ISO/IEC 27017標準與ISO/IEC 27002標準的差異
發(fā)布時間:2025-03-29 點擊:63
ISO/IEC 27017標準提供了ISO/IEC 27002中的37項控制指導及ISO/IEC 27002未涉及的7個新控制方面。
CLD.6.3.1:客戶和供應商之間就共同或單獨責任達成協議,以清晰定義、記錄和溝通與云服務 相關的信息安全角色。
CLD.8.1.5:明確當客戶和供應商之間的合同/協議終止時,應如何將資產從云端退回或轉移。
CLD.9.5.1:供應商必須保護客戶的虛擬環(huán)境并將其與其他客戶和外部各方的環(huán)境分離。
CLD.9.5.2:客戶和供應商必須確保對虛擬機進行配置和增強,以滿足組織的需求。
CLD.12.1.5:客戶有責任定義、記錄和監(jiān)控與云環(huán)境相關的管理運營和程序, 在客戶需要 時, CSP要共享關于重要運營和程序的文檔。
CLD.12.4.5:供應商的能力將如何支持客戶有效監(jiān)控云計算環(huán)境中的活動。
CLD.13.1.4:應進行一致性配置, 從而使虛擬 網絡環(huán)境符合物理網絡的信息安全政策。
角色與責任
角色、涉及問題(如數據所有權、訪問控制和基礎設施維護等)責任定義及責任分配的模糊不清,可能引起業(yè)務或法律糾紛;尤其在涉及第三方的情況下。正如該標準所規(guī)定:
“云服務使用過程中,云服務供應商系統所創(chuàng)建或修改的數據和文件可能對于確保服務運營、恢復和連續(xù)性至關重要。資產所有權以及對于這些資產相關的操作(例如,備份和恢復操作)承擔責任的各方應當被定義和記錄。否則,將會存在云服務供應商假設云服務客戶執(zhí)行了這些重要任務(反之亦然)的風險,并且可能發(fā)生數據丟失。”
安全控制
該標準不僅只是劃分責任,還具有下列優(yōu)勢:ISO/IEC 27017更詳細地定義了供應商應當實施安全控制的類型,這有助于減少云技術采用的障礙。
ISO/IEC 27017為云服務供應商提供了一種方法以表明已實施控制的級別。這意味著有記錄的證據—由獨立來源(例如,針對某些標準的認證)支持—可證明已實施適當的政策,最重要的是,已引入哪些類型的控制。在合同簽署前,應當與云客戶共享此信息,以規(guī)避未來可能出現的任何潛在問題。
在無法進行獨立審核或者可能對信息安全構成更大風險的情況下,這一標準為CSP提供了選項以進行自評估。如果出現這種情況,CSP須告知客戶已進行自評估。
密碼保護
該標準還包含針對所采用密碼保護的指導原則,適用于客戶和供應商,因雙方在此方面均承擔責任。供應商應當告知客戶如何使用密碼保護,并幫助客戶應用自身的那些保護措施。與此同時還應當慮到特殊情況,例如健康數據,因其可能涉及其他一些監(jiān)管指導原則。
客戶也應當坦誠告知其所使用的密碼保護類型—如果風險分析表明有必要,他們應當采用密碼保護。實際上,正因為存在爭議或誤解,才更需要標準。
雙方不僅應當彼此確保網絡被有效保護,還應當能夠確保兩個系統之間的兼容性。重要的是,應當確定這些控制是適用于存儲的數據、傳輸的數據,或兩者均用,因此處以往常常被誤解。
客戶關系
該標準對要求進行了拓展,不僅僅局限于技術,還為培訓確立了知道原則。對于云服務供應商提供的基礎設施,許多客戶表示滿意,若要進一步支持,則略顯擔憂。
因為畢竟有大量證據表明,員工往往是組織安全措施中的薄弱環(huán)節(jié)。客戶不僅需要擔憂存在缺陷的安全設備,而且還要擔心員工是否遵循了所有適當的措施。此新標準不僅規(guī)定供應商應當讓員工和承包商增強意識并為其提供相關培訓,還規(guī)定培訓應當涵蓋監(jiān)管要求、客戶訪問以及特定要求。
資產所有權
云資產歸誰所有可能是另一外一個混淆點。該標準建議應當建立云儲存資產清單,并且還重新提及了ISO/IEC 27002中所規(guī)定的針對資產所有權、可接受的資產使用及退還的指導原則信息。
新標準明確了安全處理客戶資產的參數,從而使敏感數據不會被簡單地“丟棄”于虛擬回收站中。
網站開發(fā)語言ASP和ASP.net有什么區(qū)別-東莞網站制作
響應式網站應用還是很有必要性
官網頁面設計應該怎樣把控設計思路不亂?
做東莞網站建設外包公司有哪些好處?
移動端網站建設和pc端網站建設有什么區(qū)別?
交互式按鈕的制作方法
商城網站建設步驟詳解
網站設計尊重用戶體驗 如何運用好峰終定律
CLD.6.3.1:客戶和供應商之間就共同或單獨責任達成協議,以清晰定義、記錄和溝通與云服務 相關的信息安全角色。
CLD.8.1.5:明確當客戶和供應商之間的合同/協議終止時,應如何將資產從云端退回或轉移。
CLD.9.5.1:供應商必須保護客戶的虛擬環(huán)境并將其與其他客戶和外部各方的環(huán)境分離。
CLD.9.5.2:客戶和供應商必須確保對虛擬機進行配置和增強,以滿足組織的需求。
CLD.12.1.5:客戶有責任定義、記錄和監(jiān)控與云環(huán)境相關的管理運營和程序, 在客戶需要 時, CSP要共享關于重要運營和程序的文檔。
CLD.12.4.5:供應商的能力將如何支持客戶有效監(jiān)控云計算環(huán)境中的活動。
CLD.13.1.4:應進行一致性配置, 從而使虛擬 網絡環(huán)境符合物理網絡的信息安全政策。
角色與責任
角色、涉及問題(如數據所有權、訪問控制和基礎設施維護等)責任定義及責任分配的模糊不清,可能引起業(yè)務或法律糾紛;尤其在涉及第三方的情況下。正如該標準所規(guī)定:
“云服務使用過程中,云服務供應商系統所創(chuàng)建或修改的數據和文件可能對于確保服務運營、恢復和連續(xù)性至關重要。資產所有權以及對于這些資產相關的操作(例如,備份和恢復操作)承擔責任的各方應當被定義和記錄。否則,將會存在云服務供應商假設云服務客戶執(zhí)行了這些重要任務(反之亦然)的風險,并且可能發(fā)生數據丟失。”
安全控制
該標準不僅只是劃分責任,還具有下列優(yōu)勢:ISO/IEC 27017更詳細地定義了供應商應當實施安全控制的類型,這有助于減少云技術采用的障礙。
ISO/IEC 27017為云服務供應商提供了一種方法以表明已實施控制的級別。這意味著有記錄的證據—由獨立來源(例如,針對某些標準的認證)支持—可證明已實施適當的政策,最重要的是,已引入哪些類型的控制。在合同簽署前,應當與云客戶共享此信息,以規(guī)避未來可能出現的任何潛在問題。
在無法進行獨立審核或者可能對信息安全構成更大風險的情況下,這一標準為CSP提供了選項以進行自評估。如果出現這種情況,CSP須告知客戶已進行自評估。
密碼保護
該標準還包含針對所采用密碼保護的指導原則,適用于客戶和供應商,因雙方在此方面均承擔責任。供應商應當告知客戶如何使用密碼保護,并幫助客戶應用自身的那些保護措施。與此同時還應當慮到特殊情況,例如健康數據,因其可能涉及其他一些監(jiān)管指導原則。
客戶也應當坦誠告知其所使用的密碼保護類型—如果風險分析表明有必要,他們應當采用密碼保護。實際上,正因為存在爭議或誤解,才更需要標準。
雙方不僅應當彼此確保網絡被有效保護,還應當能夠確保兩個系統之間的兼容性。重要的是,應當確定這些控制是適用于存儲的數據、傳輸的數據,或兩者均用,因此處以往常常被誤解。
客戶關系
該標準對要求進行了拓展,不僅僅局限于技術,還為培訓確立了知道原則。對于云服務供應商提供的基礎設施,許多客戶表示滿意,若要進一步支持,則略顯擔憂。
因為畢竟有大量證據表明,員工往往是組織安全措施中的薄弱環(huán)節(jié)。客戶不僅需要擔憂存在缺陷的安全設備,而且還要擔心員工是否遵循了所有適當的措施。此新標準不僅規(guī)定供應商應當讓員工和承包商增強意識并為其提供相關培訓,還規(guī)定培訓應當涵蓋監(jiān)管要求、客戶訪問以及特定要求。
資產所有權
云資產歸誰所有可能是另一外一個混淆點。該標準建議應當建立云儲存資產清單,并且還重新提及了ISO/IEC 27002中所規(guī)定的針對資產所有權、可接受的資產使用及退還的指導原則信息。
新標準明確了安全處理客戶資產的參數,從而使敏感數據不會被簡單地“丟棄”于虛擬回收站中。
網站開發(fā)語言ASP和ASP.net有什么區(qū)別-東莞網站制作
響應式網站應用還是很有必要性
官網頁面設計應該怎樣把控設計思路不亂?
做東莞網站建設外包公司有哪些好處?
移動端網站建設和pc端網站建設有什么區(qū)別?
交互式按鈕的制作方法
商城網站建設步驟詳解
網站設計尊重用戶體驗 如何運用好峰終定律
上一篇:到哪辦理中國315誠信品牌多少錢
下一篇:ISO17025實驗室認可