咨源认证云服务信息安全管理体系（ISO27017：2015）.pdfVIP

咨源认证云服务信息安全管理体系 （ISO27017 ：2015） 在互联⽹和⼤数据时代，许多 务的开展都离不开个⼈隐私信息的输⼊，每个组织都会或多或少地处理个⼈⾝份信息 (PII)，保护PII不仅是法律要求，也是社会的需要。随着越来越严格的数据保护要求和法律，如欧盟保护个⼈数据的 《General Data Protection Regulation》 (GDPR)和美国的 《California Consumer Privac Act》(CCPA)等法律法规的 相继出台，以及与隐私和数据保护相关的投诉和罚款数量的增加，许多组织都迫切地需要开展⾏动以提⾼其PII的保护能 ⼒。 01 什么是ISO/IEC 27017 ISO/IEC 27701正是基于此需求⽽开发的⼀项国际管理体系标准。 ISO/EC27017 旨在帮助推荐和实施基于云的组织的密件。这不仅与将信息存储在云中的组织有关，⽽且还与向可能拥有 敏感信息的其他公司提供基于云的服务的提供商有关。该标准建⽴在ISO27002标标准的基础上，但是允许添加特定的 控件以满⾜云组织及其最终⽤户的需求。 02 ISO/IEC 27017的适⽤性 它适⽤于所有类型和规模的组织，包括公有和私营公司、政府实体和⾮营利组织，在信息安全管理体系(ISMS)中实施 PII。 该标准设计的⽬的在于借助更多的要求增强现有 ISMS，以建⽴、实施、维护和持续改进隐私信息管理体系 (PIMS)。标 准概述了适⽤于个⼈⾝份信息 (PII) 控制者和 PII 处理者的框架， 以有效管理隐私控制，降低个⼈隐私权⾯临的风险。 03 ISO/IEC 27017的特点 1、它提供了有关谁负责云服务提供商和云客户之间的责任的明确说明 2、合同终⽌时的资产清算/归还 3、保护和分离客户的虚拟环境 4、虚拟机配置 5、与云环境相关的管理操作和过程 6、云端客户对云端活动的监控 7、虚拟和云⽹络环境对齐 04 ISO/IEC 27017的重要性 云数据的安全⾄关重要，因为客户希望确保其存储在云中时数据的安全。 ISO/IEC 27017标准允许组织致⼒于长期⽬标。该组织将拥有⼀个国际标准化框架来建⽴其云安全。在所需求的内部化 之后，组织将能够减少运营和声誉风险，并朝着可持续的未来努⼒。 该标准⼴泛涵盖了以下主题:资产所有权，CSP解散时的恢复措施，具有敏感信息的资产处置，数据的隔离和存储，虚 拟和物理⽹络的安全管理调整等。 05 ISO/IEC 27017认证好处 1、 制定长期战略⼀遵循ISO/IEC 27017准则，可以将声誉风险、云安全性和可持续发展相关的问题降⾄最低。这将⿎ 励潜在的投资者和赞助商将您视为负责任的合作伙伴； 2、 提⾼透明度⼀认证将帮助该公司向利益相关者展⽰其在全球信息安全实践中的⽴⾜点以及满⾜⾏ 标准要求的能 ⼒； 3、 降低声誉风险⼀实施基于ISO/IEC 27017的策略，该公司将能够分析其⾃⾝的漏洞并减轻数据泄露的风险； 4、 赢得客户信任⼀通过减轻数据泄露和其他⽹络攻击的风险，您可以赢得利益相关者的信⼼并获得竞争优势； 5、 扩展 务⼀遵循ISO/IEC 27017的国际准则，成为⾸选的CSP，并在全球扩展 务； 6、 满⾜合规性⼀实施ISO/IEC 27017将帮助您遵守国家和国际法则，从⽽减轻因数据泄露和其他⽹络攻击⽽受到法律 和罚款的风险； 7、 包容性标准⼀在云计算环境中， ISO/IEC 27017明确阐述了云服务客户与云服务提供商之间的确切关系，⾓⾊，权 利和责任。