摘要:云计算技术彻底改变了组织管理和存储信息的方式。信息安全管理系统不是指实施信息安全功能的实际系统,应用或工具。该标准被称为,可以根据标准与有效的信息安全管理系统一起实现。鉴于云计算技术自成立以来一直受到安全和隐私问题的困扰,这一点更为重要。
云计算技术彻底改变了组织管理和存储信息的方式。组织曾经拥有和维护自己的数据,由于云计算的易用性以及节约成本的优势,许多组织现在已经转向基于云计算的模式。
但是拥有很多优势的云计算技术并不是没有成本。在云计算领域,有着最为引人关注的因素:那就是安全。
如果人们搜索组织在应用云计算所面临的陷阱和关注问题时,就会发现安全这个主题将会反复出现。一个希望将使用云服务的公司必须权衡云环境提供的好处,以避免与委托其敏感数据相关的组织所带来的风险。这些数据往往包括个人身份信息(以下称为PII),这通常是经常受到审查的数据类别,并受到一些最严格的法律和法规要求的约束。
云计算服务提供商的客户希望确保安全,他们委托一家云计算服务提供商将其个人身份信息(PII)保持至少与他们控制的数据相同的安全标准水平。对于一些组织来说,风险甚至更高,因为这是由某些法律和法规要求规定的,例如电子个人健康信息的“健康保险便携性和责任法案”(HIPAA)以及敏感财务的金融服务现代化法案(GLBA(GLBA)信息。
许多云服务提供商认为他们对客户的数据一无所知。然而,如果涉及个人健康信息或敏感财务数据的安全漏洞,云服务提供商可能会在适当的安全和隐私措施不到位的情况下遭遇到高额罚款和声誉损失。而一个有效的信息安全管理系统具有针对云安全和针对个人身份信息(PII)的隐私的特定控制考虑,这对云服务提供商来说是无价的。
人们可能对信息安全管理系统有什么疑问。要定义一个信息安全管理系统,首先了解一下它不是什么。信息安全管理系统不是指实施信息安全功能的实际“系统”,“应用”或“工具”。
更广泛的定义如下:信息安全管理系统代表组织解决信息安全问题的整体方法。这包括高层管理人员为了解决这些风险而采取的行动,可以通过执行以下操作来证明其行为:
?采用自上而下的信息安全方法,鼓励组织内的人员了解信息安全最佳实践
?根据其组织的独特威胁和漏洞进行风险评估
?通过使用和选择内部审计师,主动寻找问题和关注点
?监测和测量信息安全管理系统的性能和有效性
?建立持续改进信息安全管理体系的承诺
?确保实施安全控制并适用于其组织的目标和宗旨
最常用来展示组织有效实施信息安全管理体系的标准是ISO 27001标准。 ISO 27001标准是基本框架,几乎基于云计算或其他方面的所有服务提供商都可以努力实施。值得注意的是,ISO 27001为实施有效的信息安全管理体系的组织提供了许多好处,但有两个可能是最相关的,值得一提:
?有效的信息安全管理系统向潜在客户和当前客户表明服务组织意味着保护其所托付和负责的数据的业务。
?有效的信息安全管理系统帮助组织建立一种前瞻和主动的方法来解决信息安全问题,而不是通过一般侧重于历史信息的审计文化带来一种落后的观念。
上述要点可能足以使任何服务机构考虑实施信息安全管理系统。组织可以通过向客户展示认真处理信息来享受的声誉效益难以衡量。组织可以通过在发生安全事件的情况下实施有效的响应程序来节省成本也是无法估量的。当然,古老的格言仍然提醒人们:没有准备就是准备失败,这是ISO的本质。
但是,在ISO 27001标准下,这一点并没有停止,特别是对于交易必须更加重视信息安全的云服务提供商而言。除了符合ISO 27001标准的要求之外,组织还可以实施一系列措施,在处理敏感数据(例如个人身份信息)时增加安全和隐私措施。该标准被称为ISO 27018,可以根据ISO 27001标准与有效的信息安全管理系统一起实现。
ISO 27018,另外被称为ISO / IEC 27018:2014,是建立在一个组织的信息安全管理系统的基础上,通过建立一组专门用于保护PII在公共云中作为PII处理器的基于隐私的控制,重点是保护云中的个人身份信息(PII)。 ISO 27018提供了专门用于保护个人敏感数据的新的控件子集。
以下列出了对某些ISO 27018要求的高级概述:
?为云计算客户提供访问,纠正和清除自己的个人身份信息(PII)的能力
?确保数据根据其预期目的进行处理
?删除临时文件的步骤
?实施定义的披露程序
?如果使用分包商,提供公开透明的通知
?通过执行违规通知程序,鼓励云服务提供商问责
?对云服务提供商的更加严格的信息安全要求
希望在考虑上述概述之后,更清楚的是,实施符合ISO 27001标准的信息安全系统对于服务机构来说是非常重要的,但云计算服务提供商希望能够解决其客户的任何安全隐私问题,将这些控制采用ISO 27018标准可能是组织的最佳选择。
随着技术的发展,其潜在的威胁和漏洞也随之演化。有效的信息安全管理系统为组织提供了一种主动,前瞻性的信息安全方法。鉴于云计算技术自成立以来一直受到安全和隐私问题的困扰,这一点更为重要。因为风险只会继续增加。
云服务提供商现在可能需要考虑如何使其组织从实施信息安全管理系统中获益,该系统将其27001控制与ISO 27018目标相一致。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/5005.html
摘要:日前,云平台成功获得由国际知名认证机构颁发的,云安全管理体系与公有云个人信息保护管理体系证书。认证是首个云上个人数据保护的国际标准,用以保护公共云中的个人身份信息不受侵犯,主要针对云服务商对云中个人数据和隐私的安全防护的标准认证。日前,UCloud云平台成功获得由国际知名认证机构BSI颁发的,ISO 27017云安全管理体系与ISO 27018公有云个人信息保护管理体系证书。这标志着UClo...
摘要:云上安全不容忽视,华为云技术硬实力织成保护网在云计算时代,最值钱的莫过于数据。今年,以对云安全的高强度投入让华为云收获到十余项权威安全合规认证。 云上安全不容忽视,华为云技术硬实力织成保护网 在云计算时代,最值钱的莫过于数据。作为企业的核心资产,各行业对于云上数据信息安全都保持着高度重视。把数据放到云上是否足够安全,已经成为各个企业在上云时考虑最多的问题。近日,工业和信息化部网络安全管...
摘要:多云是云计算客户无需在单个云平台开展业务的一种方法,而是选择多个云平台来优化工作负载和业务成果。定制云服务供应商在企业多云策略中的优势优化工作负载。Big-box是一家品牌折扣购物店,顾客在店里有很多的选择,可以获得物美价廉的商品。但是,当这些顾客需要参加会议而采购高档服装时,他们不会去这里购物。在试图提供所有功能的超大型公共云提供商和专门为特定工作负载量身定制其云环境的云服务供应商(CSP...
摘要:近期,欧洲等综合性标准也完善了数据中心领域的认证。欧洲地区更多地采用或德国或是德国技术认证的通用名称,其中包括数据中心认证。用户需要更好地了解他们可以用来评估其数据中心选择的标准。当企业计划构建自己的数据中心或采用托管数据中心服务时,行业标准就是一切。如果没有量化数据中心在基础设施、冷却、电源、安全性和可靠性方面的表现,企业可能难以做出明智的决定。那么随着各种标准的不断推广和普及,企业如何理...
摘要:当企业计划构建自己的数据中心或采用托管数据中心服务时行业标准就是一切。近期欧洲等综合性标准也完善了数据中心领域的认证。欧洲地区更多地采用或德国或是德国技术认证的通用名称其中包括数据中心认证。总结说数据中心标准格局的未来充满活力。当企业计划构建自己的数据中心或采用托管数据中心服务时,行业标准就是一切。如果没有量化数据中心在基础设施、冷却、电源、安全性和可靠性方面的表现,企业可能难以做出明智的决...
阅读 892·2021-11-16 11:45
阅读 2935·2021-10-13 09:40
阅读 598·2019-08-26 13:45
阅读 1025·2019-08-26 13:32
阅读 2045·2019-08-26 13:23
阅读 781·2019-08-26 12:16
阅读 2704·2019-08-26 11:37
阅读 1639·2019-08-26 10:32
