ISO/IEC 27017:2015是一个国际标准,提供了关于云服务中信息安全控制的指南。这个标准是ISO/IEC 27000系列标准的一部分,该系列是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的信息安全管理体系(ISMS)标准。
ISO/IEC 27017主要关注云服务环境中的信息安全,提供了独特的信息安全控制要求和实施指南。这个标准并不是替代ISO/IEC 27002的安全控制,而是对其进行了补充与扩展,特别强调了在云计算环境中需要考虑的安全方面。
1、共享责任模型:该模型明确了云服务提供者和云服务用户在保护安全性和数据方面各自的责任。
2、云特定控制:这些控制项覆盖了在云环境中特有的安全问题,如云服务供应链安全,虚拟设备的安全性,以及多租户环境的数据隔离。
3、控制实施建议:该标准提供了具体的实施建议,以帮助组织满足云特定的安全控制要求。
1、云服务提供者:云服务提供者可以使用此标准来确保他们的云服务满足国际信息安全标准,从而增强客户的信任。
2、云服务用户:云服务用户可以使用这个标准来评估云服务提供者的安全控制,以及指导他们如何在云环境中安全地处理和存储数据。
ISO/IEC 27017所需材料
1、信息安全政策:这是一份文档,概述了组织对信息安全的整体方针,包括对云服务的使用和管理。
2、风险评估报告:组织需要进行风险评估,识别和评估与云服务相关的信息安全风险。
3、风险处理计划:基于风险评估结果,组织需要制定风险处理计划,明确如何管理和减少这些风险。
4、控制实施文档:这些文档应描述组织如何实施ISO/IEC 27017中的信息安全控制。
5、员工培训材料:组织需要提供证明其已对员工进行了关于信息安全和云服务使用的适当培训的证据。
6、审计和监控记录:组织需要定期审计和监控其信息安全控制的有效性,并保留相关记录。
7、持续改进的证据:组织需要提供证据,证明其正在持续改进其信息安全管理体系(ISMS)。
问:ISO/IEC 27017的主要内容是什么?
答:ISO/IEC 27017的主要内容包括共享责任模型、云特定控制和控制实施建议。共享责任模型明确了云服务提供者和云服务用户在安全性和数据保护方面的各自责任。云特定控制覆盖了在云环境中特有的安全问题。控制实施建议为满足云特定的安全控制要求提供了具体的实施建议。
问:ISO/IEC 27017适用于哪些对象?
答:ISO/IEC 27017主要针对云服务提供者和云服务用户。云服务提供者可以使用此标准来确保他们的云服务满足国际信息安全标准,从而增强客户的信任。云服务用户可以使用这个标准来评估云服务提供者的安全控制,以及指导他们如何在云环境中安全地处理和存储数据。
问:实施ISO/IEC 27017有什么好处?
答:实施ISO/IEC 27017可以帮助组织更有效地管理云环境中的信息安全风险,满足法规和合约的要求,增强客户的信任,提高业务竞争力。
问:实施并获得ISO/IEC 27017认证需要多长时间?
答:实施ISO/IEC 27017并获得认证的时间取决于许多因素,包括组织的大小、复杂性、现有的信息安全管理程度等。通常,从开始实施到获得认证可能需要几个月到一年不等。
问:ISO/IEC 27017认证的有效期是多长?
答:ISO/IEC 27017认证的有效期通常为三年,但需要定期进行审计以保持其有效性。这通常包括一次初始的认证审计,然后每年至少进行一次监控审计。每三年结束时,会进行一次重新认证审计以续期。具体的时间表可能会因认证机构的要求而略有不同。
出证后付尾款,不成功不收费
每张证书信息,均有认监委备案
所有认证项目,承诺当天申报
泽林承诺,无隐形收费
