ISO/IEC 27017:2015 标准信息安全策略

为了方便大家更好、更深层次的理解与运用ISO/IEC 27017:2015标准，北京广汇联合认证权威专家组，全新诠释ISO/IEC 27017:2015 标准信息安全策略。
标准要求：
实施指南

客户
针对云服务客户的信息安全策略应该定义为针对特定主题的策略。云服务客户的云计算信息安全策略应该与组织对其信息和其他资产的信息安全风险的可接受水平保持一致，在制定云计算的信息安全策略时，云服务客户应考虑以下因素：
-存储在云计算环境中的信息可以由云服务供应商访问和查询;
-资产可以在云计算环境中维护，例如应用程序;
-进程可以在多用户虚拟化云服务上运行;
-云服务用户和他们使用云服务的上下衔接;
-云服务客户的云服务管理员，他们有特权访问;
-云服务供应商的组织和国家的地理位置，云服务供应商可以存储云服务客户数据(甚至是专用数据)。

供应商
云服务供应商应加强其信息安全策略，处理提供和使用云服务的事宜，并考虑以下因素:
-适用于设计和推行云服务的基线信息安全规定;
-授权内部人员的风险;
-多用户和云服务客户隔离(包括虚拟化) ;
-云服务供应商的工作人员访问云服务客户资产;
-访问控制程序，例如，对云服务的管理访问进行强有力的认证;
-在更改服务对象期间与云服务客户的通信;
-病毒方面安全，访问和保护云服务客户数据;
-云服务客户账户的生命周期管理;
-违规通信和信息共享指南，以帮助调查和取证。

其他信息
云服务客户有关云计算的信息安全策略，是ISO/IEC27002 5.1.1所述的特定主题策略之一。组织的信息安全策略指导其信息和业务流程。当一个组织使用云服务时，它可以将云计算作为一个云服务客户。组织信息可以在云计算环境中存储和维护，业务流程可以在云计算环境中运行。一般信息安全规定在信息安全策略的最高层次是遵循云计算的策略。
与此相反，提供云服务的信息安全策略是处理云服务客户的信息及业务流程，而非云服务供应商的信息及业务流程。提供云服务的信息安全要求应符合预期云服务客户的要求。因此，它们可能与云服务供应商的信息和业务流程的信息安全要求不一致。信息安全策略的范围通常是以服务来界定，但并非只以组织结构或实际位置来界定。
云计算有几个虚拟化安全方面，包括虚拟实例的生命周期管理、虚拟映像的存储和访问控制、休眠或离线虚拟实例的交接、快照、管理程序的保护和安全控制控制自助门户的使用。
企业要做内容：
1、根据确定的角色（客户或供应商）、识别要求考虑的因素所对应的ISO27002控制域，在ISO27002基础上更新所选择的策略，描述在管理手册或SOA或策略集等文件里。
2、当企业是供应商时，选择的策略需要考虑主要客户的信息安全要求和业务流程。
审核员关注：
1、管理手册或SOA或策略集的云服务额外策略，描述是否体现要求的因素，与管理层访谈、了解如何体现主要客户的安全要求和业务流程。

如您想更详细的了解ISO/IEC 27017:2015 标准，需要ISO/IEC 27017:2015标准，请您网络搜索广汇联合，快人一步，成就管理者风范。

ISO/IEC 27017:2015 标准信息安全策略相关推荐

现行ISO/IEC软件工程国际标准
现行ISO/IEC软件工程国际标准点击:1038 更新时间:2005-10-21 10:38:36 标准代号标准名称 1 ISO 3535:1977 格式设计表和布局图 2 ISO ...
ISO/IEC国际标准组织收入的国产密码算法汇总
我国SM2和SM9数字签名算法正式成为ISO/IEC国际标准发布日期:2017-11-17来源:国家密码管理局 11月3日,在第55次ISO/IEC联合技术委员会信息安全技术分委员会(SC27)德国 ...
ISO/IEC 5055：软件代码质量的标尺
本文分享自华为云社区<自动源代码质量度量(ISO/IEC 5055)>,原文作者:Uncle_Tom . ISO 5055是首个直接从软件内部结构方面衡量软件质量(如安全性和可靠性)的IS ...
国际著名标准化组织及ISO/IEC/ASTM/IEEE等国际标准免费下载地址
在知识经济时代,标准已被称作世界的通用语言.你看不懂语言没关系,但是一个标准的图形符号,你就能看明白,很快能GET到你需要的信息.在没有标准的世界,不仅人与人之间难以沟通,机器.零部件以及产品之间的联 ...
中国二维码--汉信码(中国主导的首个二维码码制国际标准「汉信码」ISO/IEC 20830:2021《信息技术自动识别与数据采集技术汉信码条码符号规范》)
国际标准化组织(ISO)和国际电工协会(IEC)正式发布汉信码 ISO/IEC 国际标准 --ISO/IEC 20830:2021<信息技术自动识别与数据采集技术汉信码条码符号规范>. ...
国际标准ISO/IEC 30144: 2020在智能变电站辅助监测中的应用研究
摘要物联网和无线传感器网络(简称"传感网")技术已逐步应用在变电站监测中,作为变电站自动化重要手段之一.国际标准ISO/IEC 30144:2020给出了支撑变电站的无线传感网系 ...
【2017年第4期】ISO/IEC JTC1/WG9大数据国际标准研究及对中国大数据标准化的影响...
光亮1,张群2 1.华为技术有限公司,北京 100085:2. 中国电子技术标准化研究院,北京 100007 摘要:ISO/IEC JTC1/WG9是制定大数据基础性国际标准的官方组织,WG9在研的大 ...
SQL 之后，GQL 成为 ISO/IEC 国际标准数据库语言项目
Graph Query Language(GQL,图形查询语言) 是由同时维护 SQL 标准的国际工作组开发和维护的一种新语言. GQL 很大程度上借鉴了现有的语言,主要的灵感来自 Cypher(现在 ...
c++语言iso标准,C++20标准 (ISO/IEC 14882:2020) 正式发布
ISO C++ 委员会正式发布了C++20 标准,命名为 ISO/IEC 14882:2020. C++20 是一次重大的更新,引入了许多新特性: 模块 (Modules) 协程 (Coroutine ...
如何制定恰当的信息安全策略
Standard Podcast [3:01m]: Hide Player | Play in Popup | Download ISO 27001要求在计划阶段的第二步定义信息安全策略. 标准的章 ...

ISO/IEC 27017:2015 标准信息安全策略

ISO/IEC 27017:2015 标准信息安全策略相关推荐

最新文章

热门文章