扫码微信咨询
ISO27002与ISO27017认证有什么值得注意的区别
2020-07-09
1003
ISO27017认证作为一个新的体系,与ISO27002有着千丝万缕的联系和区别,今天小编主要从安全控制和密码保护两个方面分析一下这两个体系的区别。
ISO27001认证之于ISO27002认证:
该标准不仅只是划分责任,还具有下列优势: ISO27017更详细地定义了供应商应当实施安全控制的类型,这有助于减少云技术采用的障碍。
ISO27017为云服务供应商提供了一种方法以表明已实施控制的级别。这意味着有记录的证据一由独立来源(例如,针对某些标准的认证)支持一可证明已实施适当的政策, 最重要的是,已引入哪些类型的控制。在合同签署前,应当与云客户共享此信息,以规避未来可能出现的任何潜在问题。在无法进行独立审核或者可能对信息安全构成更大风险的情况下,这-标准为CSP提供 了选项以进行自评估。如果出现这种情况,CSP须告知客户已进行自评估。
该标准还包含针对所采用密码保护的指导原则,适用于客户和供应商,因双方在此方面均承担责任。供应商应当告知客户如何使用密码保护,并帮助客户应用自身的那些保护措施。与此同时还应当虑到特殊情况,例如健康数据,因其可能涉及其他一些监管指导原则。
客户也应当坦诚告知其所使用的密码保护类型一如果风险分析表明有必要, 他们应当采用密码保护。实际上,正因为存在争议或误解,才更需要标准。双方不仅应当彼此确保网络被有效保护,还应当能够确保两个系统之间的兼容性。重要的是,应当确定这些控制是适用于存储的数据、传输的数据,或两者均用,因此处以往常常被误解。