ISO/IEC 27017 雲端服務資訊安全管理
ISO / IEC 27017 建立在 ISO / IEC 27002 的基礎之上,為了滿足雲端服務資訊安全需求而量身定制,包含專屬的資訊安全控制措施與操作規範。
為何導入 ISO / IEC 27017?
本標準確保在雲端服務使用過程中的角色和責任,資料所有權、存取控制及基礎設施維護等,是至關重要的。任何模糊不清的責任分配都可能導致業務或法律糾紛。從一開始就應清晰界定所有參與方的責任,以防止任何潛在問題。
導入 ISO / IEC 27017 益處
ISO 9001:2015 國際標準,是基於 ISO 9000 描述的品質管理原則,描述包括每個原則的陳述,原理對組織重要的原因,與原則相關的一些益處的例子,一旦企業有效應用7大管理原則時,將能提升企業的品質績效與客戶滿意度。ISO 9000 7大管理原則 (Quality management principles,簡稱 QMP) 如下:
1.
增強網路安全性
本標準提供針對雲服務安全控制措施與指導,能夠協助組織更好地管理雲端環境中的資訊安全風險。
2.
符合法令法規
許多國家和地區對資料保護和資訊安全有嚴格的法規要求。導入本標準有助於組織滿足相關法規要求,避免法律風險。
3.
競爭優勢
通過本標準認證,可以成為使組織與其他競爭對手中脫穎而出,吸引注重雲端資訊安全的客戶。
4.
內部控制改善
實施本標準有助於組織建立與改善內部雲端資訊安全管理系統,提升整體營運效率與管理水準。
5.
事故應對能力
本標準提供了有關應對和恢復雲端服務中資訊安全事故指南,有助於組織更快更有效地處理和恢復安全事件。
6.
網路風險管理
本標準幫助組織識別、評估和管理與雲端服務相關的資訊安全風險,從而降低風險影響,保護關鍵資料與組織營運。
7.
信任度與透明度
通過本標準認證,組織可以向客戶、合作夥伴和其他利害相關人展現對網路資訊安全的承諾。
ISO / IEC 27017 適用對象與範疇
ISO / IEC 27017 標準是為所有提供或使用雲端服務的組織所設計,包括提供基礎設施服務(IaaS)、平台服務(PaaS)、和軟體服務(SaaS)的公司。無論您的組織規模大小,只要想要增強雲端服務的安全性,ISO / IEC 27017 提供了全面的安全控制措施,幫助管理和降低資訊安全風險,是確保雲端服務安全的理想選擇。
ISO / IEC 27017 標準說明
本標準是 ISO / IEC 27002 的延伸 (主條文可參考:ISO 27001 網頁),不僅涵蓋了原有標準中針對雲端服務設置的37項控制措施,還新增了7項專為雲端服務設計的控制要求。這些新增措施特別針對雲端環境中的安全挑戰,提供了更加具體和針對性的指導,以確保雲端服務的安全性與合規性。
ISO/IEC 27017 雲端服務資訊安全管理 7項 專屬控制措施
01.
CLD 6.3.1 雲端運算環境中的共同角色和職責
使用雲端服務時,雲端服務供應商和客戶需共同確定、記錄、溝通及執行各自的資訊安全角色與責任。
02.
CLD 8.1.5 刪除雲端服務客戶資產
當雲端服務契約結束時,需及時刪除存放於雲端服務供應商處的客戶資產,必要時應予以返還。
03.
CLD 9.5.1 虛擬運算環境隔離
在雲端服務中,應保護客戶的虛擬環境,防止其他客戶或未經授權的人員干擾。
04.
CLD 9.5.2 虛擬機強化
在雲端運算環境中,應加強虛擬機的安全措施以符合業務需求。
05.
CLD 12.1.5 管理員(Administrator)的操作安全性
在雲端運算環境中,應明確定義、記錄和監控管理操作程序,以確保操作安全。
06.
CLD 12.4.5 雲端服務監控
雲端服務客戶應能對所使用的雲端服務進行監控,以確保其運作的透明性和安全性。
07.
CLD 13.1.4 虛擬和實體網路安全管理的一致性控制
配置虛擬網路後,應按照雲端服務供應商的安全政策,確保虛擬和實體網路配置的一致性。
領導力企管提供 ISO / IEC 27017 最佳解決方案
領導力企管擁有眾多資訊安全系統輔導成功案例,並提供 ISO / IEC 27017 最佳解決方案,包括教育訓練(Training)、文件與管理流程建置(Implementing)、 驗證(Certification)、維護(Maintaining),歡迎立即 與我們聯繫。