ISO/IEC 27017标准为云服务客户带来的受益

随着用户逐渐认识到云服务所具备的诸多优势,比如更出众的灵活性、连续性以及可扩展性,云服务的接受度在持续提升。不过,为借助云服务来驱动业务实现成功,明确个人的角色和责任必不可少。这一点得到参与ISO /IEC 27017标准制定的业界领导者们的广泛认可,该标准要求组织同时考虑云服务提供商和采购云服务的用户(云服务客户)的角色和职责。

什么是ISO/IEC 27017:2015?

ISO/IEC 27017是有关信息技术 - 安全技术 - 基于ISO/IEC 27002的云服务信息安全控制的实施规程的国际标准。该标准提供了适用于提供和使用云服务的信息安全控制指南,包括如下方面:

  • ISO/IEC 27002标准中有关控制的附加实施指南。
  • 带有具体涉及云服务实施指南的附加控制。

ISO/IEC 27017如何为云服务客户提供帮助?

ISO/IEC 27017标准不仅为作为云服务客户的您提供有关您可以对云服务供应商(CSP)报以何种期许的实用信息,而且也概述了您作为云服务用户的角色与职责。该标准可以帮助您了解“云”的共同责任,也让您能够确信您正在有效利用云服务并保护组织的安全。


Cloud Stack云计算平台 – 提供可见性

Cloud Stack云计算平台将不同类型的云服务组合在一起,并在您作为云服务客户的职责将基于所采用的云服务如何发生改变方面为您提供可见性。在这些职责中的一个共同点就是保护您信息的安全。

在位于Cloud Stack云计算平台的每一层,都有必须说明的具体角色和职责,且ISO/IEC 27017标准会清楚表明这是云服务供应商和云服务用户的共同责任。虽然“云”可以节省时间、资源和成本,但它决不会减轻您在保护您信息保密性、完整性和可用性方面的责任。


云客户面临的主要挑战

即使是对于“云”服务而言,停电、中断、破坏和灾害仍是不可避免之事。问题是,您准备如何应对这些意外?从法律和法规要求到知识产权和记录的保护,ISO/IEC 27017标准对这些情况给出了明确的客户要求。

从法律角度来看,重要的是您应展现出尽职调查,并已采用相关标准。这在您被要求在云计算环境中提供数字证据或其他信息时,显得尤其重要。依据并遵守ISO/IEC 27017标准作为最佳实践框架,在您面临任何信息隐私方面的法院调查或质疑时会让您有备无患。

提供或采用“云”服务仍会引起误解和顾虑。对于将敏感的客户数据委托给第三方的组织而言,他们已经认识到这会存在尚未明确界定权利和责任的灰色地带。许多事纯粹基于信任行事,尤其是在ISO/IEC 27017标准已将责任清晰化时,这未必是一种取得成功的最佳长期方法。


ISO/IEC 27017标准的可信度

ISO/IEC 27017标准建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上。通过ISO/IEC 27017标准认证,即证明其遵守国际公认的最佳实践,在云和更广泛的运营层面构建组织的生存力。

首席信息官和IT经理们会因为他们与云服务供应商的关系变化而受到鼓舞,他们都支持并采用标准。这为保障云计算安全提供了一个共同点。作为云服务用户,您的客户和利益相关方也会对您投以更高的信任,了解您已尽责完成您作为他们供应商应当履行的本职工作。


云服务客户的未来动向

通过参加一些培训,您可以更清楚地了解ISO/IEC 27017标准的关键要求及其实施方法,并让您掌握相关知识,能够在采用云服务方面做出审慎的决断,确保您选择了最佳的业务合作伙伴,他们与您就云服务的重要性认识上抱有相同的理解并能责任共担。

请谨记,在“云”服务中,您需要承担实实在在的责任。通过采纳遵循ISO/IEC 27017标准的流程,您可以更好地保护您的组织规避不利指控或法律诉讼的可能性。因此,通过认真对待您在云服务方面所承担的责任,确保您有效构建组织生存力,并保护重要资产的安全。