ISO/IEC 27017:2015 标准角色和职责
发布时间:2020-07-15 作者:广汇联合 来源:广汇联合
为了方便大家更好、更深层次的理解与运用ISO/IEC 27017:2015标准,广汇联合认证权威专家组,全新诠释ISO/IEC 27017:2015 标准角色和职责。
标准要求:
实施指南客户 | 供应商 |
云服务客户应与云服务供应商就信息安全角色及责任的适当分配达成协议,并确认能够履行其所定位的角色及责任。双方的信息安全角色及责任应在协议中载明。云服务客户应识别及管理其与云服务供应商的客户支援及服务功能的关系 | 云服务供应商应与其云服务客户、云服务供应商和其他供应商达成一致,并记录适当的信息安全角色和职责分配 |
其他信息
即使各方内部之间确定了责任,云服务管理者也要对使用服务的决定负责。这个决定应该根据云服务客户组织内部确定的角色和责任来做。云服务供应商对云服务协议中的信息安全状态负责。信息安全的实现和提供应该根据云服务供应商组织中确定的角色和职责来进行。与数据所有权、访问控制和基础设施等问题相关的角色、定义和责任分配的模糊性,可能会引起商业或法律纠纷,尤其是在与第三方打交道时。
云服务供应商系统内在使用云服务期间所建立或修改的资料及档案,对保障服务的安全运作、恢复及持续性至为重要。应界定及记录所有资产的拥有权,以及负责与这些资产相关的运作(例如备份及恢复运作)的各方。否则,云服务供应商可能会假定云服务客户执行这些重要任务(反之亦然) ,从而可能出现数据丢失。
企业要做内容:
1、企业与其客户和供应商的云服务协议合同进行足够的沟通、确认,详细规定各方信息安全角色、职责、义务和权利,例如:客户支持和服务功能、数据所有权、访问控制和基础设施、界定及记录资产的拥有权、资产相关的运作(例如备份及恢复运作)等。
2、强烈建议企业建立各项业务的双方(客户和供应商)接口人名单,并及时更新。
审核员关注:
1、服务协议规定的内容适用、衔接双方的合作业务范围,规定内容的是否完整,比如标准提及的内容是否囊括。
2、访谈业务联系接口人的日常工作及状况。