ISO 27017 云計(jì)算服務(wù)的信息安全控制：

安全是云客戶(hù)擔(dān)憂的一大問(wèn)題，盡管云有著出色的靈活性和可拓展性，但安全問(wèn)題始終是組織在選擇使用云服務(wù)過(guò)程中為何猶豫不決的原因之一。

云客戶(hù)主要的擔(dān)憂在于云服務(wù)供應(yīng)商(CSP)是否能夠認(rèn)真對(duì)待并且備充分重視客戶(hù)數(shù)據(jù)。

安全問(wèn)題主要在于擔(dān)心數(shù)據(jù)可能會(huì)落入不法之徒手中，以及客戶(hù)就那些粗心大意造成問(wèn)題的運(yùn)營(yíng)商會(huì)采取什么樣的控制措施。

ISO 27017介紹

ISO 27017是有關(guān)信息技術(shù) – 安全技術(shù) – 基于ISO/IEC 27002的云服務(wù)信息安全控制的實(shí)施規(guī)程的g際標(biāo)準(zhǔn)。

該標(biāo)準(zhǔn)提供了適用于提供和使用云服務(wù)的信息安全控制指南，包括如下方面：

①I(mǎi)SO/IEC 27002標(biāo)準(zhǔn)中有關(guān)控制的附加實(shí)施指南。

②帶有具體涉及云服務(wù)實(shí)施指南的附加控制。

ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云端的指導(dǎo)方針，而且還介紹了7個(gè)全新云控制以解決以下問(wèn)題：

負(fù)責(zé)云服務(wù)提供商和云客戶(hù)之間關(guān)系的人是誰(shuí)

當(dāng)合同終止時(shí)，資產(chǎn)的移除/歸還

客戶(hù)虛擬環(huán)境的保護(hù)和分離

虛擬機(jī)配置

與云環(huán)境相關(guān)的管理操作和程序

云客戶(hù)監(jiān)控云中活動(dòng)

虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接

ISO27017云計(jì)算服務(wù)的信息安全控制

體系作用：

1、提升信任——讓您的客戶(hù)和利益相關(guān)者對(duì)其數(shù)據(jù)和信息的安全性更加放心。

2、競(jìng)爭(zhēng)優(yōu)勢(shì)——展示對(duì)數(shù)據(jù)保護(hù)的穩(wěn)健控制。

3、品牌聲譽(yù)——降低因數(shù)據(jù)泄露引發(fā)的負(fù)面宣傳風(fēng)險(xiǎn)。

4、防止罰款——確保遵守當(dāng)?shù)胤ㄒ?guī)，降低對(duì)數(shù)據(jù)泄露的罰款風(fēng)險(xiǎn)。

5、企業(yè)發(fā)展——提供覆蓋不同地區(qū)的通用指導(dǎo)方針，為在全球范圍內(nèi)開(kāi)展業(yè)務(wù)和獲得作為優(yōu)先供應(yīng)商的機(jī)會(huì)提供便利性。

認(rèn)證條件：

1、申請(qǐng)認(rèn)證的組織應(yīng)建立符合ISO 27017云服務(wù)安全管理體系標(biāo)準(zhǔn)要求的文件化信息；

2、在申請(qǐng)認(rèn)證之前應(yīng)完成內(nèi)部審核和管理評(píng)審，并保證體系有效、充分運(yùn)行三個(gè)月以上；

3、組織應(yīng)向認(rèn)證機(jī)構(gòu)提供業(yè)務(wù)連續(xù)性管理體系運(yùn)行的充分信息，對(duì)于多現(xiàn)場(chǎng)應(yīng)說(shuō)明各現(xiàn)場(chǎng)的認(rèn)證范圍、地址及人員分布等情況，認(rèn)證機(jī)構(gòu)將以抽樣的方式對(duì)多現(xiàn)場(chǎng)進(jìn)行審核。