ISO/IEC 27017:2015 標(biāo)準(zhǔn)信息安全策略

時(shí)間：2020-08-03作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：138

為了方便大家較好、較深層次的理解與運(yùn)用ISO/IEC 27017:2015標(biāo)準(zhǔn)，北京廣匯聯(lián)合認(rèn)證**組，全新詮釋ISO/IEC 27017:2015 標(biāo)準(zhǔn)信息安全策略。
標(biāo)準(zhǔn)要求：
實(shí)施指南
客戶
針對云服務(wù)客戶的信息安全策略應(yīng)該定義為針對特定主題的策略。云服務(wù)客戶的云計(jì)算信息安全策略應(yīng)該與組織對其信息和其他資產(chǎn)的信息安全風(fēng)險(xiǎn)的可接受水平保持一致，在制定云計(jì)算的信息安全策略時(shí)，云服務(wù)客戶應(yīng)考慮以下因素：
-存儲在云計(jì)算環(huán)境中的信息可以由云服務(wù)供應(yīng)商訪問和查詢;
-資產(chǎn)可以在云計(jì)算環(huán)境中維護(hù)，例如應(yīng)用程序;
-進(jìn)程可以在多用戶虛擬化云服務(wù)上運(yùn)行;
-云服務(wù)用戶和他們使用云服務(wù)的上下銜接;
-云服務(wù)客戶的云服務(wù)管理員，他們有特權(quán)訪問;
-云服務(wù)供應(yīng)商的組織和國家的地理位置，云服務(wù)供應(yīng)商可以存儲云服務(wù)客戶數(shù)據(jù)(甚至是**數(shù)據(jù))。
供應(yīng)商
云服務(wù)供應(yīng)商應(yīng)加強(qiáng)其信息安全策略，處理提供和使用云服務(wù)的事宜，并考慮以下因素:
-適用于設(shè)計(jì)和推行云服務(wù)的基線信息安全規(guī)定;
-授權(quán)內(nèi)部人員的風(fēng)險(xiǎn);
-多用戶和云服務(wù)客戶隔離(包括虛擬化) ;
-云服務(wù)供應(yīng)商的工作人員訪問云服務(wù)客戶資產(chǎn);
-訪問控制程序，例如，對云服務(wù)的管理訪問進(jìn)行強(qiáng)有力的認(rèn)證;
-在更改服務(wù)對象期間與云服務(wù)客戶的通信;
-病毒方面安全，訪問和保護(hù)云服務(wù)客戶數(shù)據(jù);
-云服務(wù)客戶賬戶的生命周期管理;
-違規(guī)通信和信息共享指南，以幫助調(diào)查和*。
其他信息
云服務(wù)客戶有關(guān)云計(jì)算的信息安全策略，是ISO/IEC27002 5.1.1所述的特定主題策略之一。組織的信息安全策略指導(dǎo)其信息和業(yè)務(wù)流程。當(dāng)一個(gè)組織使用云服務(wù)時(shí)，它可以將云計(jì)算作為一個(gè)云服務(wù)客戶。組織信息可以在云計(jì)算環(huán)境中存儲和維護(hù)，業(yè)務(wù)流程可以在云計(jì)算環(huán)境中運(yùn)行。一般信息安全規(guī)定在信息安全策略的較高層次是遵循云計(jì)算的策略。
與此相反，提供云服務(wù)的信息安全策略是處理云服務(wù)客戶的信息及業(yè)務(wù)流程，而非云服務(wù)供應(yīng)商的信息及業(yè)務(wù)流程。提供云服務(wù)的信息安全要求應(yīng)符合預(yù)期云服務(wù)客戶的要求。因此，它們可能與云服務(wù)供應(yīng)商的信息和業(yè)務(wù)流程的信息安全要求不一致。信息安全策略的范圍通常是以服務(wù)來界定，但并非只以組織結(jié)構(gòu)或?qū)嶋H位置來界定。
云計(jì)算有幾個(gè)虛擬化安全方面，包括虛擬實(shí)例的生命周期管理、虛擬映像的存儲和訪問控制、休眠或離線虛擬實(shí)例的交接、快照、管理程序的保護(hù)和安全控制控制自助門戶的使用。
企業(yè)要做內(nèi)容：
		1、根據(jù)確定的角色（客戶或供應(yīng)商）、識別要求考慮的因素所對應(yīng)的ISO27002控制域，在ISO27002基礎(chǔ)上較新所選擇的策略，描述在管理手冊或SOA或策略集等文件里。
		2、當(dāng)企業(yè)是供應(yīng)商時(shí)，選擇的策略需要考慮主要客戶的信息安全要求和業(yè)務(wù)流程。
	審核員關(guān)注：
		1、管理手冊或SOA或策略集的云服務(wù)額外策略，描述是否體現(xiàn)要求的因素，與管理層訪談、了解如何體現(xiàn)主要客戶的安全要求和業(yè)務(wù)流程。

如您想較詳細(xì)的了解ISO/IEC 27017:2015 標(biāo)準(zhǔn)，需要ISO/IEC 27017:2015標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• ISO20000與ISO9000比較

  ·ISO20000 與 ISO9000 的實(shí)用范疇不同：ISO20000 只針對 IT 服務(wù)管理，在 IT 服務(wù)提供商和**及企業(yè)的IT部門應(yīng)用較多；而 ISO9000 適用各行業(yè)的質(zhì)量標(biāo)準(zhǔn)，在制造企業(yè)應(yīng)用得較多。 ·ISO20000 與 ISO9000 的側(cè)重點(diǎn)不同：ISO20000 與 IT 服務(wù)流程相關(guān)，其流程的名稱和控制采用的IT 人員*接受的術(shù)語，對 IT 系統(tǒng)變更的風(fēng)險(xiǎn)進(jìn)行管理；而

• 信息安全體系認(rèn)證-ISO27001

  ISO27001體系認(rèn)證，對于眾多信息服務(wù)提供商來說，意義并不僅**于信息服務(wù)符合規(guī)程和提高服務(wù)質(zhì)量。信息安全管理體系認(rèn)證作為檢驗(yàn)一個(gè)企業(yè)在信息安全方面的一個(gè)標(biāo)準(zhǔn)，是能夠幫助公司形成一個(gè)約束員工、規(guī)范信息交流活動(dòng)、推動(dòng)公司業(yè)務(wù)發(fā)展越具系統(tǒng)化和管理化。 任何一家企業(yè)都是離不開體系認(rèn)證的，就如ISO27001就是其一，特別是ISO20000信息技術(shù)管理體系作為世界上**部針對信息技術(shù)服務(wù)管理領(lǐng)域的國

• 企業(yè)建立 ISO14001環(huán)境管理體系常見不符合項(xiàng)分析

  自**標(biāo)準(zhǔn)化組織頒布ISO14001環(huán)境管理體系標(biāo)準(zhǔn)以來，在**掀起了ISO14001認(rèn)證的熱潮，中國也有許多優(yōu)秀企業(yè)積極響應(yīng)，紛紛要求建立適合自身要求的環(huán)境管理體系 (EMS)，并申請認(rèn)證。 因企業(yè)的產(chǎn)品性質(zhì)和原有的環(huán)境管理水平不同，在環(huán)境管理體系建立初期總存在不同方面的缺陷，筆者對ISO14001審核中發(fā)現(xiàn)的不符合項(xiàng)進(jìn)行匯總分析，發(fā)現(xiàn)其中有驚人的共性。不符合項(xiàng)往往集中在幾個(gè)關(guān)鍵要素之中，統(tǒng)計(jì)分

• ISO20000標(biāo)準(zhǔn)特點(diǎn)

  1. ISO20000認(rèn)證體系為審核人員提供行業(yè)一致認(rèn)同的指南，并且為服務(wù)提供者規(guī)劃服務(wù)改善或通過ISO20000認(rèn)證審核提供指導(dǎo)。 2. ISO20000認(rèn)證體系能使組織了解如何從內(nèi)部和外部改進(jìn)其服務(wù)質(zhì)量。 3. ISO2000認(rèn)證體系標(biāo)準(zhǔn)描述了IT服務(wù)管理流程質(zhì)量標(biāo)準(zhǔn)。這些服務(wù)管理流程為組織在一定環(huán)境中開展業(yè)務(wù)提供了實(shí)踐指南，包括提供專業(yè)服務(wù)、降低成本、調(diào)查和控制風(fēng)險(xiǎn)。 4. 實(shí)踐準(zhǔn)則描述了在