安全控制。
ISO 27018則是提出比較多新增安全控制。
ISO27001因為是基礎的規范,所以在進行ISO27017 or ISO27018之前,必須先經過基本的ISO27001認證。
目前已經公布的ISO/IEC 27018標準與ISO/IEC 27001標準配合使用,可用于支持其基礎設施通過標準認證的云服務提供商告知其現有和潛在客戶,其數據得到了安全的保護,不會被用于任何其未明確同意的用途。
認證益處
一、ISO/IEC27017和ISO/IEC27018實施和認證的好處
1. 提高顧客信心。這兩個標準提供的額外控制提供了額外的保證,解決了云特定的技術和合同問題,并提供了保證。
2. 加強治理和風險管理。證書證明了該組織的委員會、技術能力和對云架構中繼承的適用風險和附加風險的信心。
3. 減少客戶審核。許多客戶通過頻繁的審核將他們的管理權分配給供應商。該認證提供了一個獨立的第三方的證據,證明該組織的云操作不僅受控,而且是按照國際最佳實踐基準標準進行控制的。
二、云服務供應商實施ISO/IEC27017和ISO/IEC27018的益處
ISO/IEC27017和ISO/IEC27018不是獨立的管理體系標準,需要與ISO/IEC27001管理體系審核一起進行。為了達到成功的認證,需要有效地實施ISO/IEC27001、ISO/IEC27017和(或)ISO/IEC27018中的所有適用的控制點。
版權所有?2018 中質捷管理咨詢有限公司[魯ICP備2021027106號]