ISO/IEC 27017:2015 标准信息安全策略

时间：2020-08-03

为了方便大家更好、更深层次的理解与运用ISO/IEC 27017:2015标准，北京广汇联合认证**组，全新诠释ISO/IEC 27017:2015 标准信息安全策略。
标准要求：
实施指南
客户
针对云服务客户的信息安全策略应该定义为针对特定主题的策略。云服务客户的云计算信息安全策略应该与组织对其信息和其他资产的信息安全风险的可接受水平保持一致，在制定云计算的信息安全策略时，云服务客户应考虑以下因素：
-存储在云计算环境中的信息可以由云服务供应商访问和查询;
-资产可以在云计算环境中维护，例如应用程序;
-进程可以在多用户虚拟化云服务上运行;
-云服务用户和他们使用云服务的上下衔接;
-云服务客户的云服务管理员，他们有特权访问;
-云服务供应商的组织和国家的地理位置，云服务供应商可以存储云服务客户数据(甚至是**数据)。
供应商
云服务供应商应加强其信息安全策略，处理提供和使用云服务的事宜，并考虑以下因素:
-适用于设计和推行云服务的基线信息安全规定;
-授权内部人员的风险;
-多用户和云服务客户隔离(包括虚拟化) ;
-云服务供应商的工作人员访问云服务客户资产;
-访问控制程序，例如，对云服务的管理访问进行强有力的认证;
-在更改服务对象期间与云服务客户的通信;
-病毒方面安全，访问和保护云服务客户数据;
-云服务客户账户的生命周期管理;
-违规通信和信息共享指南，以帮助调查和*。
其他信息
云服务客户有关云计算的信息安全策略，是ISO/IEC27002 5.1.1所述的特定主题策略之一。组织的信息安全策略指导其信息和业务流程。当一个组织使用云服务时，它可以将云计算作为一个云服务客户。组织信息可以在云计算环境中存储和维护，业务流程可以在云计算环境中运行。一般信息安全规定在信息安全策略的较高层次是遵循云计算的策略。
与此相反，提供云服务的信息安全策略是处理云服务客户的信息及业务流程，而非云服务供应商的信息及业务流程。提供云服务的信息安全要求应符合预期云服务客户的要求。因此，它们可能与云服务供应商的信息和业务流程的信息安全要求不一致。信息安全策略的范围通常是以服务来界定，但并非只以组织结构或实际位置来界定。
云计算有几个虚拟化安全方面，包括虚拟实例的生命周期管理、虚拟映像的存储和访问控制、休眠或离线虚拟实例的交接、快照、管理程序的保护和安全控制控制自助门户的使用。
企业要做内容：
		1、根据确定的角色（客户或供应商）、识别要求考虑的因素所对应的ISO27002控制域，在ISO27002基础上更新所选择的策略，描述在管理手册或SOA或策略集等文件里。
		2、当企业是供应商时，选择的策略需要考虑主要客户的信息安全要求和业务流程。
	审核员关注：
		1、管理手册或SOA或策略集的云服务额外策略，描述是否体现要求的因素，与管理层访谈、了解如何体现主要客户的安全要求和业务流程。

如您想更详细的了解ISO/IEC 27017:2015 标准，需要ISO/IEC 27017:2015标准，请您网络搜索广汇联合，快人一步，成就管理者风范。

词条
词条说明
ISO27701认证与ISO29151体系认证区别ISO27701认证与ISO29151体系认证区别
区别一：结构不同 ISO27701是ISO27001和ISO27002在隐私方面的扩展，并为隐私保护提供了除ISO27001和ISO27002之外的额外指导。标准通过*5章和*6章将ISO27002与附加的PIMS控制项通过ISO27001中PDCA的方式导入体系，形成完整的信息安全和隐私管理体系。*7章和*8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。区别二：企业如何选
ISO20000-服务管理过程
1、所需活动组织应建立、实施、维护并持续改进信息服务管理体系。 2、说明这项必要活动的目的是确保所有必需的过程，以建立、实施、维护和持续改进信息服务管理体系。一旦环境、相关方及其要求和范围达成一致，组织应决定如何将ISO/IEC 20000-1要求作为过程实施。例如，信息服务管理体系中的过程是否将准确反映ISO/IEC 20000-1中的条款，或者它们将以不同的方式组合、分离或命名。为了从
ISO20000认证好处
解决问题企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后，在各个流程中，各个工作岗位上都建立了一个自我完善的循环，工作的策划、执行、检查，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。IT服务提供商通过实施IT服务管理
ISO27001信息安全管理体系认证好处
ISO27001信息安全管理体系标准可有效保护信息资源，保护信息化进程健康、有序、可持续发展，是信息安全领域的管理体系标准，当您的组织通过了ISO27001的认证,就表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。 1、引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效，保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的