ISO/IEC 27017:2015 標(biāo)準(zhǔn)信息安全策略

發(fā)布時間：2020-07-11 作者：廣匯聯(lián)合 來源：廣匯聯(lián)合

為了方便大家更好、更深層次的理解與運用ISO/IEC 27017:2015標(biāo)準(zhǔn)，廣匯聯(lián)合認(rèn)證權(quán)威專家組，全新詮釋ISO/IEC 27017:2015 標(biāo)準(zhǔn)信息安全策略。

標(biāo)準(zhǔn)要求：

實施指南

客戶

供應(yīng)商

針對云服務(wù)客戶的信息安全策略應(yīng)該定義為針對特定主題的策略。云服務(wù)客戶的云計算信息安全策略應(yīng)該與組織對其信息和其他資產(chǎn)的信息安全風(fēng)險的可接受水平保持一致，在制定云計算的信息安全策略時，云服務(wù)客戶應(yīng)考慮以下因素： -存儲在云計算環(huán)境中的信息可以由云服務(wù)供應(yīng)商訪問和查詢; -資產(chǎn)可以在云計算環(huán)境中維護(hù)，例如應(yīng)用程序; -進(jìn)程可以在多用戶虛擬化云服務(wù)上運行; -云服務(wù)用戶和他們使用云服務(wù)的上下銜接; -云服務(wù)客戶的云服務(wù)管理員，他們有特權(quán)訪問; -云服務(wù)供應(yīng)商的組織和國家的地理位置，云服務(wù)供應(yīng)商可以存儲云服務(wù)客戶數(shù)據(jù)(甚至是專用數(shù)據(jù))。

云服務(wù)供應(yīng)商應(yīng)加強(qiáng)其信息安全策略，處理提供和使用云服務(wù)的事宜，并考慮以下因素: -適用于設(shè)計和推行云服務(wù)的基線信息安全規(guī)定; -授權(quán)內(nèi)部人員的風(fēng)險; -多用戶和云服務(wù)客戶隔離(包括虛擬化) ; -云服務(wù)供應(yīng)商的工作人員訪問云服務(wù)客戶資產(chǎn); -訪問控制程序，例如，對云服務(wù)的管理訪問進(jìn)行強(qiáng)有力的認(rèn)證; -在更改服務(wù)對象期間與云服務(wù)客戶的通信; -病毒方面安全，訪問和保護(hù)云服務(wù)客戶數(shù)據(jù); -云服務(wù)客戶賬戶的生命周期管理; -違規(guī)通信和信息共享指南，以幫助調(diào)查和取證。

其他信息

云服務(wù)客戶有關(guān)云計算的信息安全策略，是ISO/IEC27002 5.1.1所述的特定主題策略之一。組織的信息安全策略指導(dǎo)其信息和業(yè)務(wù)流程。當(dāng)一個組織使用云服務(wù)時，它可以將云計算作為一個云服務(wù)客戶。組織信息可以在云計算環(huán)境中存儲和維護(hù)，業(yè)務(wù)流程可以在云計算環(huán)境中運行。一般信息安全規(guī)定在信息安全策略的最高層次是遵循云計算的策略。
與此相反，提供云服務(wù)的信息安全策略是處理云服務(wù)客戶的信息及業(yè)務(wù)流程，而非云服務(wù)供應(yīng)商的信息及業(yè)務(wù)流程。提供云服務(wù)的信息安全要求應(yīng)符合預(yù)期云服務(wù)客戶的要求。因此，它們可能與云服務(wù)供應(yīng)商的信息和業(yè)務(wù)流程的信息安全要求不一致。信息安全策略的范圍通常是以服務(wù)來界定，但并非只以組織結(jié)構(gòu)或?qū)嶋H位置來界定。
云計算有幾個虛擬化安全方面，包括虛擬實例的生命周期管理、虛擬映像的存儲和訪問控制、休眠或離線虛擬實例的交接、快照、管理程序的保護(hù)和安全控制控制自助門戶的使用。

企業(yè)要做內(nèi)容：

1、根據(jù)確定的角色（客戶或供應(yīng)商）、識別要求考慮的因素所對應(yīng)的ISO27002控制域，在ISO27002基礎(chǔ)上更新所選擇的策略，描述在管理手冊或SOA或策略集等文件里。
2、當(dāng)企業(yè)是供應(yīng)商時，選擇的策略需要考慮主要客戶的信息安全要求和業(yè)務(wù)流程。

審核員關(guān)注：

1、管理手冊或SOA或策略集的云服務(wù)額外策略，描述是否體現(xiàn)要求的因素，與管理層訪談、了解如何體現(xiàn)主要客戶的安全要求和業(yè)務(wù)流程。
 

如您想更詳細(xì)的了解ISO/IEC 27017:2015 標(biāo)準(zhǔn)，需要ISO/IEC 27017:2015標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。