ISO/IEC 27017:2015 标准信息安全策略

发布时间：2020-07-11 作者：广汇联合 来源：广汇联合

为了方便大家更好、更深层次的理解与运用ISO/IEC 27017:2015标准，广汇联合认证权威专家组，全新诠释ISO/IEC 27017:2015 标准信息安全策略。

标准要求：

实施指南

客户	供应商
针对云服务客户的信息安全策略应该定义为针对特定主题的策略。云服务客户的云计算信息安全策略应该与组织对其信息和其他资产的信息安全风险的可接受水平保持一致，在制定云计算的信息安全策略时，云服务客户应考虑以下因素： -存储在云计算环境中的信息可以由云服务供应商访问和查询; -资产可以在云计算环境中维护，例如应用程序; -进程可以在多用户虚拟化云服务上运行; -云服务用户和他们使用云服务的上下衔接; -云服务客户的云服务管理员，他们有特权访问; -云服务供应商的组织和国家的地理位置，云服务供应商可以存储云服务客户数据(甚至是专用数据)。	云服务供应商应加强其信息安全策略，处理提供和使用云服务的事宜，并考虑以下因素: -适用于设计和推行云服务的基线信息安全规定; -授权内部人员的风险; -多用户和云服务客户隔离(包括虚拟化) ; -云服务供应商的工作人员访问云服务客户资产; -访问控制程序，例如，对云服务的管理访问进行强有力的认证; -在更改服务对象期间与云服务客户的通信; -病毒方面安全，访问和保护云服务客户数据; -云服务客户账户的生命周期管理; -违规通信和信息共享指南，以帮助调查和取证。

其他信息

云服务客户有关云计算的信息安全策略，是ISO/IEC27002 5.1.1所述的特定主题策略之一。组织的信息安全策略指导其信息和业务流程。当一个组织使用云服务时，它可以将云计算作为一个云服务客户。组织信息可以在云计算环境中存储和维护，业务流程可以在云计算环境中运行。一般信息安全规定在信息安全策略的最高层次是遵循云计算的策略。
与此相反，提供云服务的信息安全策略是处理云服务客户的信息及业务流程，而非云服务供应商的信息及业务流程。提供云服务的信息安全要求应符合预期云服务客户的要求。因此，它们可能与云服务供应商的信息和业务流程的信息安全要求不一致。信息安全策略的范围通常是以服务来界定，但并非只以组织结构或实际位置来界定。
云计算有几个虚拟化安全方面，包括虚拟实例的生命周期管理、虚拟映像的存储和访问控制、休眠或离线虚拟实例的交接、快照、管理程序的保护和安全控制控制自助门户的使用。

企业要做内容：

1、根据确定的角色（客户或供应商）、识别要求考虑的因素所对应的ISO27002控制域，在ISO27002基础上更新所选择的策略，描述在管理手册或SOA或策略集等文件里。
2、当企业是供应商时，选择的策略需要考虑主要客户的信息安全要求和业务流程。

审核员关注：

1、管理手册或SOA或策略集的云服务额外策略，描述是否体现要求的因素，与管理层访谈、了解如何体现主要客户的安全要求和业务流程。
 

如您想更详细的了解ISO/IEC 27017:2015 标准，需要ISO/IEC 27017:2015标准，请您网络搜索广汇联合，快人一步，成就管理者风范。