ISO 27001 信息安全管理體系—要求
ISO 27002 信息技術—安全技術—信息安全管理實踐規范
ISO 27017 針對云服務的信息安全控制提供了實施指導。
ISO 27018 是首個專注于云中個人數據保護的國際行為準則。
ISO 27017和ISO 27018都是基于ISO 27002標準,并針對適用于公有云個人可識別信息(PII)的ISO27002控制體系提供了實施指南。
兩個標準都是基于ISO 27001延伸。
ISO 27017 提出比較多的改變安全控制。
ISO 27018 則是提出比較多新增安全控制。
什么是 ISO 27017?
ISO 27017是基于ISO 27002延伸的標準。 主要目的在于提供云端服務廠商一個云端建置與維運的安全規范。
ISO 27017與ISO27002主要的差異在于:ISO27017額外規范云端安全的建置與維護。
ISO 27017于2015-12-15官方正式公布。
ISO 27017認證的方式有可能會與ISO 27001認證審核一并進行。
ISO 27001/ISO 27002與ISO 27017 標準的差異部分:
ISO 27001/ISO 27002 標準 ISO 27017 標準額外增加的差異 A5 信息安全方針 中 A6 信息安全組織 中 A7 人力資源安全 中低 A8 資產管理 中低 A9 訪問控制 高 A10 密碼學 中 A11 物理和環境安全 中低 A12 操作安全 中高 A13 通信安全 中高 A14 信息系統獲取、開發和維護 中 A15 供應商關系 中高 A16 信息安全事件管理 中 A17 信息安全方面業務連續性管理 低 A18 符合性 中高
什么是 ISO 27018?
ISO 27018更著重于個人隱私數據保護,基于ISO 27002的基礎上,延伸定義新增個人資料的隱私保護。
ISO 27018于2014-8-1正式公布。
ISO 27001/ISO 27002與ISO 27018 標準的差異部分:
ISO 27001/ISO 27002 標準 ISO 27018 標準額外增加的差異 A5 信息安全方針 中 A6 信息安全組織 低 A7 人力資源安全 低 A8 資產管理 低 A9 訪問控制 低 A10 密碼學 低 A11 物理和環境安全 低 A12 操作安全 高 A13 通信安全 低 A14 信息系統獲取、開發和維護 低 A15 供應商關系 低 A16 信息安全事件管理 中 A17 信息安全方面業務連續性管理 低 A18 符合性 中
ISO 27001 or ISO 27018 or ISO 27017?
ISO 27001因為是最基礎的規范,所以在進行 ISO 27018 or ISO 27017之前,必須先經過基本的ISO 27001認證。
基于ISO 27001 認證基礎下,可以思考額外包含:
ISO 27018 : 如果公司預計提供云端服務,相關云端維運的安全控制措施
ISO 27017: 云端對于個人隱私數據的產生、儲存、管理、通知、消除、加密、傳輸等處理。
從市場營銷的觀點來看,ISO 27001是可以獲得一個認證,因此容易得到客戶的認可。
從信息安全來看,ISO 27018 or ISO 27017 更偏重于信息安全管制措施。
共有條評論 網友評論