ISO 27017 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) 已正式由ISO組織在2015年12月15日公布。
ISO 27017基本上是採用ISO 27002的控制措施,不過針對雲端安全的部份,它也要求強化了對於雲端服務相關人員的職責區隔、虛擬環境的隔離、虛擬主機的強化和虛擬網路的管理,以及系統管理者的操作安全和雲端服務的監控機制等。
基本上,ISO 27017不是一個獨立可驗證的標準,而是必須以ISO 27001做為基礎,再經由第三方驗證來證明組織同樣也遵循了ISO 27017的要求。
目前,已率先取得ISO 27017證書的是Amazon,包括其位於世界各地的資料中心和所提供的30多項雲端服務,都在驗證評估的範圍內,可說是業界的榜樣了。
2015年12月18日 星期五
2015年3月31日 星期二
[專欄] 讓雲端服務安全維護透明化 - 建立隱私等級協議 強化用戶信心與資料安全
隨著雲端服務已廣泛地受到個人和企業所使用,隱私維護與個人資料保護,更是用戶和雲端服務供應商,雙方都必須要重視的課題。對服務供應商來說,透過自我的安全評估並展現保護個人資料的決心,將有助於提升用戶的信心,也能強化市場的競爭力。
目前,許多人對於雲端服務仍裹足不前的原因,有很大的一部份是來自於信任的問題,一旦個人或企業將自己擁有的資料上傳至雲端服務之後,就會擔心資料內容是否可能會被竊取或外洩,進而造成企業重大的損失。尤其是如果資料內容包含了個人資料的話,萬一遭到不當的揭露與使用,更可能會違反法令法規的要求,除了會造成企業的聲譽受損,很可能還要面對法律的懲處與求償。
目前,許多人對於雲端服務仍裹足不前的原因,有很大的一部份是來自於信任的問題,一旦個人或企業將自己擁有的資料上傳至雲端服務之後,就會擔心資料內容是否可能會被竊取或外洩,進而造成企業重大的損失。尤其是如果資料內容包含了個人資料的話,萬一遭到不當的揭露與使用,更可能會違反法令法規的要求,除了會造成企業的聲譽受損,很可能還要面對法律的懲處與求償。
訂閱:
文章 (Atom)