ISO 27017：云存储保护指南

随着企业向云计算迁移，网络安全也必须同步进行。目前，高达50%的数据泄露事件发生在云计算环境中。不过，实施ISO 27017标准的云安全措施能够有效降低数据泄露的风险，从而确保个人数据的安全性。

这篇文章将解释什么是ISO 27017，以及它如何与ISO安全框架相衔接。了解云安全控制措施，并学习如何确认企业是否符合ISO 27017标准，从而获得ISO 27001认证。

主要要点/关键信息

• ISO 27017是一种领先的标准。用于保护云环境中数据的国际标准该框架包含了用于保障基于云的信息技术安全的实施指南。它建立在ISO 27001和ISO 27002中提出的通用安全建议的基础上。
• ISO 27017:2015规定了以下内容：针对云服务提供商，还有另外七项安全控制措施需要遵循。此外，还涉及到对虚拟机进行加固处理、对云客户进行监控、定义安全角色、对用户资产进行隔离、确保管理操作的安全性、移除用户资产，以及使物理网络和虚拟网络保持一致等控制措施。
• 没有针对ISO 27017标准的认证流程。不过，各组织可以将ISO 27017的合规性纳入到ISO 27001认证项目中。这样一来，企业就能获得ISO 27001认证，同时也有保证其遵循了在云计算环境中实施信息安全的最佳实践。
• 各组织不应将ISO 27017与ISO 27018混淆。ISO 27017是一个适用于云环境的通用信息安全框架。而ISO 27018则是一种专门用于保护个人身份信息的安全框架。

什么是ISO 27017？

ISO 27017是一种……适用于云服务提供商和用户的领先国际信息安全标准该标准由国际标准化组织（ISO）于2015年发布。ISO 27017定义了用于保护云资产、防止数据泄露的推荐信息安全管理措施与政策。

ISO 27017是从ISO 27000系列安全标准中衍生出来的。ISO的专家们意识到，像ISO 27001和ISO 27002这样的现有标准无法有效保护云中的数据。因此，ISO 27017为云环境增加了七项新的控制措施，同时补充了ISO 27002中的内容，提供了关于如何实施37项核心信息安全控制的指导方针。

需要注意的是，云服务提供商不能将ISO 27017作为建立信息安全管理体系的总体标准——这一职责应由ISO 27001来承担。ISO 27017为云服务的用户提供最新的实施指南。

ISO 27017是一种认证吗？

并不存在独立的ISO 27017认证标准。因此，云服务提供商和用户无法仅依靠这一标准来证明自己的安全防护措施是有效的。ISO 27017可以作为更广泛的ISO 27001认证流程的一部分。.

在进行ISO 27001评估的过程中，企业可以选择实施ISO 27017信息安全管理体系。将ISO 27017相关控制措施纳入项目范围，表明该组织确实重视云安全问题，并将其视为一个独立的挑战。认证机构会根据ISO 27017标准来评估信息安全管理措施的有效性，从而提供独立的云安全验证服务。

ISO 27017对云服务提供商的好处

随着用户越来越依赖第三方云服务提供商以及外包的数字技术，ISO 27017的重要性日益凸显。该标准对于销售基于云的产品的云服务提供商来说，也带来了许多好处。

ISO 27017对云服务的优势包括：

为客户提供安全保障

遵循ISO 27017标准，可以确保买家相信云服务提供商确实重视信息安全问题。企业可以放心地将数据委托给那些符合该标准的合作伙伴来处理。云服务有助于建立长期稳定的商业关系，同时也有助于塑造一个注重信息安全的品牌形象。

对安全角色的明确界定

ISO 27017有助于云服务提供商明确其安全方面的责任。云服务提供商可以投入足够的资源来保护自己的资产与基础设施。用户也清楚自己在保护数据以及管理对云服务访问权限方面所承担的职责。

管理数据泄露风险

正确实施ISO 27017信息安全技术，可以有效降低因云服务提供商导致的数据泄露风险。各组织必须制定并遵循相应的战略计划来保护用户数据。此外，该指南还要求对所有关键资产进行严格的风险评估。

更新之前的ISO认证信息

现有的ISO 27001标准实施情况可能需要进行现代化改造，因为许多企业正在转向基于云的系统。ISO 27017则是对ISO 27001的补充，它有助于更好地保护虚拟化环境，并确保数据的安全传输。

全球安全保障

ISO 27017:2015是一种被广泛认可的国际标准。企业可以通过实施该标准所推荐的信息安全控制措施，来打造一个符合所有地区安全标准的云环境。

整体安全管理

ISO 27017从整体角度来审视云安全控制措施。云服务提供商可以建立涵盖所有资产及潜在威胁的信息安全管理体系。这一安全框架能够长期有效应对各种威胁，同时让相关方放心：该组织能够妥善管理由云存储的数据和应用程序。

ISO 27017：了解最新的更新内容

ISO的云安全框架的最新版本是ISO IEC 27017:2015安全专家在2021年对2015年制定的框架进行了审查，确认该框架仍然能够满足信息安全方面的需求，并且仍然具有有效性。

需要注意的是，ISO的相关标准会定期更新，以反映最新的安全技术。目前，ISO 27017正在接受审查，将会被新的标准ISO IEC CD 27017所取代。不过，在新的标准发布之前，ISO IEC 27017 2015仍然是我们遵循的现行标准。

ISO 27017相关控制措施清单

ISO 27017基于一份信息安全控制清单来运作。这些控制措施可以是技术性的、物理性的，也可以是管理性的。每项控制措施都旨在保护数据安全，且应依据组织的风险评估结果来实施。

ISO IEC 27017:2015在ISO 27002所提出的各项安全措施之外，又增加了七项新的安全措施。这些针对云计算的新安全措施包括：

• 监控云计算服务，以检测潜在威胁。
• 明确用户和服务提供者的角色与职责
• 在虚拟环境中，确保客户资产的安全转移。
• 为客户的虚拟环境创建独立的虚拟环境。
• 通过使虚拟机更加坚固，从而防止数据泄露事件的发生。
• 确保行政工作的顺利进行
• 确保物理网络和虚拟网络的安全性保持一致
  
  

上述七项控制措施，都专门用于确保云计算环境的安全性。这些措施可以补充ISO 27001和27002标准的内容。而ISO 27017框架中的实施指南则基于ISO 27002中的37项信息安全控制措施来制定，因此这些控制措施对于云服务来说更为适用。

实现 ISO 27017 合规性的步骤

对于依赖云计算技术的CSP以及各类组织来说，将云安全控制措施与ISO最佳实践相整合是明智之举。

合规流程因虚拟环境的类型、数据处理需求以及项目规模的不同而有所差异。不过，一般的合规流程大致可以按照以下步骤进行：

获得ISO 27001认证

首先，云服务提供商应该获得ISO 27001认证。要符合这一标准，就需要设计、建立并维护一个有效的信息安全管理系统。一个符合ISO 27001标准的信息安全管理系统，是实现ISO 27017标准的坚实基础。

制定并实施符合ISO 27017标准的网络安全控制措施。

下一步是实施所有符合ISO 27002标准的信息安全控制措施，以及那些仅适用于ISO 27017框架的七项控制措施。在此过程中，应遵循的最佳实践包括：

• 评估与云计算相关的风险例如，企业必须采取措施来管理对数据的访问权限，以防止未经授权的人员分享或查看敏感数据。处理云数据泄露的风险需要专业的技术控制措施。
• 明确划分用户和客户的角色。信息安全政策应当明确，谁负责保护云中的数据和资产。
• 控制用户访问权限采用多因素认证、防火墙以及基于角色的访问管理机制，以确保敏感数据无法被访问。根据合理的业务需求，为每个用户提供有限的访问权限。此外，还需对管理操作实施额外的安全控制措施。
• 在云服务器上，对静态存储的数据进行加密处理。采用强大的加密技术以及安全的密钥管理手段来保护云存储服务器。在数据传输过程中对数据进行加密，同时明确记录与加密相关的工具及其使用政策。
• 使用安全的配置管理工具请持续监控所有的云基础设施和应用程序。仔细检查每台虚拟机的配置情况，以排除任何安全漏洞。
• 使用可靠的数据分离技术。CSP必须确保每个客户的虚拟环境与其他用户的环境完全隔离。
• 实施活动监控监控用户的活动和数据流动，以便及时发现并消除威胁。保留活动日志，以便于进行安全审计。利用云端的客户监控数据来改进安全措施。
• 制定云相关突发事件的应对计划。应制定事件应对计划，以保护和恢复云服务的正常运行。定期测试这些应对措施，同时与客户及其他相关方建立有效的沟通机制。
• 备份关键数据作为事件恢复流程的一部分，应备份用户数据。在出现安全警报时，需要测试数据备份的效果，以最大限度地提高云服务的可用性。
• 提供信息安全培训。ISO 27017要求企业必须向员工传授有关安全云计算实践的知识。

更新您的ISO 27001认证信息。

企业无法单独申请ISO 27017认证。相反，各组织必须重新申请ISO 27001认证。这项新的认证必须包含与ISO 27017相关的控制措施，这些控制措施必须包含在审核范围内。审核人员将评估云安全系统，确保其符合ISO 27017的标准要求。

实施持续的合规性管理

ISO 27001（以及27017）认证的有效期为三年。之后，企业必须通过新的审核流程来续领该认证。在此期间，各组织应继续遵守相关要求。定期实施监控和云安全审计。他们应该随着云环境或数据处理需求的变化而更新安全控制措施。

ISO 27017与ISO 27018之间的区别

ISO 27017并非与云计算相关的唯一一份ISO标准文件。在保护其云环境时，组织还可能遇到ISO 27018标准，这可能会导致混淆。不过，这两份标准在信息安全方面的作用却截然不同。

ISO 27018旨在保护个人可识别信息（PII）。在云环境中，PII指的是能够识别个人的数据。ISO 27018提出了一些方法来保护虚拟和物理网络中的PII，从而帮助企业遵守隐私和数据保护相关的法规。

ISO 27018适用于那些收集、存储或处理个人数据的云服务提供商，这些服务提供商需要担心如何遵守GDPR或HIPAA的相关规定。

ISO 27017是一种更为完善的规范。关于如何保障云环境安全的全面指南。建议采用以下控制措施来应对与云计算相关的各种问题，比如虚拟机的配置问题。企业在向云计算迁移时，应使用ISO 27017标准来更新其数据安全措施。而云服务提供商则可以利用这一标准来设计安全的云服务。

无论是来自内部还是外部的数字化威胁，ISO 27017和ISO 27018都旨在保护云中的资产。如果您所在的组织提供云服务，或者选择使用云服务提供商来托管数据，那么遵守ISO 27017标准无疑是一个明智的选择。请仔细考虑您的选项，并利用这一国际领先的标准来加强您的云安全体系。

免责声明：本文仅供信息参考之用，并非法律建议。使用时请自行承担风险，如有法律问题，建议咨询有资质的专业人士。本文中的内容可能并不适用于您所在的司法管辖区，且可能会随时发生变化。