欢迎来到广汇联合(北京)认证服务有限公司【官方网站】:
体系认证
更多
客户专访
更多
员工专访
更多
联系我们

广汇联合---遵守法规,快速

 反应,增值认证,客户满意!

  热线:
13681064228
13681064228
  Q Q:
来电咨询

ISO27017和CSA STAR两种云安全标准的比较

发布时间:2020-06-19 作者:广汇联合 来源:广汇联合

ISO27017和CSA STAR两种云安全标准的比较:

一、CSA STAR

CSA云安全联盟,安全信任和保证注册表( CSA STAR )是一个“计划”,包含三个级别的保证(自我评估,第三方认证和持续审核),专门针对支持和评估云服务提供商( CSP)。 CSA STAR计划基于以下准则: 
 
CSA云控制矩阵(CCM)是特定于云的安全控制的“元框架”,映射到ISO 27001,PCI / DSS,HIPAA,COBIT和其他标准。 旨在提供“事实上的云安全保证和合规性标准”,该标准可以指导CSP优化其安全状况,并帮助公司评估CSP的安全状况。 
 
共识评估计划问卷 ,一组是/否问题,准客户或审计师可以要求云提供商评估其与云控制矩阵的一致性。 
 
CSA符合GDPR的行为准则 ,该工具可帮助CSP 遵守GDPR 。 
 
利用这些资源,CSP可以基于包含CCM和ISO 27001要求的严格的第三方评估,对自身的安全控制进行自我评估和公开记录,和/或获得CSA STAR认证。 CSP不断发布有关其安全实践的数据的一种选择是“开发中”。 
 
二、ISO 27017

ISO 27017是基于云服务的ISO/IEC 27002的信息安全控制规范描述性命名。 该框架以ISO 27001中定义的控件为基础,并在ISO 27002中进行了更详细的描述,它添加了附加的控件和实施指南,专门用于帮助企业安全地设置和使用云服务来保护在云中存储和/或处理的信息。 
 
ISO 27001中添加了最特定于云的指南的部分包括: 
 
9.访问控制 
 
12.运营安全 
 
13.通讯安全 
 
15.供应商关系 
 
18.合规 
 
ISO 27017满足了整个行业的需求,解决了CSP及其客户围绕云安全性的各自角色和职责。 它阐明了谁负责什么控制,如何在合同终止,分离和保护客户的云环境时安全地删除/返回信息资产,监视客户在云中的活动等。 
 
ISO 27017不仅比CSA STAR更能为CSP和云用户提供指导。 云用户可以使用它在其信息安全管理系统(ISMS)中开发特定于云的控件,而CSP可以将其用作实现安全控件的指南。 
 
ISO 27017本身不是管理标准,而是“实践准则”。但是,在更广泛的ISO 27001认证审核的背景下,认证机构可以发布等同于ISO 27017的“符合性声明”。 换句话说,要获得ISO 27017“认证”,公司(包括CSP)需要同时或最初获得ISO 27001认证 。 
 
三、哪种标准适合您的情况?
 
ISO 27017为将数据移动到云和/或在云中共享数据(包括CSP)的企业提供了价值。 CSA STAR更加全面,并且针对CSP。 
 
云消费者将在27017中找到更大的价值。CSP将在27017和CSA STAR中找到价值,如果这是长期目标,则ISO 27017是通往CSA STAR的良好过渡点。 由于27017和CSA STAR在很大程度上覆盖了相同的领域,因此您无需花费更多的精力和成本即可实现这两个目标。 
 
符合这两个标准的证明将帮助企业建立与客户和其他利益相关者的信任,展示竞争优势,保护其品牌/声誉,遵守GDPR或当地法规,并且最重要的是-保护他们的数据负责保护。