將安全控制措施擴展至雲端,服務供應商與用戶皆可信任
導入ISO/IEC 27017標準 給雲端服務國際級安全性
依據2016年11月由雲端安全聯盟和EY China所聯合發表的研究報告指出,目前最大的雲端威脅,來自於管理階層缺少雲端安全管理的領導力,其主要原因是管理階層對於雲端安全的規範缺少了解和重視。
關於雲端服務的資安管理,除了可參考廣泛適用的ISO/IEC 27001標準之外,在國際標準方面,ISO/IEC 27017提供了ISO 27002與雲端相關的控制措施實施指引,更提供了針對雲端服務的額外安全控制措施。
ISO 27017標準適用於所有類型和規模大小的組織,無論是自建的雲端服務或是透過購買所獲得的雲端服務,以及雲端服務提供商本身,皆可以透過此一標準的指引,強化所提供或者是所使用的雲端服務的安全。
導入ISO/IEC 27017所帶來的優勢
增加客戶對服務的信任度:對客戶和利害關係人提供更多的保障,特別是針對資料的保護,雲端服務客戶可以要求雲端服務提供商提供安全功能及其說明,以確認是否符合使用者的安全需求與期望。
強化市場的競爭力:雲端服務提供商可針對雲端服務的資料安全,展現強而有力的控制措施。
保護品牌和商譽:降低可能因為使用雲端服務發生資料外洩事件,導致對於組織商譽的傷害和品牌的影響。
強化組織安全和減少風險:藉由使用雲端服務提供商所提供的安全功能,雲端服務客戶可以間接強化其系統或服務的安全性,並且確保所識別出來的風險,已經受到適當地管理,降低可能影響組織營運的衝擊。
擴展業務的商機:雲端服務並沒有疆域的限制,在全球的市場,雲端服務提供商都可藉此展現標準化的資安管控機制,以滿足不同國家的雲端服務客戶需求。
雲端服務專屬的控制措施
ISO/IEC 27017標準除了引用37個來自於ISO/IEC 27002的控制措施,並且還額外提供了7個專門針對雲端服務的安全控制措施,以下是這些專屬控制措施的簡要說明。
CLD.6.3.1 在雲端運算環境內共享的角色和責任
CLD.8.1.5 雲端服務客戶資產的移除
CLD.9.5.1 虛擬運算環境的區隔
CLD.9.5.2 虛擬機器的強化
CLD.12.1.5 管理者的操作安全
CLD.12.4.5 雲端服務的監視
CLD.13.1.4 虛擬和實體網路安全管理的一致性
將安全控制措施延伸至雲端
事實上雲端服務許多的安全風險不是來自於雲端服務本身,而是對於服務的不了解而無法採取適當的管理作為。
在這種情況下,參考國際標準的管理要求就是最佳的實務做法,組織可以將現有的安全控管機制,逐步地延伸到雲端之上,讓雲端運算的技術和服務成為組織的助力,所以請試著往前走,從了解標準的內容開始,作為迎向雲端未來的第一步。
************************************
新文明擁有多位專業的管理顧問師協助公司行號順利建置ISO 27017系統及通過相關驗證,
詳情請洽
新文明管理顧問公司
歡迎致電~03-5502790/5502710
************************************
資料來源:NetAdmin網管人技術專欄
