ISO27017和CSA STAR兩種云安全標準的比較
發布時間:2020-06-19 作者:廣匯聯合 來源:廣匯聯合
ISO27017和CSA STAR兩種云安全標準的比較:
一、CSA STAR
CSA云安全聯盟,安全信任和保證注冊表( CSA STAR )是一個“計劃”,包含三個級別的保證(自我評估,第三方認證和持續審核),專門針對支持和評估云服務提供商( CSP)。 CSA STAR計劃基于以下準則:
一、CSA STAR
CSA云安全聯盟,安全信任和保證注冊表( CSA STAR )是一個“計劃”,包含三個級別的保證(自我評估,第三方認證和持續審核),專門針對支持和評估云服務提供商( CSP)。 CSA STAR計劃基于以下準則:
CSA云控制矩陣(CCM)是特定于云的安全控制的“元框架”,映射到ISO 27001,PCI / DSS,HIPAA,COBIT和其他標準。 旨在提供“事實上的云安全保證和合規性標準”,該標準可以指導CSP優化其安全狀況,并幫助公司評估CSP的安全狀況。
共識評估計劃問卷 ,一組是/否問題,準客戶或審計師可以要求云提供商評估其與云控制矩陣的一致性。
CSA符合GDPR的行為準則 ,該工具可幫助CSP 遵守GDPR 。
利用這些資源,CSP可以基于包含CCM和ISO 27001要求的嚴格的第三方評估,對自身的安全控制進行自我評估和公開記錄,和/或獲得CSA STAR認證。 CSP不斷發布有關其安全實踐的數據的一種選擇是“開發中”。
二、ISO 27017
ISO 27017是基于云服務的ISO/IEC 27002的信息安全控制規范描述性命名。 該框架以ISO 27001中定義的控件為基礎,并在ISO 27002中進行了更詳細的描述,它添加了附加的控件和實施指南,專門用于幫助企業安全地設置和使用云服務來保護在云中存儲和/或處理的信息。
ISO 27017是基于云服務的ISO/IEC 27002的信息安全控制規范描述性命名。 該框架以ISO 27001中定義的控件為基礎,并在ISO 27002中進行了更詳細的描述,它添加了附加的控件和實施指南,專門用于幫助企業安全地設置和使用云服務來保護在云中存儲和/或處理的信息。
ISO 27001中添加了最特定于云的指南的部分包括:
9.訪問控制
12.運營安全
13.通訊安全
15.供應商關系
18.合規
ISO 27017滿足了整個行業的需求,解決了CSP及其客戶圍繞云安全性的各自角色和職責。 它闡明了誰負責什么控制,如何在合同終止,分離和保護客戶的云環境時安全地刪除/返回信息資產,監視客戶在云中的活動等。
ISO 27017不僅比CSA STAR更能為CSP和云用戶提供指導。 云用戶可以使用它在其信息安全管理系統(ISMS)中開發特定于云的控件,而CSP可以將其用作實現安全控件的指南。
ISO 27017本身不是管理標準,而是“實踐準則”。但是,在更廣泛的ISO 27001認證審核的背景下,認證機構可以發布等同于ISO 27017的“符合性聲明”。 換句話說,要獲得ISO 27017“認證”,公司(包括CSP)需要同時或最初獲得ISO 27001認證 。
三、哪種標準適合您的情況?
ISO 27017為將數據移動到云和/或在云中共享數據(包括CSP)的企業提供了價值。 CSA STAR更加全面,并且針對CSP。
云消費者將在27017中找到更大的價值。CSP將在27017和CSA STAR中找到價值,如果這是長期目標,則ISO 27017是通往CSA STAR的良好過渡點。 由于27017和CSA STAR在很大程度上覆蓋了相同的領域,因此您無需花費更多的精力和成本即可實現這兩個目標。
符合這兩個標準的證明將幫助企業建立與客戶和其他利益相關者的信任,展示競爭優勢,保護其品牌/聲譽,遵守GDPR或當地法規,并且最重要的是-保護他們的數據負責保護。