1、背景介紹

在當(dāng)今互聯(lián)網(wǎng)時(shí)代潮流中，組織為提升響應(yīng)速度、降低運(yùn)營(yíng)成本、保持創(chuàng)新、高效的組織文化，推動(dòng)了云服務(wù)的廣泛應(yīng)用。隨著云服務(wù)需求的日益增加，對(duì)于云服務(wù)的規(guī)范管理需求進(jìn)一步增強(qiáng)。云服務(wù)有助于組織應(yīng)對(duì)斷電、斷網(wǎng)、物理設(shè)備損壞、自然災(zāi)害等對(duì)于數(shù)據(jù)、設(shè)備、組織正常運(yùn)營(yíng)的威脅。但是云服務(wù)客戶的重要數(shù)據(jù)、重要信息處于云服務(wù)供應(yīng)商環(huán)境下的風(fēng)險(xiǎn)仍然大量存在，云服務(wù)供需雙方在服務(wù)中的各自職責(zé)仍然不明確，組織對(duì)采用云服務(wù)的信任度不高。沒有得到社會(huì)廣泛認(rèn)可的統(tǒng)一判定標(biāo)準(zhǔn)是造成這些問題的主要原因。

ISO 27001系列標(biāo)準(zhǔn)可以幫助客戶解決其中一些擔(dān)憂，然而新標(biāo)準(zhǔn)——ISO/IEC 27017《信息技術(shù) -- 安全技術(shù) -- 基于ISO/IEC 27002的云服務(wù)信息安全控制的實(shí)用規(guī)則》， 則能夠更進(jìn)一步解決問題， 使?jié)撛谠瓶蛻舾影踩判牡厥褂谩?

ISO/IEC 27017標(biāo)準(zhǔn)與ISO/IEC 27001系列標(biāo)準(zhǔn)配合使用，為云服務(wù)提供商和云服務(wù)客戶提供加強(qiáng)控制。

2、標(biāo)準(zhǔn)簡(jiǎn)介

ISO/IEC 27017是保護(hù)云服務(wù)安全的國(guó)際標(biāo)準(zhǔn)，于2015年12月15日正式發(fā)布，該標(biāo)準(zhǔn)是專門針對(duì)云計(jì)算服務(wù)的信息安全控制措施實(shí)用標(biāo)準(zhǔn)，為云服務(wù)行業(yè)提供了基于ISO/IEC 27002的指南，與ISO/IEC 27001標(biāo)準(zhǔn)配合使用，將有效加強(qiáng)對(duì)云服務(wù)提供商及云服務(wù)客戶的管理能力。

ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云端的指導(dǎo)方針，而且還介紹了7個(gè)全新云控制以解決以下問題：

1)   負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰(shuí)；

2)   當(dāng)合同終止時(shí)，資產(chǎn)的移除/歸還；

3)   客戶虛擬環(huán)境的保護(hù)和分離；

4)   虛擬機(jī)配置；

5)   與云環(huán)境相關(guān)的管理操作和程序；

6)   云客戶監(jiān)控云中活動(dòng)；

7)   虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接。

3、實(shí)施意義

?  提升客戶信任度：讓您的客戶對(duì)您實(shí)施的保護(hù)措施及其數(shù)據(jù)安全性消除疑慮。

?  提升競(jìng)爭(zhēng)力：展示您的企業(yè)在保護(hù)數(shù)據(jù)方面所達(dá)到的專業(yè)水平。

?  提升合規(guī)性降低風(fēng)險(xiǎn)：降低違規(guī)泄露數(shù)據(jù)的可能性，確保遵守相應(yīng)法規(guī)。

?  促進(jìn)發(fā)展：為企業(yè)開展多地區(qū)業(yè)務(wù)和贏得首選供應(yīng)商機(jī)會(huì)提供強(qiáng)有力的佐證。

?  自我證明：表明企業(yè)在信息系統(tǒng)安全、數(shù)據(jù)中心安全、信息安全管理等方面擁有業(yè)內(nèi)一流的云安全服務(wù)能力。

4、認(rèn)證依據(jù)

ISO/IEC 27017:2015

5、適用范圍

本標(biāo)準(zhǔn)適用于為企業(yè)提供云服務(wù)（SaaS、IaaS、SaaS）的云服務(wù)供應(yīng)商及采用云服務(wù)的云客戶。