ISO27017

ISO/IEC 27017简称*云服务信息安全认证“。

ISO/IEC 27017是有关《信息技术-安全技术-基于ISO/IEC 27002的云服务信息安全控制的实施规程》的国际标准。该标准提供了适用于提供和使用云服务的信息安全控制指南，包括如下方面：

①ISO/IEC 27002标准中有关控制的附加实施指南。

②带有具体涉及云服务实施指南的附加控制。

ISO/IEC 27017的适用性

ISO 27017认证适用于云服务提供商和云服务客户。

ISO 27017与ISO 27001系列标准之间的关系

ISO 27017是基于ISO 27001的增强版本， 旨在为云服务提供商和云服务客户提供增强的控制能力， 从而有助于让云服务与传统信息系 样安全可靠。

ISO/IEC 27017标准明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。

ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云服务的指导方针， 而且还介绍了7个全新的云服务控制措施，以解决以下问题：

①负责云服务提供商和云客户之间关系的人是谁

②当合同终止时，资产的移除/归还

③客户虚拟环境的保护和分离

④虚拟机配置

⑤与云环境相关的管理操作和程序

⑥云客户监控云中活动

⑦虚拟和云网络环境的对接

ISO 27017和ISO 27018都是基于ISO 27002标准， 并针对适用于公有云个人可识别信息(PI) 的ISO 27002控制体系提供了实施指南。两个标准都是基于ISO 27001延伸。

ISO 27017提出比较多的改变安全控制。

ISO 27018则是提出比较多新增安全控制。

ISO 27001因为是基础的规范， 所以在进行ISO27017orISO 27018之前， 必须先经过基本的ISO 27001认证。

基于ISO 27001认证基础下， 可增加的认证包括：

ISO 27018：云端对于个人隐私数据的产生、储存、管理、通知、消除、加密、传输等处理；

ISO 27017：如果公司预计提供云服务， 相关云端维运的安全控制措施；

ISO 27040：网络空间安全， 针对提供互联网服务的企业；

ISO 27032：规划、设计、记录和实施数据存储安全性， 为组织如何定义适当的风险缓解水平提供详细的技术指导， 是管理数据存储安全的 *高执行性标准之一。其存储安全性适用于存储信息的保护(安全性)以及通过与存储相关的通信链路传输的信息安全。

从客户服务来看， ISO 27001是业内 *基础的信息安全认证， 容易得到大众客户的认可。

从信息安全来看， ISO 27017/ISO 27018/ISO 27040/ISO 27032更侧重于细分领域的安全管控措施。