ISO/IEC 27017標(biāo)準(zhǔn)提供了ISO/IEC 27002中的37項(xiàng)控制指導(dǎo)及ISO/IEC 27002未涉及的7個(gè)新控制方面。

CLD.6.3.1：客戶和供應(yīng)商之間就共同或單獨(dú)責(zé)任達(dá)成協(xié)議，以清晰定義、記錄和溝通與云服務(wù) 相關(guān)的信息安全角色。

CLD.8.1.5：明確當(dāng)客戶和供應(yīng)商之間的合同/協(xié)議終止時(shí)，應(yīng)如何將資產(chǎn)從云端退回或轉(zhuǎn)移。

CLD.9.5.1：供應(yīng)商必須保護(hù)客戶的虛擬環(huán)境并將其與其他客戶和外部各方的環(huán)境分離。

CLD.9.5.2：客戶和供應(yīng)商必須確保對(duì)虛擬機(jī)進(jìn)行配置和增強(qiáng)，以滿足組織的需求。

CLD.12.1.5：客戶有責(zé)任定義、記錄和監(jiān)控與云環(huán)境相關(guān)的管理運(yùn)營(yíng)和程序， 在客戶需要 時(shí)， CSP要共享關(guān)于重要運(yùn)營(yíng)和程序的文檔。

CLD.12.4.5：供應(yīng)商的能力將如何支持客戶有效監(jiān)控云計(jì)算環(huán)境中的活動(dòng)。

CLD.13.1.4：應(yīng)進(jìn)行一致性配置， 從而使虛擬 網(wǎng)絡(luò)環(huán)境符合物理網(wǎng)絡(luò)的信息安全政策。

角色與責(zé)任

角色、涉及問題（如數(shù)據(jù)所有權(quán)、訪問控制和基礎(chǔ)設(shè)施維護(hù)等）責(zé)任定義及責(zé)任分配的模糊不清，可能引起業(yè)務(wù)或法律糾紛；尤其在涉及第三方的情況下。正如該標(biāo)準(zhǔn)所規(guī)定：

“云服務(wù)使用過程中，云服務(wù)供應(yīng)商系統(tǒng)所創(chuàng)建或修改的數(shù)據(jù)和文件可能對(duì)于確保服務(wù)運(yùn)營(yíng)、恢復(fù)和連續(xù)性至關(guān)重要。資產(chǎn)所有權(quán)以及對(duì)于這些資產(chǎn)相關(guān)的操作（例如，備份和恢復(fù)操作）承擔(dān)責(zé)任的各方應(yīng)當(dāng)被定義和記錄。否則，將會(huì)存在云服務(wù)供應(yīng)商假設(shè)云服務(wù)客戶執(zhí)行了這些重要任務(wù)（反之亦然）的風(fēng)險(xiǎn)，并且可能發(fā)生數(shù)據(jù)丟失。”

安全控制

該標(biāo)準(zhǔn)不僅只是劃分責(zé)任，還具有下列優(yōu)勢(shì)：ISO/IEC 27017更詳細(xì)地定義了供應(yīng)商應(yīng)當(dāng)實(shí)施安全控制的類型，這有助于減少云技術(shù)采用的障礙。

ISO/IEC 27017為云服務(wù)供應(yīng)商提供了一種方法以表明已實(shí)施控制的級(jí)別。這意味著有記錄的證據(jù)—由獨(dú)立來源（例如，針對(duì)某些標(biāo)準(zhǔn)的認(rèn)證）支持—可證明已實(shí)施適當(dāng)?shù)恼?，最重要的是，已引入哪些類型的控制。在合同簽署前，?yīng)當(dāng)與云客戶共享此信息，以規(guī)避未來可能出現(xiàn)的任何潛在問題。

在無法進(jìn)行獨(dú)立審核或者可能對(duì)信息安全構(gòu)成更大風(fēng)險(xiǎn)的情況下，這一標(biāo)準(zhǔn)為CSP提供了選項(xiàng)以進(jìn)行自評(píng)估。如果出現(xiàn)這種情況，CSP須告知客戶已進(jìn)行自評(píng)估。

密碼保護(hù)

該標(biāo)準(zhǔn)還包含針對(duì)所采用密碼保護(hù)的指導(dǎo)原則，適用于客戶和供應(yīng)商，因雙方在此方面均承擔(dān)責(zé)任。供應(yīng)商應(yīng)當(dāng)告知客戶如何使用密碼保護(hù)，并幫助客戶應(yīng)用自身的那些保護(hù)措施。與此同時(shí)還應(yīng)當(dāng)慮到特殊情況，例如健康數(shù)據(jù)，因其可能涉及其他一些監(jiān)管指導(dǎo)原則。

客戶也應(yīng)當(dāng)坦誠(chéng)告知其所使用的密碼保護(hù)類型—如果風(fēng)險(xiǎn)分析表明有必要，他們應(yīng)當(dāng)采用密碼保護(hù)。實(shí)際上，正因?yàn)榇嬖跔?zhēng)議或誤解，才更需要標(biāo)準(zhǔn)。

雙方不僅應(yīng)當(dāng)彼此確保網(wǎng)絡(luò)被有效保護(hù)，還應(yīng)當(dāng)能夠確保兩個(gè)系統(tǒng)之間的兼容性。重要的是，應(yīng)當(dāng)確定這些控制是適用于存儲(chǔ)的數(shù)據(jù)、傳輸?shù)臄?shù)據(jù)，或兩者均用，因此處以往常常被誤解。

客戶關(guān)系

該標(biāo)準(zhǔn)對(duì)要求進(jìn)行了拓展，不僅僅局限于技術(shù)，還為培訓(xùn)確立了知道原則。對(duì)于云服務(wù)供應(yīng)商提供的基礎(chǔ)設(shè)施，許多客戶表示滿意，若要進(jìn)一步支持，則略顯擔(dān)憂。

因?yàn)楫吘褂写罅孔C據(jù)表明，員工往往是組織安全措施中的薄弱環(huán)節(jié)?？蛻舨粌H需要擔(dān)憂存在缺陷的安全設(shè)備，而且還要擔(dān)心員工是否遵循了所有適當(dāng)?shù)拇胧４诵聵?biāo)準(zhǔn)不僅規(guī)定供應(yīng)商應(yīng)當(dāng)讓員工和承包商增強(qiáng)意識(shí)并為其提供相關(guān)培訓(xùn)，還規(guī)定培訓(xùn)應(yīng)當(dāng)涵蓋監(jiān)管要求、客戶訪問以及特定要求。

資產(chǎn)所有權(quán)

云資產(chǎn)歸誰所有可能是另一外一個(gè)混淆點(diǎn)。該標(biāo)準(zhǔn)建議應(yīng)當(dāng)建立云儲(chǔ)存資產(chǎn)清單，并且還重新提及了ISO/IEC 27002中所規(guī)定的針對(duì)資產(chǎn)所有權(quán)、可接受的資產(chǎn)使用及退還的指導(dǎo)原則信息。

新標(biāo)準(zhǔn)明確了安全處理客戶資產(chǎn)的參數(shù)，從而使敏感數(shù)據(jù)不會(huì)被簡(jiǎn)單地“丟棄”于虛擬回收站中。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5596.html