在互联网和大数据时代,许多业务的开展都离不开个人隐私信息的输入,每个组织都会或多或少地处理个人身份信息(PII),保护PII不仅是法律要求,也是社会的需要。随着越来越严格的数据保护要求和法律,如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR)和美国的 《California Consumer Privacy Act》(CCPA)等法律法规的相继出台,以及与隐私和数据保护相关的投诉和罚款数量的增加,许多组织都迫切地需要开展行动以提高其PII的保护能力。同时,基于互联网云服务的交互信息模式广泛使用,信息、资料广泛存在于网络,使得云服务信息安全管理问题引起了足够的重视。
什么是
ISO/IEC 27017
ISO/IEC 27017 云服务信息安全管理体系认证(CSSMS)认证 是为云服务提供商和云服务客户提供增强控制能力的依据,从而有助于让云服务与传统信息系统一样安全可靠。获得CSSMS认证的企业,标志着其建立的安全控制措施满足云服务客户的信息安全要求,云服务信息安全管理水平处于云服务提供商前列。同时标志着企业云服务信息安全和个人身份信息(PII)保护达到了全球一定的标准。
ISO/IEC 27017
的适用性
ISO/EC27017旨在帮助推荐和实施基于云的组织的密件。这不仅与将信息存储在云中的组织有关,而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。该标准建立在ISO27002标标准的基础上,但是允许添加特定的控件以满足云组织及其最终用户的需求。
ISO/IEC 27017
的特点
1、它提供了有关谁负责云服务提供商和云客户之间的责任的明确说明;
2、合同终止时的资产清算/归还;
3、保护和分离客户的虚拟环境;
4、虚拟机配置;
5、与云环境相关的管理操作和过程;
6、云端客户对云端活动的监控;
7、虚拟和云网络环境对齐。
ISO/IEC 27017
的重要性
云数据的安全至关重要,因为客户希望确保其存储在云中时数据的安全。
ISO/IEC 27017标准允许组织致力于长期目标。该组织将拥有一个国际标准化框架来建立其云安全。在所需求的内部化之后,组织将能够减少运营和声誉风险,并朝着可持续的未来努力。
该标准广泛涵盖了以下主题:资产所有权,CSP解散时的恢复措施,具有敏感信息的资产处置,数据的隔离和存储,虚拟和物理网络的安全管理调整等。
ISO/IEC 27017
认证好处
1、制定长期战略——遵循ISO/IEC 27017准则,可以将声誉风险、云安全性和可持续发展相关的问题降至最低。这将鼓励潜在的投资者和赞助商将您视为负责任的合作伙伴;
2、提高透明度——认证将帮助该公司向利益相关者展示其在全球信息安全实践中的立足点以及满足行业标准要求的能力;
3、降低声誉风险——实施基于ISO/IEC 27017的策略,该公司将能够分析其自身的漏洞并减轻数据泄露的风险;
4、赢得客户信任——通过减轻数据泄露和其他网络攻击的风险,您可以赢得利益相关者的信心并获得竞争优势;
5、扩展业务——遵循ISO/IEC 27017的国际准则,成为首选的CSP,并在全球扩展业务;
6、满足合规性——实施ISO/IEC 27017将帮助您遵守国家和国际法则,从而减轻因数据泄露和其他网络攻击而受到法律和罚款的风险;
7、包容性标准——在云计算环境中, ISO/IEC 27017明确阐述了云服务客户与云服务提供商之间的确切关系,角色,权利和责任。
ISO/IEC 27017
认证的流程
1、按照ISO/IEC27017:2015云服务信息安全管理体系标准要求建立体系框架;
2、体系建立后,需要运行一段时间,最少三个月,产生三个月的运行记录;
3、向认证机构递交审核申请;
4、认证机构评估费用和正式审核时间;
5、认证机构将进行第一阶段审核;
6、认证机构将进行第二阶段审核,通过现场审核为企业出具审核报告并给出建议;
7、如果能顺利完成审核,在确定清楚认证范围后,发放ISO/IEC27017:2015云服务信息安全管理体系认证证书。
8、在满足持续审核情况下,三年有效。
ISO/IEC 27017
的认证费用
详情欢迎咨询:
深圳市新世纪企业管理顾问有限公司
电话:18028058110钟老师
-END-