由于云服务所具备的灵活性、连续性以及可扩展性等诸多优势,在世界范围内,组织越来越意识到云计算所带来的商业价值,并正在采取步骤向云过渡。云计算的主要挑战之一是如何解决计划采用它的企业的和实施它的云服务提供商 (GSP) 的安全和隐私问题。
ISO/IEC 27017是保护云服务安全的国际标准,该标准为GSP定义了具体要求。ISO/IEC 27017以ISO/IEC 27001中定义的控件为基础,添加了附加的控件和实施指南,专门用于帮助企业安全地设置和使用云服务来保护在云中存储和/或处理的信息。ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用,为云服务提供商和云服务客户提供了加强控制。与许多其他技术相关标准不同的是,ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。
随着全球云技术使用的持续增长,企业必须从战略上考虑存储受保护信息的风险,并探索安全性选项以保护其信息系统,云服务提供商和用户可以使用多种安全标准,以保护基于云的环境并最大程度地减少安全事件的潜在风险,ISO/IEC 27017为将数据移动到云和/或在云中共享数据(包括GSP)的企业提供了价值。
ISO/IEC 27017标准允许组织致力于长期目标。通过拥有一个国际标准化框架来建立其云安全,在需求的内部化之后,组织将能够减少运营和声誉风险,并朝着可持续的未来努力。该标准广泛涵盖了以下主体:资产所有权,GSP解散时的恢复措施,具有敏感信息的资产处置,数据的隔离和储存,虚拟和物理网络的安全管理调整等。该标准可以帮助云提供商识别重要的安全方面,同时确定合适的合作伙伴。
ISO/IEC 27017标准是一项能为客户和云服务提供商提供业务需求的独特技术标准。ISO/IEC 27017旨在帮助推荐和实施基于云的组织的控件,这不仅与信息存储在云中的组织有关,而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关,符合该标准将帮助企业建立与客户和其他利益相关者的信任,展示竞争优势。
○ ISO/IEC 27001-2013 信息技术-安全技术-信息安全管理体系-要求
○ ISO/IEC 27002-2022 信息安全、网络安全和隐私保护 信息安全控制
○ GB/T 37724-2019 信息技术 工业云服务 能力通用要求
○ GB/T 37738-2019 信息技术 云计算 云服务质量评价指标
○ 让客户和利益相关者对其数据和信息的安全性更加放心;
○ 提供竞争优势,展示对数据保护的稳健控制;
○ 保护品牌声誉,降低因数据泄露引发的负面宣传风险;
○ 确保遵守当地法规,降低对数据泄露的罚款风险;
○ 提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。