ISO/IEC 27017標準提供了ISO/IEC 27002中的37項控制指導(dǎo)及ISO/IEC 27002未涉及的7個新控制方面。
CLD.6.3.1:客戶和供應(yīng)商之間就共同或單獨責任達成協(xié)議,以清晰定義、記錄和溝通與云服務(wù) 相關(guān)的信息安全角色。
CLD.8.1.5:明確當客戶和供應(yīng)商之間的合同/協(xié)議終止時,應(yīng)如何將資產(chǎn)從云端退回或轉(zhuǎn)移。
CLD.9.5.1:供應(yīng)商必須保護客戶的虛擬環(huán)境并將其與其他客戶和外部各方的環(huán)境分離。
CLD.9.5.2:客戶和供應(yīng)商必須確保對虛擬機進行配置和增強,以滿足組織的需求。
CLD.12.1.5:客戶有責任定義、記錄和監(jiān)控與云環(huán)境相關(guān)的管理運營和程序, 在客戶需要 時, CSP要共享關(guān)于重要運營和程序的文檔。
CLD.12.4.5:供應(yīng)商的能力將如何支持客戶有效監(jiān)控云計算環(huán)境中的活動。
CLD.13.1.4:應(yīng)進行一致性配置, 從而使虛擬 網(wǎng)絡(luò)環(huán)境符合物理網(wǎng)絡(luò)的信息安全政策。
角色與責任
角色、涉及問題(如數(shù)據(jù)所有權(quán)、訪問控制和基礎(chǔ)設(shè)施維護等)責任定義及責任分配的模糊不清,可能引起業(yè)務(wù)或法律糾紛;尤其在涉及第三方的情況下。正如該標準所規(guī)定:
“云服務(wù)使用過程中,云服務(wù)供應(yīng)商系統(tǒng)所創(chuàng)建或修改的數(shù)據(jù)和文件可能對于確保服務(wù)運營、恢復(fù)和連續(xù)性至關(guān)重要。資產(chǎn)所有權(quán)以及對于這些資產(chǎn)相關(guān)的操作(例如,備份和恢復(fù)操作)承擔責任的各方應(yīng)當被定義和記錄。否則,將會存在云服務(wù)供應(yīng)商假設(shè)云服務(wù)客戶執(zhí)行了這些重要任務(wù)(反之亦然)的風(fēng)險,并且可能發(fā)生數(shù)據(jù)丟失。”
安全控制
該標準不僅只是劃分責任,還具有下列優(yōu)勢:ISO/IEC 27017更詳細地定義了供應(yīng)商應(yīng)當實施安全控制的類型,這有助于減少云技術(shù)采用的障礙。
ISO/IEC 27017為云服務(wù)供應(yīng)商提供了一種方法以表明已實施控制的級別。這意味著有記錄的證據(jù)—由獨立來源(例如,針對某些標準的認證)支持—可證明已實施適當?shù)恼撸钪匾氖牵岩肽男╊愋偷目刂啤T诤贤炇鹎埃瑧?yīng)當與云客戶共享此信息,以規(guī)避未來可能出現(xiàn)的任何潛在問題。
在無法進行獨立審核或者可能對信息安全構(gòu)成更大風(fēng)險的情況下,這一標準為CSP提供了選項以進行自評估。如果出現(xiàn)這種情況,CSP須告知客戶已進行自評估。
密碼保護
該標準還包含針對所采用密碼保護的指導(dǎo)原則,適用于客戶和供應(yīng)商,因雙方在此方面均承擔責任。供應(yīng)商應(yīng)當告知客戶如何使用密碼保護,并幫助客戶應(yīng)用自身的那些保護措施。與此同時還應(yīng)當慮到特殊情況,例如健康數(shù)據(jù),因其可能涉及其他一些監(jiān)管指導(dǎo)原則。
客戶也應(yīng)當坦誠告知其所使用的密碼保護類型—如果風(fēng)險分析表明有必要,他們應(yīng)當采用密碼保護。實際上,正因為存在爭議或誤解,才更需要標準。
雙方不僅應(yīng)當彼此確保網(wǎng)絡(luò)被有效保護,還應(yīng)當能夠確保兩個系統(tǒng)之間的兼容性。重要的是,應(yīng)當確定這些控制是適用于存儲的數(shù)據(jù)、傳輸?shù)臄?shù)據(jù),或兩者均用,因此處以往常常被誤解。
客戶關(guān)系
該標準對要求進行了拓展,不僅僅局限于技術(shù),還為培訓(xùn)確立了知道原則。對于云服務(wù)供應(yīng)商提供的基礎(chǔ)設(shè)施,許多客戶表示滿意,若要進一步支持,則略顯擔憂。
因為畢竟有大量證據(jù)表明,員工往往是組織安全措施中的薄弱環(huán)節(jié)。客戶不僅需要擔憂存在缺陷的安全設(shè)備,而且還要擔心員工是否遵循了所有適當?shù)拇胧4诵聵藴什粌H規(guī)定供應(yīng)商應(yīng)當讓員工和承包商增強意識并為其提供相關(guān)培訓(xùn),還規(guī)定培訓(xùn)應(yīng)當涵蓋監(jiān)管要求、客戶訪問以及特定要求。
資產(chǎn)所有權(quán)
云資產(chǎn)歸誰所有可能是另一外一個混淆點。該標準建議應(yīng)當建立云儲存資產(chǎn)清單,并且還重新提及了ISO/IEC 27002中所規(guī)定的針對資產(chǎn)所有權(quán)、可接受的資產(chǎn)使用及退還的指導(dǎo)原則信息。
新標準明確了安全處理客戶資產(chǎn)的參數(shù),從而使敏感數(shù)據(jù)不會被簡單地“丟棄”于虛擬回收站中。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商,法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
