ISO/IEC 27017&ISO/IEC 27018认证
云服务信息安全控制规范&公共云作为个人信息(PII)处理者的信息安全控制规范
ISO/IEC 27017:2015是基于ISO/IEC 27002的云服务信息安全控制的实施规范,ISO/IEC 27018:2014是公共云作为个人信息(PII)处理者的信息安全控制规范,这两个标准则是联合技术委员会ISO/IEC JTC 1 SC 27开发小组开发的,其小组也开发过ISO/IEC 27001标准。
ISO9001
服务背景

ISO/IEC 27017ISO/IEC 27018的由来

最近几乎每一项市场调查都预测云服务的快速扩张。著名的信息和通信技术市场研究公司加特纳(Gartner)预测,云计算市场从2012年的1100亿美元增长到2017年的1310亿美元,整体增长了18.6%1】。思科全球云指数【2】预测IaaSSaaS服务正分别以13%的复合年增长率和33%的复合年增长率快速成长。

现在差不多所有的个人和消费层面的应用均为云端应用。但是,在企业、政府和公共服务环境中云服务的采用依然不高。根据Ciphercloud研究,合规性(64%)和数据安全(32%)是云应用最大的两个挑战。

对用户而言,如果一个云服务提供商能提供安心和信心给到其用户,证明其云服务是可靠的、符合适用法规和合同要求的,并对其能采用最好的行业实践,那么该云服务提供商将成为用户的选择。在这种实际需求存在的背景下,ISO/IEC 27017ISO/IEC 27018应运而生。

对云营运来讲,ISO/IEC 27001:2013则是一个很好的标准,但云服务提供商希望看到更多的针对云的控制规范来帮助他们解决云的具体问题。ISO/IEC 27017ISO/IEC 27018标准正是工业界在产生这些要求后结果的体现。

云服务提供商提供的传统服务级别协议(SLA)主要侧重于数据中心的绩效,如服务器和网络可用性、环境和物理安全问题,以及传统的服务,如备份和监控。云服务有其特定的关注点,它们通常不在服务级别和合同协议中提到。

标准概述

ISO/IEC 27017:2015针对特定于云服务的信息安全控制提供了实施指导:

1. 特定于ISO/IEC 27002中相关的控制的额外执行指南;
2. 对与云服务特别相关的执行指导进行额外的控制。

该标准提供了对云服务客户和云服务提供商实施信息安全控制的指导方针。云服务提供商本身也可能是一个云服务的客户(选择下游的云服务提供商如IaaS提供商)。

ISO/IEC 27018:2014提供了普遍接受的控制目标、实施措施保护个人可识别信息(PII)的控制和指导,使其与ISO/IEC 29100的隐私原则和世界各地的个人数据隐私法规一致。通常,当一个组织实施ISO/IEC 27001时,它是在保护自己的信息。在SaaS环境中,数据属于SaaS服务提供商的客户,甚至是服务提供商客户的客户。数据保护责任的增加要求对数据进行额外的控制。

本标准通过两个途径提供了针对个人可识别信息(PII)额外的控制:

1. 提供如何在PII保护背景下实施特定的ISO/IEC 27001控制的指导;
2. 提供在现有的ISO/IEC 27001下没有提到的,但针对云环境下个人可识别信息(PII)的控制。

认证益处

一、ISO/IEC 27017ISO/IEC 27018实施和认证的好处
(1)提高顾客信心。这两个标准提供的额外控制提供了额外的保证,解决了云特定的技术和合同问题,并提供保证。
(2)加强治理和风险管理。证书证明了该组织的委员会、技术能力和对云架构中继承的适用风险和附加风险的信心。
(3)减少客户审核。许多客户通过频繁的审核将他们的管理权分配给供应商。该认证提供了一个独立的第三方的证据,证明该组织的云操作不仅受控,而且是按照国际最佳实践基准标准进行控制的。

二、云服务供应商实施ISO/IEC 27017ISO/IEC 27018的益处
ISO/IEC 27017ISO/IEC 27018不是独立的管理体系标准,需要与ISO 27001管理体系审核一起进行。为了达到成功的认证,需要有效地实施ISO/IEC 27001ISO/IEC 27017/ISO/IEC 27018中的所有适用的控制点。

我们的优势

一、凭借在信息安全管理领域的专业服务和丰富经验,SGS能将ISO/IEC 27017ISO/IEC 27018规范要求与ISO/IEC 27001认证要求进行有效结合,助力您向客户展示服务水平和能力,增强客户信心。

二、在全球范围内,SGS拥有庞大的审核团队,其中大多数审核员拥有多标准资质。这一庞大的多技能审核员队伍意味着SGS能够同时在世界不同的地点处理多标准审核,加快合规保证过程,使您的项目无忧管理。

三、作为国际公认的检验、鉴定、测试和认证机构,SGSIT信息安全领域解决方案范围广泛,致力于为各行业机构提供全方位管理提升服务,包括:ISO/IEC 27701ISO/IEC 29151ISO/IEC 27001ISO/IEC 20000CSA STARISO/IEC 27017ISO/IEC 27018ISO 22301GDPR等培训、认证和审核相关服务。

实践案例

SGS为青莲云颁发三项ISO认证为隐私保护及互联网安全的双合规提供了保障。

相关服务

通用标准类
1. ISO 9001认证
2. ISO 14001认证
3. ISO 45001认证
4. IMS认证
5. ISO 22301认证

行业标准类
1. ISO/IEC 27001
2. 
ISO/IEC 20000
3. ISO/IEC 29151
4. GDPR

流程优化类
CSA STAR

专项评估服务
1. ISO/IEC 27001管理体系差距分析/预审
2. 风险管理与处理专项诊断服务
3. 信息安全管理能力诊断定制服务
4. 供应链信息安全管理能力审核服务
5. 个人信息保护管理能力诊断

培训类
1. ISO/IEC 27018培训
2. ISO/IEC 27001内审员
3. ISO/IEC 27001主任审核员
4. ISO/IEC 20000-1:2011内审员培训
5. ISO/IEC 20000-1:2011主任审核员培训
6. ISO/IEC 20000-1:2018转版培训
7. ISO/IEC 20000-1:2018差距评审定制化服务
8. 转版定制化服务
9. (BCMS)ISO 22301业务连续性管理体系培训
9. GDPR意识培训
10. GDPR法规讲解
11. DPO数据保护官课程
12. GDPR差距分析及丰富的实践指导
13. GDPR on-line service
14. GDPR符合性审核
15. ISO/IEC 29151培训和审核
16. 渗透测试
17. ISO/IEC 27701培训

资源下载

填写信息免费下载

X
《隐私政策》
资源下载

填写信息免费下载

X
贵公司是否已与SGS有合作
是,IATF 16949认证
《隐私政策》

SGS是一家专业的第三方认证机构,拥有国际专家团队为您提供专业的业务解决方案,欢迎来电咨询。