ISO/IEC 27017-2015《公有云服務(wù)管理體系認(rèn)證》

　　云計(jì)算的使用改變了組織評(píng)估和降低信息安全風(fēng)險(xiǎn)的方式，因?yàn)橛?jì)算資源在技術(shù)設(shè)計(jì)、操作和管理方面發(fā)生了重大變化。ISO/IEC 27017-2015《公有云服務(wù)管理體系認(rèn)證》國(guó)際標(biāo)準(zhǔn)基于ISO/IEC27002提供了額外的云特定實(shí)施指南，并提供了額外的控制措施來(lái)解決云特定的信息安全威脅和風(fēng)險(xiǎn)考慮。

　　ISO/IEC 27017-2015《公有云服務(wù)管理體系認(rèn)證》標(biāo)準(zhǔn)的用戶應(yīng)參考ISO/IEC27002中的第5至18條，了解控制目標(biāo)、實(shí)施指南和其他信息。由于ISO/IEC27002的普遍適用性，許多控制目標(biāo)、實(shí)施指南和其他信息適用于組織的一般和云計(jì)算環(huán)境。此外，云服務(wù)客戶可以從同一控制中獲得云環(huán)境中職責(zé)分離的要求，例如，將云服務(wù)客戶的云服務(wù)管理員和云服務(wù)用戶分離。

　　ISO/IEC 27017-2015《公有云服務(wù)管理體系認(rèn)證》標(biāo)準(zhǔn)提供了支持云服務(wù)客戶和云服務(wù)提供商實(shí)施信息安全控制的指南。其中一些準(zhǔn)則適用于實(shí)施這些控制措施的云服務(wù)客戶，其他準(zhǔn)則適用于支持這些控制措施實(shí)施的云服務(wù)提供商。適當(dāng)信息安全控制的選擇和所提供實(shí)施指南的應(yīng)用將取決于風(fēng)險(xiǎn)評(píng)估和任何法律、合同、監(jiān)管或其他特定于云部門的信息安全要求。

　　ISO/IEC 27017-2015《公有云服務(wù)管理體系認(rèn)證》標(biāo)準(zhǔn)通過(guò)提供以下內(nèi)容，提供了適用于提供和使用云服務(wù)的信息安全控制準(zhǔn)則：

　　— ISO/IEC27002中規(guī)定的相關(guān)控制的附加實(shí)施指南;

　　— 帶有具體與云服務(wù)相關(guān)的實(shí)施指南的附加控制。