ISO/IEC 27017簡(jiǎn)稱*云服務(wù)信息安全認(rèn)證“。

ISO/IEC 27017是有關(guān)《信息技術(shù)-安全技術(shù)-基于ISO/IEC 27002的云服務(wù)信息安全控制的實(shí)施規(guī)程》的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供了適用于提供和使用云服務(wù)的信息安全控制指南，包括如下方面：

①ISO/IEC 27002標(biāo)準(zhǔn)中有關(guān)控制的附加實(shí)施指南。

②帶有具體涉及云服務(wù)實(shí)施指南的附加控制。

ISO/IEC 27017的適用性

ISO 27017認(rèn)證適用于云服務(wù)提供商和云服務(wù)客戶。

ISO 27017與ISO 27001系列標(biāo)準(zhǔn)之間的關(guān)系

ISO 27017是基于ISO 27001的增強(qiáng)版本， 旨在為云服務(wù)提供商和云服務(wù)客戶提供增強(qiáng)的控制能力， 從而有助于讓云服務(wù)與傳統(tǒng)信息系 樣安全可靠。

ISO/IEC 27017標(biāo)準(zhǔn)明了云服務(wù)提供商和云服務(wù)客戶雙方在幫助確保云服務(wù)安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。

ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云服務(wù)的指導(dǎo)方針， 而且還介紹了7個(gè)全新的云服務(wù)控制措施，以解決以下問(wèn)題：

①負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰(shuí)

②當(dāng)合同終止時(shí)，資產(chǎn)的移除/歸還

③客戶虛擬環(huán)境的保護(hù)和分離

④虛擬機(jī)配置

⑤與云環(huán)境相關(guān)的管理操作和程序

⑥云客戶監(jiān)控云中活動(dòng)

⑦虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接

ISO 27017和ISO 27018都是基于ISO 27002標(biāo)準(zhǔn)， 并針對(duì)適用于公有云個(gè)人可識(shí)別信息(PI) 的ISO 27002控制體系提供了實(shí)施指南。兩個(gè)標(biāo)準(zhǔn)都是基于ISO 27001延伸。

ISO 27017提出比較多的改變安全控制。

ISO 27018則是提出比較多新增安全控制。

ISO 27001因?yàn)槭腔A(chǔ)的規(guī)范， 所以在進(jìn)行ISO27017orISO 27018之前， 必須先經(jīng)過(guò)基本的ISO 27001認(rèn)證。

基于ISO 27001認(rèn)證基礎(chǔ)下， 可增加的認(rèn)證包括：

ISO 27018：云端對(duì)于個(gè)人隱私數(shù)據(jù)的產(chǎn)生、儲(chǔ)存、管理、通知、消除、加密、傳輸?shù)忍幚恚?/span>

ISO 27017：如果公司預(yù)計(jì)提供云服務(wù)， 相關(guān)云端維運(yùn)的安全控制措施；

ISO 27040：網(wǎng)絡(luò)空間安全， 針對(duì)提供互聯(lián)網(wǎng)服務(wù)的企業(yè)；

ISO 27032：規(guī)劃、設(shè)計(jì)、記錄和實(shí)施數(shù)據(jù)存儲(chǔ)安全性， 為組織如何定義適當(dāng)?shù)娘L(fēng)險(xiǎn)緩解水平提供詳細(xì)的技術(shù)指導(dǎo)， 是管理數(shù)據(jù)存儲(chǔ)安全的 執(zhí)行性標(biāo)準(zhǔn)之一。其存儲(chǔ)安全性適用于存儲(chǔ)信息的保護(hù)(安全性)以及通過(guò)與存儲(chǔ)相關(guān)的通信鏈路傳輸?shù)男畔踩?/span>

從客戶服務(wù)來(lái)看， ISO 27001是業(yè)內(nèi)最基礎(chǔ)的信息安全認(rèn)證， 容易得到大眾客戶的認(rèn)可。

從信息安全來(lái)看， ISO 27017/ISO 27018/ISO 27040/ISO 27032更側(cè)重于細(xì)分領(lǐng)域的安全管控措施。