ISO27017云服務管理認證概述
  安全是云客戶擔憂的一大問題，盡管云有著出色的靈活性和可拓展性，但安全問題始終是組織在選擇使用云服務過程中為何猶豫不決的原因之一。云客戶主要的擔憂在于云服務供應商（CSP）是否能夠認真對待并且備充分重視客戶數(shù)據(jù)安全問題主要在于擔心數(shù)據(jù)最終可能會落入不法之徒手中，以及客戶就那些粗心大意造成問題的運營商會采取什么樣的控制措施。當然還存在這其他的擔憂，例如：客戶身份、虛擬服務器中的資產(chǎn)隔離、以及在云服務供應商出現(xiàn)停業(yè)的況下，資產(chǎn)會發(fā)生什么情況等，這些都是潛在云用戶關(guān)注的問題。
  ISO/IEC 27017標準與ISO/IEC 27001系統(tǒng)標準配合使用，為云服務提供商和云服務客戶提供了加強控制。ISO/IEC 27017標準闡明了云服務提供商和云服務客戶雙方在幫助確保云服務安全可靠方面所扮演的角色和所承擔的責任。
  ISO/IEC 27017標準不僅提供了基于ISO/IEC 27002標準中多個控制措施的針對云服務的特殊要求，還介紹了7個全新的云服務控制措施,通過ISO/IEC 27017的認證，可以有效地保護數(shù)據(jù)，降低數(shù)據(jù)以及違反法律法規(guī)帶來的風險和負面的加強客戶對企業(yè)的信任。ISO27001因為是最基礎的規(guī)范，所以在進行ISO27017之前，必須先經(jīng)過基本的ISO27001認證。

   

ISO27017認證的好處

　　委托敏感客戶數(shù)據(jù)的任何云提供商都可能會從ISO27017中受益。該標準通過提供云環(huán)境獨有的指導來幫助組織，并解決了許多云提供商的痛點，例如在云計算中角色和職責的劃分環(huán)境。

　　該標準可以幫助組織根據(jù)其環(huán)境的待定需求增強其信息安全管理系統(tǒng)。此外，利用ISO27017標準可以是組織降低云服務組織固有的風險以及潛在的破壞成本。

如何ISO27017云服務信息安全管理認證

　　由于ISO/IEC27017不是管理標準，因此無法嚴格按照ISO/IEC27017控件對組織進行認證。但是，可能通過在ISO/IEC27017認證審核范圍內(nèi)添加其他ISO27017控件來幫助組織，以確保公司可以證明符合ISO/IEC27017標準。

　　ISO/IEC27017的云服務信息安全控制操作規(guī)范，為云服務行業(yè)提供了基于ISO27002的指南。

　　該標準針對ISO27002中的37個控件提供了特定于云服務提供商的指南，但還具有七個新控件：

　　1、云計算環(huán)境中的角色和職責共享

　　2、刪除云服務客戶資產(chǎn)

　　3、虛擬計算環(huán)境中的隔離

　　4、虛擬機強化

　　5、管理員的操作安全

　　6、監(jiān)控云服務

　　7、虛擬和物理網(wǎng)絡的安全管理對齊

　　該標準與提供基于云的服務的組織以及云中存儲信息的任何組織有關(guān)。

　　ISO/IEC27017標準不僅提供了ISO/IEC27002標準中37個控制基于云端的指導方針，而且還介紹了7個全新云控制以解決以下問題：

　　1、負責云服務提供商和云客戶之間關(guān)系的人是誰

　　2、當合同終止時，資產(chǎn)的移除/歸還

　　3、客戶虛擬環(huán)境的保護和分離

　　4、虛擬機配置

　　5、與云環(huán)境相關(guān)的管理操作和程序

　　6、云客戶監(jiān)控云中活動

　　7、虛擬和云網(wǎng)絡環(huán)境的對接     

  上海賽學-最早從事ISO27017云服務信息安全管理認證的輔導機構(gòu)。我們教會企業(yè)從做品牌跟做企業(yè)第一個字是“小”，第二個字是“穩(wěn)”，第三個字是“強”，第四個字是“大”，第五個字是“久”。中興和華為被美國以信息安全和知識產(chǎn)權(quán)的理由多次拒絕。我們在信息安全和知識產(chǎn)權(quán)領(lǐng)域始終重視程度不夠。我們可以平凡，但不能平庸。預警系統(tǒng)的建立對風控非常重要。細節(jié)主義在為取得成功的努力過程中，不可缺少的是執(zhí)行原理。用立權(quán)主義果斷制定策略，在行動中注重細節(jié)，相輔相成，事半功倍。

　　上海賽學是最早一批幫助中小企業(yè)進行云服務管理體系認證咨詢公司之一。我們讓您的公司在成長的道路上節(jié)約時間、少走彎路，將信息安全管理成功和失敗的案例分享給大家!咨詢熱線：13370039986余老師