ISO27001信息安全管理体系—要求
ISO27002信息技术—安全技术—信息安全管理实践规范
ISO27017针对云服务的信息安全控制提供了实施指导。
ISO27018是首个专注于云中个人数据保护的国际行为准则。
ISO27017是基于ISO27002标准&ISO27001标准的延伸。
ISO27017提出比较多的改变安全控制。
什么是ISO27017?
ISO27017是基于ISO27002延伸的标准。主要目的在于提供云端服务厂商一个云端建置与维运的安全规范。
ISO27017与ISO27002主要的差异在于:ISO27017额外规范云端安全的建置与维护。
ISO27017于2015-12-15官方正式公布。
ISO27017认证的方式有可能会与ISO27001认证审核一并进行。
ISO27001/ISO27002与ISO27017标准的差异部分:
ISO 27001/ISO 27002 标准
|
ISO 27017 标准额外增加的差异
|
A5 信息安全方针
|
中
|
A6 信息安全组织
|
中
|
A7 人力资源安全
|
中低
|
A8 资产管理
|
中低
|
A9 访问控制
|
高
|
A10 密码学
|
中
|
A11 物理和环境安全
|
中低
|
A12 操作安全
|
中高
|
A13 通信安全
|
中高
|
A14 信息系统获取、开发和维护
|
中
|
A15 供应商关系
|
中高
|
A16 信息安全事件管理
|
中
|
A17 信息安全方面业务连续性管理
|
低
|
A18 符合性
|
中高
|
ISO27001orISO27017?
ISO27001因为是最基础的规范,所以在进行ISO27017之前,必须先经过基本的ISO27001认证。
基于
ISO27001认证基础下,可以思考额外包含:
ISO27017:云端对于个人隐私数据的产生、储存、管理、通知、消除、加密、传输等处理。
从市场营销的观点来看,ISO27001是可以获得一个认证,因此容易得到客户的认可。
从信息安全来看,ISO27017更偏重于信息安全管制措施。