ISO 27017 云计算服务的信息安全控制

安全是云客户担忧的一大问题，尽管云有着出色的灵活性和可拓展性，但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。

云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视客户数据。

安全问题主要在于担心数据最终可能会落入不法之徒手中，以及客户就那些粗心大意造成问题的运营商会采取什么样的控制措施。

ISO 27017介绍

ISO 27017是有关信息技术 - 安全技术 – 基于ISO/IEC 27002的云服务信息安全控制的实施规程的国际标准。该标准提供了适用于提供和使用云服务的信息安全控制指南，包括如下方面：

①ISO/IEC 27002标准中有关控制的附加实施指南。

②带有具体涉及云服务实施指南的附加控制。

ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针，而且还介绍了7个全新云控制以解决以下问题：

负责云服务提供商和云客户之间关系的人是谁

当合同终止时，资产的移除/归还

客户虚拟环境的保护和分离

虚拟机配置

与云环境相关的管理操作和程序

云客户监控云中活动

虚拟和云网络环境的对接 

ISO27017云服务信息安全管理体系认证特点：

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供了加强控制。ISO/IEC 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。

ISO/IEC 27017标准不仅提供了基于ISO/IEC 27002标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施。

ISO27017云服务信息安全管理体系认证意义：

      通过ISO27017的认证，可以有效地保护数据，降低数据泄露以及违反法律法规带来的风险和负面影响，增强客户对企业的信任。ISO27001因为是最基础的规范，所以在进行ISO27017之前，必须先经过基本的ISO27001认证。ISO27017认证也有可能会与1SO27001认证审核一并进行。