ISO/IEC27017和ISO/IEC27018的由來

最近幾乎每一項市場調(diào)查都預(yù)測云服務(wù)的快速擴(kuò)張。著名的信息和通信技術(shù)市場研究公司加特納(Gartner)預(yù)測，云計算市場從2012年的1100億美元增長到2017年的1310億美元，整體增長了18.6%【1】。思科全球云指數(shù)【2】預(yù)測IaaS和SaaS服務(wù)正分別以13%的復(fù)合年增長率和33%的復(fù)合年增長率快速成長。

現(xiàn)在差不多所有的個人和消費層面的應(yīng)用均為云端應(yīng)用。但是，在企業(yè)、政府和公共服務(wù)環(huán)境中云服務(wù)的采用依然不高。根據(jù)Ciphercloud研究，合規(guī)性（64%）和數(shù)據(jù)安全（32%）是云應(yīng)用最大的兩個挑戰(zhàn)。

對用戶而言，如果一個云服務(wù)提供商能提供安心和信心給到其用戶，證明其云服務(wù)是可靠的、符合適用法規(guī)和合同要求的，并對其能采用最好的行業(yè)實踐，那么該云服務(wù)提供商將成為用戶的選擇。在這種實際需求存在的背景下，ISO/IEC27017和ISO/IEC27018應(yīng)運而生。

對云營運來講，ISO/IEC27001:2013則是一個很好的標(biāo)準(zhǔn)，但云服務(wù)提供商希望看到更多的針對云的控制規(guī)范來幫助他們解決云的具體問題。ISO/IEC27017和ISO/IEC27018標(biāo)準(zhǔn)正是工業(yè)界在產(chǎn)生這些要求后結(jié)果的體現(xiàn)。

云服務(wù)提供商提供的傳統(tǒng)服務(wù)級別協(xié)議(SLA)主要側(cè)重于數(shù)據(jù)中心的績效，如服務(wù)器和網(wǎng)絡(luò)可用性、環(huán)境和物理安全問題，以及傳統(tǒng)的服務(wù)，如備份和監(jiān)控。云服務(wù)有其特定的關(guān)注點，它們通常不在服務(wù)級別和合同協(xié)議中提到。

ISO/IEC27017:2015針對特定于云服務(wù)的信息安全控制提供了實施指導(dǎo)：

1. 特定于ISO/IEC27002中相關(guān)的控制的額外執(zhí)行指南；
2. 對與云服務(wù)特別相關(guān)的執(zhí)行指導(dǎo)進(jìn)行額外的控制。

該標(biāo)準(zhǔn)提供了對云服務(wù)客戶和云服務(wù)提供商實施信息安全控制的指導(dǎo)方針。云服務(wù)提供商本身也可能是一個云服務(wù)的客戶（選擇下游的云服務(wù)提供商如IaaS提供商）。

ISO/IEC27018:2014提供了普遍接受的控制目標(biāo)、實施措施保護(hù)個人可識別信息(PII)的控制和指導(dǎo)，使其與ISO/IEC29100的隱私原則和世界各地的個人數(shù)據(jù)隱私法規(guī)一致。通常，當(dāng)一個組織實施ISO/IEC27001時，它是在保護(hù)自己的信息。在SaaS環(huán)境中，數(shù)據(jù)屬于SaaS服務(wù)提供商的客戶，甚至是服務(wù)提供商客戶的客戶。數(shù)據(jù)保護(hù)責(zé)任的增加要求對數(shù)據(jù)進(jìn)行額外的控制。

本標(biāo)準(zhǔn)通過兩個途徑提供了針對個人可識別信息(PII)額外的控制：

1. 提供如何在PII保護(hù)背景下實施特定的ISO/IEC27001控制的指導(dǎo)；
2. 提供在現(xiàn)有的ISO/IEC27001下沒有提到的，但針對云環(huán)境下個人可識別信息(PII)的控制。

一、ISO/IEC27017和ISO/IEC27018實施和認(rèn)證的好處
1. 提高顧客信心。這兩個標(biāo)準(zhǔn)提供的額外控制提供了額外的保證，解決了云特定的技術(shù)和合同問題，并提供了保證。
2. 加強(qiáng)治理和風(fēng)險管理。證書證明了該組織的委員會、技術(shù)能力和對云架構(gòu)中繼承的適用風(fēng)險和附加風(fēng)險的信心。
3. 減少客戶審核。許多客戶通過頻繁的審核將他們的管理權(quán)分配給供應(yīng)商。該認(rèn)證提供了一個獨立的第三方的證據(jù)，證明該組織的云操作不僅受控，而且是按照國際最佳實踐基準(zhǔn)標(biāo)準(zhǔn)進(jìn)行控制的。

二、云服務(wù)供應(yīng)商實施ISO/IEC27017和ISO/IEC27018的益處
ISO/IEC27017和ISO/IEC27018不是獨立的管理體系標(biāo)準(zhǔn)，需要與ISO/IEC27001管理體系審核一起進(jìn)行。為了達(dá)到成功的認(rèn)證，需要有效地實施ISO/IEC27001、ISO/IEC27017和（或）ISO/IEC27018中的所有適用的控制點。

1. 憑借在信息安全管理領(lǐng)域的專業(yè)服務(wù)和豐富經(jīng)驗，SGS能將ISO/IEC27017和ISO/IEC27018規(guī)范要求與ISO/IEC27001認(rèn)證要求進(jìn)行有效結(jié)合，幫你向客戶展示你自身的服務(wù)水平和能力，增強(qiáng)客戶信心。

2. 在全球范圍內(nèi)，SGS擁有龐大的審核團(tuán)隊，其中大多數(shù)審核員擁有多標(biāo)準(zhǔn)資質(zhì)。這一龐大的多技能審核員隊伍意味著SGS能夠同時在世界不同的地點，處理多標(biāo)準(zhǔn)審核。這能夠加快合規(guī)保證過程，使您的項目無憂管理。

3. 作為國際公認(rèn)的檢驗、鑒定、測試和認(rèn)證機(jī)構(gòu)，SGS在IT信息安全領(lǐng)域解決方案范圍廣泛，并致力于為各行業(yè)機(jī)構(gòu)提供全方位管理提升服務(wù)。服務(wù)內(nèi)容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)。

1、ISO22301認(rèn)證
2、ISO/IEC27001信息安全管理體系認(rèn)證
3、ISO/IEC20000認(rèn)證
4、ISO/IEC27701
5、GDPR
6、CSA STAR
7、TISAX