ISO27001&ISO27002&ISO27017&ISO27018之間的關(guān)系與區(qū)別

2019/3/8 15:21:56 次

　　ISO 27001 信息安全管理體系—要求

　　ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范

　　ISO 27017 針對云服務(wù)的信息安全控制提供了實施指導(dǎo)。

　　ISO 27018 是首個專注于云中個人數(shù)據(jù)保護的國際行為準(zhǔn)則。

　　ISO 27017和ISO 27018都是基于ISO 27002標(biāo)準(zhǔn)，并針對適用于公有云個人可識別信息(PII)的ISO27002控制體系提供了實施指南。

　　兩個標(biāo)準(zhǔn)都是基于ISO 27001延伸。

　　ISO 27017 提出比較多的改變安全控制。

　　ISO 27018 則是提出比較多新增安全控制。

　　什么是 ISO 27017?

　　ISO 27017是基于ISO 27002延伸的標(biāo)準(zhǔn)。主要目的在于提供云端服務(wù)廠商一個云端建置與維運的安全規(guī)范。

　　ISO 27017與ISO27002主要的差異在于：ISO27017額外規(guī)范云端安全的建置與維護。

　　ISO 27017于2015-12-15官方正式公布。

　　ISO 27017認證的方式有可能會與ISO 27001認證審核一并進行。

　　ISO 27001/ISO 27002與ISO 27017 標(biāo)準(zhǔn)的差異部分：

　　ISO 27001/ISO 27002 標(biāo)準(zhǔn) ISO 27017 標(biāo)準(zhǔn)額外增加的差異 A5 信息安全方針中 A6 信息安全組織中 A7 人力資源安全中低 A8 資產(chǎn)管理中低 A9 訪問控制高 A10 密碼學(xué) 中 A11 物理和環(huán)境安全中低 A12 操作安全中高 A13 通信安全中高 A14 信息系統(tǒng)獲取、開發(fā)和維護中 A15 供應(yīng)商關(guān)系中高 A16 信息安全事件管理中 A17 信息安全方面業(yè)務(wù)連續(xù)性管理低 A18 符合性中高

　　什么是 ISO 27018?

　　ISO 27018更著重于個人隱私數(shù)據(jù)保護，基于ISO 27002的基礎(chǔ)上，延伸定義新增個人資料的隱私保護。

　　ISO 27018于2014-8-1正式公布。

　　ISO 27001/ISO 27002與ISO 27018 標(biāo)準(zhǔn)的差異部分：

　　ISO 27001/ISO 27002 標(biāo)準(zhǔn) ISO 27018 標(biāo)準(zhǔn)額外增加的差異 A5 信息安全方針中 A6 信息安全組織低 A7 人力資源安全低 A8 資產(chǎn)管理低 A9 訪問控制低 A10 密碼學(xué) 低 A11 物理和環(huán)境安全低 A12 操作安全高 A13 通信安全低 A14 信息系統(tǒng)獲取、開發(fā)和維護低 A15 供應(yīng)商關(guān)系低 A16 信息安全事件管理中 A17 信息安全方面業(yè)務(wù)連續(xù)性管理低 A18 符合性中

　　ISO 27001 or ISO 27018 or ISO 27017?

　　ISO 27001因為是最基礎(chǔ)的規(guī)范，所以在進行 ISO 27018 or ISO 27017之前，必須先經(jīng)過基本的ISO 27001認證。

　　基于ISO 27001 認證基礎(chǔ)下，可以思考額外包含：

　　ISO 27018 : 如果公司預(yù)計提供云端服務(wù)，相關(guān)云端維運的安全控制措施

　　ISO 27017: 云端對于個人隱私數(shù)據(jù)的產(chǎn)生、儲存、管理、通知、消除、加密、傳輸?shù)忍幚怼?/p>

　　從市場營銷的觀點來看，ISO 27001是可以獲得一個認證，因此容易得到客戶的認可。

　　從信息安全來看，ISO 27018 or ISO 27017 更偏重于信息安全管制措施。