ISO27017云服务信息安全管理认证

ISO27017云服务管理认证概述
  安全是云客户担忧的一大问题，尽管云有着出色的灵活性和可拓展性，但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云客户主要的担忧在于云服务供应商（CSP）是否能够认真对待并且备充分重视客户数据安全问题主要在于担心数据最终可能会落入不法之徒手中，以及客户就那些粗心大意造成问题的运营商会采取什么样的控制措施。当然还存在这其他的担忧，例如：客户身份、虚拟服务器中的资产隔离、以及在云服务供应商出现停业的况下，资产会发生什么情况等，这些都是潜在云用户关注的问题。
  ISO/IEC 27017标准与ISO/IEC 27001系统标准配合使用，为云服务提供商和云服务客户提供了加强控制。ISO/IEC 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。
  ISO/IEC 27017标准不仅提供了基于ISO/IEC 27002标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施,通过ISO/IEC 27017的认证，可以有效地保护数据，降低数据以及违反法律法规带来的风险和负面的加强客户对企业的信任。ISO27001因为是最基础的规范，所以在进行ISO27017之前，必须先经过基本的ISO27001认证。

   

ISO27017认证的好处

　　委托敏感客户数据的任何云提供商都可能会从ISO27017中受益。该标准通过提供云环境独有的指导来帮助组织，并解决了许多云提供商的痛点，例如在云计算中角色和职责的划分环境。

　　该标准可以帮助组织根据其环境的待定需求增强其信息安全管理系统。此外，利用ISO27017标准可以是组织降低云服务组织固有的风险以及潜在的破坏成本。

如何ISO27017云服务信息安全管理认证

　　由于ISO/IEC27017不是管理标准，因此无法严格按照ISO/IEC27017控件对组织进行认证。但是，可能通过在ISO/IEC27017认证审核范围内添加其他ISO27017控件来帮助组织，以确保公司可以证明符合ISO/IEC27017标准。

　　ISO/IEC27017的云服务信息安全控制操作规范，为云服务行业提供了基于ISO27002的指南。

　　该标准针对ISO27002中的37个控件提供了特定于云服务提供商的指南，但还具有七个新控件：

　　1、云计算环境中的角色和职责共享

　　2、删除云服务客户资产

　　3、虚拟计算环境中的隔离

　　4、虚拟机强化

　　5、管理员的操作安全

　　6、监控云服务

　　7、虚拟和物理网络的安全管理对齐

　　该标准与提供基于云的服务的组织以及云中存储信息的任何组织有关。

　　ISO/IEC27017标准不仅提供了ISO/IEC27002标准中37个控制基于云端的指导方针，而且还介绍了7个全新云控制以解决以下问题：

　　1、负责云服务提供商和云客户之间关系的人是谁

　　2、当合同终止时，资产的移除/归还

　　3、客户虚拟环境的保护和分离

　　4、虚拟机配置

　　5、与云环境相关的管理操作和程序

　　6、云客户监控云中活动

　　7、虚拟和云网络环境的对接     

  上海赛学-最早从事ISO27017云服务信息安全管理认证的辅导机构。我们教会企业从做品牌跟做企业第一个字是“小”，第二个字是“稳”，第三个字是“强”，第四个字是“大”，第五个字是“久”。中兴和华为被美国以信息安全和知识产权的理由多次拒绝。我们在信息安全和知识产权领域始终重视程度不够。我们可以平凡，但不能平庸。预警系统的建立对风控非常重要。细节主义在为取得成功的努力过程中，不可缺少的是执行原理。用立权主义果断制定策略，在行动中注重细节，相辅相成，事半功倍。

　　上海赛学是最早一批帮助中小企业进行云服务管理体系认证咨询公司之一。我们让您的公司在成长的道路上节约时间、少走弯路，将信息安全管理成功和失败的案例分享给大家!咨询热线：13370039986余老师