ISO/IEC 27017:2015 标准云服务供应商和客户关系
发布时间:2020-07-09 作者:广汇联合 来源:广汇联合
为了方便大家更好、更深层次的理解与运用ISO/IEC 27017:2015标准,广汇联合认证权威专家组,全新诠释ISO/IEC 27017:2015 标准云服务供应商和客户关系。
标准要求:
在云计算环境中,云服务客户数据由云服务存储、传输和处理。因此,云服务客户的业务流程可能依赖于云服务的信息安全性。如果对云服务没有足够的控制,云服务客户就需要对其信息安全实践采取额外的预防措施。
在建立供应商关系前,云服务供应商需要选择一项云服务,并考虑到云服务客户的信息安全需求与该服务所提供的信息安全能力之间可能存在的差距。一旦选择了云服务,云服务保管者应以满足其信息安全要求的方式管理云服务的使用。在这种关系中,云服务供应商应提供必要的信息和技术支持,以满足云服务客户的信息安全需求。当云服务供应商提供的总体安全控制是预设的并且不能被云服务客户改变时,云服务客户可能需要实施额外的控制来降低风险。
企业要做内容:
1、确定企业本身在云服务中的角色,是客户或供应商,或者两者皆有;
2、根据确定的角色,在管理手册的范围或职责中进行描述,并根据本标准第5-18条款和附件A,选择适用的策略和控制措施。
审核员关注:
1、企业的云客户或供应商的角色定位是否在管理手册的范围或职责中明确描述,或者企业管理层可以清晰描述出来。