ISO/IEC 27017&ISO/IEC 27018云安全認(rèn)證

ISO/IEC27017和ISO/IEC27018的由來

最近幾乎每一項(xiàng)市場(chǎng)調(diào)查都預(yù)測(cè)云服務(wù)的快速擴(kuò)張。著名的信息和通信技術(shù)市場(chǎng)研究公司加特納(Gartner)預(yù)測(cè)，云計(jì)算市場(chǎng)從2012年的1100億美元增長(zhǎng)到2017年的1310億美元，整體增長(zhǎng)了18.6%【1】。思科全球云指數(shù)【2】預(yù)測(cè)IaaS和SaaS服務(wù)正分別以13%的復(fù)合年增長(zhǎng)率和33%的復(fù)合年增長(zhǎng)率快速成長(zhǎng)。

現(xiàn)在差不多所有的個(gè)人和消費(fèi)層面的應(yīng)用均為云端應(yīng)用。但是，在企業(yè)、政府和公共服務(wù)環(huán)境中云服務(wù)的采用依然不高。根據(jù)Ciphercloud研究，合規(guī)性（64%）和數(shù)據(jù)安全（32%）是云應(yīng)用最大的兩個(gè)挑戰(zhàn)。

對(duì)用戶而言，如果一個(gè)云服務(wù)提供商能提供安心和信心給到其用戶，證明其云服務(wù)是可靠的、符合適用法規(guī)和合同要求的，并對(duì)其能采用最好的行業(yè)實(shí)踐，那么該云服務(wù)提供商將成為用戶的選擇。在這種實(shí)際需求存在的背景下，ISO/IEC27017和ISO/IEC27018應(yīng)運(yùn)而生。

對(duì)云營(yíng)運(yùn)來講，ISO/IEC27001:2013則是一個(gè)很好的標(biāo)準(zhǔn)，但云服務(wù)提供商希望看到更多的針對(duì)云的控制規(guī)范來幫助他們解決云的具體問題。ISO/IEC27017和ISO/IEC27018標(biāo)準(zhǔn)正是工業(yè)界在產(chǎn)生這些要求后結(jié)果的體現(xiàn)。

云服務(wù)提供商提供的傳統(tǒng)服務(wù)級(jí)別協(xié)議(SLA)主要側(cè)重于數(shù)據(jù)中心的績(jī)效，如服務(wù)器和網(wǎng)絡(luò)可用性、環(huán)境和物理安全問題，以及傳統(tǒng)的服務(wù)，如備份和監(jiān)控。云服務(wù)有其特定的關(guān)注點(diǎn)，它們通常不在服務(wù)級(jí)別和合同協(xié)議中提到。

ISO/IEC27017:2015針對(duì)特定于云服務(wù)的信息安全控制提供了實(shí)施指導(dǎo)：

1. 特定于ISO/IEC27002中相關(guān)的控制的額外執(zhí)行指南；
2. 對(duì)與云服務(wù)特別相關(guān)的執(zhí)行指導(dǎo)進(jìn)行額外的控制。

該標(biāo)準(zhǔn)提供了對(duì)云服務(wù)客戶和云服務(wù)提供商實(shí)施信息安全控制的指導(dǎo)方針。云服務(wù)提供商本身也可能是一個(gè)云服務(wù)的客戶（選擇下游的云服務(wù)提供商如IaaS提供商）。

ISO/IEC27018:2014提供了普遍接受的控制目標(biāo)、實(shí)施措施保護(hù)個(gè)人可識(shí)別信息(PII)的控制和指導(dǎo)，使其與ISO/IEC29100的隱私原則和世界各地的個(gè)人數(shù)據(jù)隱私法規(guī)一致。通常，當(dāng)一個(gè)組織實(shí)施ISO/IEC27001時(shí)，它是在保護(hù)自己的信息。在SaaS環(huán)境中，數(shù)據(jù)屬于SaaS服務(wù)提供商的客戶，甚至是服務(wù)提供商客戶的客戶。數(shù)據(jù)保護(hù)責(zé)任的增加要求對(duì)數(shù)據(jù)進(jìn)行額外的控制。

本標(biāo)準(zhǔn)通過兩個(gè)途徑提供了針對(duì)個(gè)人可識(shí)別信息(PII)額外的控制：

1. 提供如何在PII保護(hù)背景下實(shí)施特定的ISO/IEC27001控制的指導(dǎo)；
2. 提供在現(xiàn)有的ISO/IEC27001下沒有提到的，但針對(duì)云環(huán)境下個(gè)人可識(shí)別信息(PII)的控制。

一、ISO/IEC27017和ISO/IEC27018實(shí)施和認(rèn)證的好處
1. 提高顧客信心。這兩個(gè)標(biāo)準(zhǔn)提供的額外控制提供了額外的保證，解決了云特定的技術(shù)和合同問題，并提供了保證。
2. 加強(qiáng)治理和風(fēng)險(xiǎn)管理。證書證明了該組織的委員會(huì)、技術(shù)能力和對(duì)云架構(gòu)中繼承的適用風(fēng)險(xiǎn)和附加風(fēng)險(xiǎn)的信心。
3. 減少客戶審核。許多客戶通過頻繁的審核將他們的管理權(quán)分配給供應(yīng)商。該認(rèn)證提供了一個(gè)獨(dú)立的第三方的證據(jù)，證明該組織的云操作不僅受控，而且是按照國(guó)際最佳實(shí)踐基準(zhǔn)標(biāo)準(zhǔn)進(jìn)行控制的。

二、云服務(wù)供應(yīng)商實(shí)施ISO/IEC27017和ISO/IEC27018的益處
ISO/IEC27017和ISO/IEC27018不是獨(dú)立的管理體系標(biāo)準(zhǔn)，需要與ISO/IEC27001管理體系審核一起進(jìn)行。為了達(dá)到成功的認(rèn)證，需要有效地實(shí)施ISO/IEC27001、ISO/IEC27017和（或）ISO/IEC27018中的所有適用的控制點(diǎn)。

1. 憑借在信息安全管理領(lǐng)域的專業(yè)服務(wù)和豐富經(jīng)驗(yàn)，SGS能將ISO/IEC27017和ISO/IEC27018規(guī)范要求與ISO/IEC27001認(rèn)證要求進(jìn)行有效結(jié)合，幫你向客戶展示你自身的服務(wù)水平和能力，增強(qiáng)客戶信心。

2. 在全球范圍內(nèi)，SGS擁有龐大的審核團(tuán)隊(duì)，其中大多數(shù)審核員擁有多標(biāo)準(zhǔn)資質(zhì)。這一龐大的多技能審核員隊(duì)伍意味著SGS能夠同時(shí)在世界不同的地點(diǎn)，處理多標(biāo)準(zhǔn)審核。這能夠加快合規(guī)保證過程，使您的項(xiàng)目無憂管理。

3. 作為國(guó)際公認(rèn)的檢驗(yàn)、鑒定、測(cè)試和認(rèn)證機(jī)構(gòu)，SGS在IT信息安全領(lǐng)域解決方案范圍廣泛，并致力于為各行業(yè)機(jī)構(gòu)提供全方位管理提升服務(wù)。服務(wù)內(nèi)容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)。

1、ISO22301認(rèn)證
2、ISO/IEC27001信息安全管理體系認(rèn)證
3、ISO/IEC20000認(rèn)證
4、ISO/IEC27701
5、GDPR
6、CSA STAR
7、TISAX