ISO/IEC 27017--为云服务商提供指南
发布时间:2020-06-16 作者:广汇联合 来源:广汇联合
信息安全管理的黄金标准是ISO / IEC 27001和ISO / IEC 27002中给出的指南。这些标准仍然是基础,但是该指南主要是在组织处理自己的信息的前提下编写的。在共享安全责任的情况下,越来越多的人采用托管的IT和云服务正受到挑战这一假设。 这并不是说这些标准和准则不适用于云,而是在需要外部处理信息时需要对其进行调整。
ISO / IEC 27017和ISO / IEC 27018标准提供了解决此问题的准则。
ISO / IEC 27018建立了用于保护个人身份信息以实现公共云计算环境保护的措施的控制和准则。 指引基于ISO / IEC27002中指定的标准,控制目标已扩展为包括满足ISO / IEC 29100中的隐私原则需要。 这些准则可以轻松地映射到现有的欧盟隐私原则。 该标准旨在帮助组织使用公共云服务来处理个人身份信息。确保合规性非常有用。 在这种情况下,云客户是数据控制器,并且根据当前的欧盟法律,它仍会响应数据处理器违规负责合规。 为了提供这种级别的保证,一些云服务提供商已获得独立认证,证明它们符合此标准。
新的ISO / IEC 27017提供了更广泛适用于云服务使用的准则。 对于现有的ISO / IEC27002个控件中的37个提供了具体准则; 为云服务客户和云服务提供商提供了单独的补充准则。 这强调了云服务的安全性共同的责任。
这包括云客户需要制定使用云服务的策略以及云服务提供商向客户提供信息的策略。
例如,关于受限访问(ISO 27001控制A.9.4.1),准则是:
云服务客户应确保可以根据其访问控制策略来限制对云服务中信息的访问,并确保已实施这些限制。
云服务提供商应提供访问控制,以允许云服务客户限制其云服务,其云服务功能和服务保持对云服务客户数据的访问。
此外,该标准还包括其他7个与云服务相关的控件。 这些新控件的数量与现有相关控件的数量一致ISO / IEC 27002控制 这些扩展控件涵盖:
云计算环境中的角色和责任共享
删除并返回云服务客户资产
虚拟计算环境中的隔离
虚拟机强化
管理员的操作安全
监控云服务
虚拟网络和物理网络的安全管理对齐
简而言之,ISO / IEC 27017提供了非常有用的指南提供商,我们建议云客户和云服务提供商应遵循该指南。 尽管对于云服务提供商来说,获得符合此标准的独立认证是有帮助的,但它并不能免除客户确保遵守准则的责任。