ISO 27017 云計(jì)算服務(wù)的信息安全控制
安全是云客戶擔(dān)憂的一大問(wèn)題,盡管云有著出色的靈活性和可拓展性,但安全問(wèn)題始終是組織在選擇使用云服務(wù)過(guò)程中為何猶豫不決的原因之一。
云客戶主要的擔(dān)憂在于云服務(wù)供應(yīng)商(CSP)是否能夠認(rèn)真對(duì)待并且備充分重視客戶數(shù)據(jù)。
安全問(wèn)題主要在于擔(dān)心數(shù)據(jù)最終可能會(huì)落入不法之徒手中,以及客戶就那些粗心大意造成問(wèn)題的運(yùn)營(yíng)商會(huì)采取什么樣的控制措施。
ISO 27017介紹
ISO 27017是有關(guān)信息技術(shù) - 安全技術(shù) – 基于ISO/IEC 27002的云服務(wù)信息安全控制的實(shí)施規(guī)程的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供了適用于提供和使用云服務(wù)的信息安全控制指南,包括如下方面:①I(mǎi)SO/IEC 27002標(biāo)準(zhǔn)中有關(guān)控制的附加實(shí)施指南。
②帶有具體涉及云服務(wù)實(shí)施指南的附加控制。
ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云端的指導(dǎo)方針,而且還介紹了7個(gè)全新云控制以解決以下問(wèn)題:
負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰(shuí)
當(dāng)合同終止時(shí),資產(chǎn)的移除/歸還
客戶虛擬環(huán)境的保護(hù)和分離
虛擬機(jī)配置
與云環(huán)境相關(guān)的管理操作和程序
云客戶監(jiān)控云中活動(dòng)
虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接