ISO/IEC 27017&ISO/IEC 27018云安全認證

ISO/IEC27017:2015是基于ISO/IEC27002的云服務信息安全控制的實施規范，ISO/IEC27018:2014是公共云作為個人信息(PII)處理者的信息安全控制規范，這兩個標準則是聯合技術委員會ISO/IECJTC 1 SC 27開發小組開發的，其小組也開發過ISO/IEC27001標準。

需要更多信息？

我們最快2小時內聯系您

手機號碼電子郵箱

*自動注冊會員，在線查看咨詢進度

立即咨詢

我已閱讀并同意隱私政策

發送成功

您的咨詢信息已收到，我們將盡快與您聯系！

用戶賬號：{{ form.phone || form.email }}

已為您注冊SGS在線商城會員
可使用賬號快捷登陸

到“我的咨詢”查看咨詢進度

{{countdownTime}}秒后自動跳轉

掃碼關注SGS官方微信公眾號，回復“0”贏驚喜禮品！

關閉

ISO/IEC27017 & ISO/IEC27018認證

云服務信息安全控制規范 & 公共云作為個人信息（PII）處理者的信息安全控制規范

服務背景

ISO/IEC27017和ISO/IEC27018的由來

最近幾乎每一項市場調查都預測云服務的快速擴張。著名的信息和通信技術市場研究公司加特納(Gartner)預測，云計算市場從2012年的1100億美元增長到2017年的1310億美元，整體增長了18.6%【1】。思科全球云指數【2】預測IaaS和SaaS服務正分別以13%的復合年增長率和33%的復合年增長率快速成長。

現在差不多所有的個人和消費層面的應用均為云端應用。但是，在企業、政府和公共服務環境中云服務的采用依然不高。根據Ciphercloud研究，合規性（64%）和數據安全（32%）是云應用最大的兩個挑戰。

對用戶而言，如果一個云服務提供商能提供安心和信心給到其用戶，證明其云服務是可靠的、符合適用法規和合同要求的，并對其能采用最好的行業實踐，那么該云服務提供商將成為用戶的選擇。在這種實際需求存在的背景下，ISO/IEC27017和ISO/IEC27018應運而生。

對云營運來講，ISO/IEC27001:2013則是一個很好的標準，但云服務提供商希望看到更多的針對云的控制規范來幫助他們解決云的具體問題。ISO/IEC27017和ISO/IEC27018標準正是工業界在產生這些要求后結果的體現。

云服務提供商提供的傳統服務級別協議(SLA)主要側重于數據中心的績效，如服務器和網絡可用性、環境和物理安全問題，以及傳統的服務，如備份和監控。云服務有其特定的關注點，它們通常不在服務級別和合同協議中提到。

標準概述

ISO/IEC27017:2015針對特定于云服務的信息安全控制提供了實施指導：

1. 特定于ISO/IEC27002中相關的控制的額外執行指南；
2. 對與云服務特別相關的執行指導進行額外的控制。

該標準提供了對云服務客戶和云服務提供商實施信息安全控制的指導方針。云服務提供商本身也可能是一個云服務的客戶（選擇下游的云服務提供商如IaaS提供商）。

ISO/IEC27018:2014提供了普遍接受的控制目標、實施措施保護個人可識別信息(PII)的控制和指導，使其與ISO/IEC29100的隱私原則和世界各地的個人數據隱私法規一致。通常，當一個組織實施ISO/IEC27001時，它是在保護自己的信息。在SaaS環境中，數據屬于SaaS服務提供商的客戶，甚至是服務提供商客戶的客戶。數據保護責任的增加要求對數據進行額外的控制。

本標準通過兩個途徑提供了針對個人可識別信息(PII)額外的控制：

1. 提供如何在PII保護背景下實施特定的ISO/IEC27001控制的指導；
2. 提供在現有的ISO/IEC27001下沒有提到的，但針對云環境下個人可識別信息(PII)的控制。

認證益處

一、ISO/IEC27017和ISO/IEC27018實施和認證的好處
1. 提高顧客信心。這兩個標準提供的額外控制提供了額外的保證，解決了云特定的技術和合同問題，并提供了保證。
2. 加強治理和風險管理。證書證明了該組織的委員會、技術能力和對云架構中繼承的適用風險和附加風險的信心。
3. 減少客戶審核。許多客戶通過頻繁的審核將他們的管理權分配給供應商。該認證提供了一個獨立的第三方的證據，證明該組織的云操作不僅受控，而且是按照國際最佳實踐基準標準進行控制的。

二、云服務供應商實施ISO/IEC27017和ISO/IEC27018的益處
ISO/IEC27017和ISO/IEC27018不是獨立的管理體系標準，需要與ISO/IEC27001管理體系審核一起進行。為了達到成功的認證，需要有效地實施ISO/IEC27001、ISO/IEC27017和（或）ISO/IEC27018中的所有適用的控制點。

我們的優勢

1. 憑借在信息安全管理領域的專業服務和豐富經驗，SGS能將ISO/IEC27017和ISO/IEC27018規范要求與ISO/IEC27001認證要求進行有效結合，幫你向客戶展示你自身的服務水平和能力，增強客戶信心。

2. 在全球范圍內，SGS擁有龐大的審核團隊，其中大多數審核員擁有多標準資質。這一龐大的多技能審核員隊伍意味著SGS能夠同時在世界不同的地點，處理多標準審核。這能夠加快合規保證過程，使您的項目無憂管理。

3. 作為國際公認的檢驗、鑒定、測試和認證機構，SGS在IT信息安全領域解決方案范圍廣泛，并致力于為各行業機構提供全方位管理提升服務。服務內容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓、認證和審核相關服務。