云计算服务的信息安全控制白皮书.PDFVIP

ISO/IEC27017

—ISO/IEC27001的延伸

云计算服务的信息安全控制

白皮书

安全是云客户担忧的一大问题，尽管云有着出色的灵活性和可拓展性，但安全

问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云客户主

要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视客户数据。

安全问题主要在于担心数据最终可能会落入不法忧，然而新标准——ISO/IEC27017信息技术—安

之徒手中，以及客户就那些粗心大意造成问题的全技术，则能够更进一步解决问题，使潜在云客

运营商会采取什么样的控制措施。当然还存在这户更加安全放心地使用。详尽说明云供应商控制

其它的担忧，例如：客户身份、虚拟服务器中及指导原则的传统云标准和技术标准均旨在云服

的资产隔离、以及在云服务供应商出现停业的况务供应商。而ISO/IEC27017标准独特和极具益

处的优势在于，它为和云服务客户均提供了指

CSP

下，资产会发生什么情况等，这些都是潜在云用

导原则和建议。除了确保服务安全之外，ISO/IEC

户关注的问题。

27017还旨在让客户真正明白他们应当从其云主机

ISO27001系列标准可以帮助客户解决其中一些担获得什么。

该标准提供了中的项控制指导及未涉及的个新控制方面。

ISO/IEC2700237ISO/IEC270027

•CLD.6.3.1：客户和供应商之间就共同或单独责•CLD.12.4.5：供应商的能力将如何支持客户有

任达成协议，以清晰定义、记录和沟通与云服务效监控云计算环境中的活动。

相关的信息安全角色。

•CLD.13.1.4：应进行一致性配置，从而使虚拟

：明确当客户和供应商之间的合同协网络环境符合物理网络的信息安全政策。

•CLD.8.1.5/

议终止时，应如何将资产从云端退回或转移。

•CLD.9.5.1：供应商必须保护客户的虚拟环境并

将其与其他客户和外部各方的环境分离。

•CLD.9.5.2：客户和供应商必须确保对虚拟机进

行配置和增强，以满足组织的需求。

•CLD.12.1.5：客户有责任定义、记录和监控

与云环境相关的管理运营和程序，在客户需要

时，要共享关于重要运营和程序的文档。

CSP

角色与责任

角色、涉及问题（如数据所有

“云服务使用过程中，云服务供应商系统所创建或修改的数

权、访问控制和基础设施维护

据和文件可能对于确保服务运营、恢复和连续性至关重要。

等）责任定义及责任分配的模

资产所有权以及对于这些资产相关的操作（例如，备份和恢

糊不清，可能引起业务或法律

复操作）承担责任的各方应当被定义和记录。否则，将会存

纠纷；尤其在涉及第三方的情

在云服务供应商假设云服务客户执行了这些重要任务（反之

况下。正如该标准所规定：

亦然）的风险，并且可能发生数据丢失。”

本质上来说，该标准要求从一开始就清晰定义各方职责。