ISO 27017_2015 云服务信息安全控制模板 中文版（云服务商与客户双方责任）_1.docxVIP

ISO27017_2015云服务信息安全控制模板中文版（云服务商与客户双方责任）

一、标准概述与核心定位（资深深度解读）

ISO/IEC27017:2015是全球首个、最权威的云计算通用信息安全国际标准，隶属于ISO27000信息安全管理体系家族，是ISO27002通用安全控制的云场景专项扩展规范，无独立体系架构，依托ISO27001ISMS体系落地生效。该标准核心解决云计算行业最大合规痛点：云安全责任边界模糊、服务商与客户权责真空、分层管控无标准依据，适用于公有云、私有云、混合云全场景，覆盖IaaS、PaaS、SaaS三类主流云服务模式。

区别于通用安全标准，ISO27017:2015的核心价值是确立云安全责任共担模型，明确固化行业黄金准则：云服务商（CSP）负责云基础设施本身的安全（SecurityOFtheCloud），云服务客户（CSC）负责云上业务与数据的安全（SecurityINtheCloud）。标准在ISO27002原有控制项基础上，新增16项云计算专属安全控制措施，全方位补齐传统信息安全标准在云虚拟化、多租户、外包托管、远程运维场景的管控空白。

在云合规体系矩阵中，ISO27017与ISO27018形成完美互补、缺一不可：ISO27017:2015管控云服务通用安全、双向权责划分，是云安全合规的基础框架；ISO27018: