正规ISO认证,国家认监委可查,一个月左右下证,包辅导包通过,不过退款 
ISO9001质量认证平台
深圳iso认证全包式服务
辅导-认证-包过-低价
 李老师:15220227293

          0755-21033850

ISO9001 quality certification platform
在线客服
 工作时间
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 联系方式
QQ:1801949861
电话::15220227293
iso认证详情

ISO/IEC27017标准与ISO/IEC27002标准各有特点

发表时间:2021-05-01 10:16作者:咨询15220227293

ISO/IEC27017标准与ISO/IEC27002标准各有特点


        ISO/IEC27017标准与ISO/IEC27002标准各有特点,ISO/IEC27017标准与ISO/IEC27002标准是有差异的,下面来详细介绍它们的差异:


ISO/IEC 27017标准提供了ISO/IEC 27002中的37项控制指导及ISO/IEC 27002未涉及的7个新控制方面。


CLD.6.3.1:客户和供应商之间就共同或单独责任达成协议,以清晰定义、记录和沟通与云服务 相关的信息安全角色。


CLD.8.1.5:明确当客户和供应商之间的合同/协议终止时,应如何将资产从云端退回或转移。


CLD.9.5.1:供应商必须保护客户的虚拟环境并将其与其他客户和外部各方的环境分离。


CLD.9.5.2:客户和供应商必须确保对虚拟机进行配置和增强,以满足组织的需求。


CLD.12.1.5:客户有责任定义、记录和监控与云环境相关的管理运营和程序, 在客户需要 时, CSP要共享关于重要运营和程序的文档。


CLD.12.4.5:供应商的能力将如何支持客户有效监控云计算环境中的活动。


CLD.13.1.4:应进行一致性配置, 从而使虚拟 网络环境符合物理网络的信息安全政策。



20200819104201237.png

ISO/IEC 27017标准


角色与责任


角色、涉及问题(如数据所有权、访问控制和基础设施维护等)责任定义及责任分配的模糊不清,可能引起业务或法律纠纷;尤其在涉及第三方的情况下。正如该标准所规定:


“云服务使用过程中,云服务供应商系统所创建或修改的数据和文件可能对于确保服务运营、恢复和连续性至关重要。资产所有权以及对于这些资产相关的操作(例如,备份和恢复操作)承担责任的各方应当被定义和记录。否则,将会存在云服务供应商假设云服务客户执行了这些重要任务(反之亦然)的风险,并且可能发生数据丢失。”


安全控制


该标准不仅只是划分责任,还具有下列优势:ISO/IEC 27017更详细地定义了供应商应当实施安全控制的类型,这有助于减少云技术采用的障碍。


ISO/IEC 27017为云服务供应商提供了一种方法以表明已实施控制的级别。这意味着有记录的证据—由独立来源(例如,针对某些标准的认证)支持—可证明已实施适当的政策,最重要的是,已引入哪些类型的控制。在合同签署前,应当与云客户共享此信息,以规避未来可能出现的任何潜在问题。


在无法进行独立审核或者可能对信息安全构成更大风险的情况下,这一标准为CSP提供了选项以进行自评估。如果出现这种情况,CSP须告知客户已进行自评估。


密码保护


该标准还包含针对所采用密码保护的指导原则,适用于客户和供应商,因双方在此方面均承担责任。供应商应当告知客户如何使用密码保护,并帮助客户应用自身的那些保护措施。与此同时还应当虑到特殊情况,例如健康数据,因其可能涉及其他一些监管指导原则。


客户也应当坦诚告知其所使用的密码保护类型—如果风险分析表明有必要,他们应当采用密码保护。实际上,正因为存在争议或误解,才更需要标准。


双方不仅应当彼此确保网络被有效保护,还应当能够确保两个系统之间的兼容性。重要的是,应当确定这些控制是适用于存储的数据、传输的数据,或两者均用,因此处以往常常被误解。


客户关系


该标准对要求进行了拓展,不仅仅局限于技术,还为培训确立了知道原则。对于云服务供应商提供的基础设施,许多客户表示满意,若要进一步支持,则略显担忧。


因为毕竟有大量证据表明,员工往往是组织安全措施中的薄弱环节。客户不仅需要担忧存在缺陷的安全设备,而且还要担心员工是否遵循了所有适当的措施。此新标准不仅规定供应商应当让员工和承包商增强意识并为其提供相关培训,还规定培训应当涵盖监管要求、客户访问以及特定要求。


资产所有权


云资产归谁所有可能是另一外一个混淆点。该标准建议应当建立云储存资产清单,并且还重新提及了ISO/IEC 27002中所规定的针对资产所有权、可接受的资产使用及退还的指导原则信息。


新标准明确了安全处理客户资产的参数,从而使敏感数据不会被简单地“丢弃”于虚拟回收站中。


ISO27017认证的特点


云客户担心安全性-尽管云可以提供灵活性和可扩展性,但这仍然是组织犹豫采用云服务的关键原因。 一个主要的关注点是云服务提供商(CSP)处理客户数据时要格外注意和关注的能力。


这样做的主要因素是担心数据可能落入错误的手中,以及客户对粗心的操作员有什么控制权。 但是,还有其他一些问题:客户身份,虚拟服务器上的资产隔离以及CSP停业时资产会发生什么等问题,这些问题也都在潜在的云用户的脑海中产生。


ISO 27001系列解决了其中一些问题,但新标准ISO/IEC27017走得更远,并为潜在的云客户提供了更多的安心。 解决云提供商针对云服务提供商的控件和指南的典型云标准和技术标准。


该标准不仅有助于定义职责分离:ISO/IEC 27017还详细介绍了服务提供商应实施的安全控制类型-有助于减少采用云的障碍。 ISO/IEC27017为云服务提供商提供了一种指示已实施控制级别的方法。


这意味着文件化的证据(由独立来源(例如对某些标准的认证)支持)表明已实施了适当的政策,最重要的是,已引入了何种类型的控制措施。 在签订任何合同之前,应与云客户共享此信息,以帮助减轻将来的任何潜在问题。


如果独立审核不可行或会对信息安全造成更大风险,则该标准确实为CSP提供了一种进行自我评估的选项。 在这种情况下,CSP必须告知客户他们已进行自我评估。



◆它提供了有关谁负责云服务提供商和云客户之间的责任的明确说明;


◆合同终止时的资产清算/归还;


◆保护和分离客户的虚拟环境;


◆虚拟机配置;


◆与云环境相关的管理操作和过程;


◆云端客户对云端活动的监控;


◆虚拟和云网络环境对齐。


21.png

ISO27017认证

会员登录
登录
其他帐号登录:
留言
回到顶部