前言
特别声明:本翻译稿PDF版暂不提供下载途径,请勿留言索取。
ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门体系。作为ISO或IEC成员的国家机构通过各自组织设立的技术委员会参与国际标准的制定,以处理特定的技术活动领域。ISO和IEC技术委员会在共同感兴趣的领域进行合作。与国际标准化组织和国际电工委员会联络的其他政府和非政府国际组织也参与了这项工作。在信息技术领域,ISO和IEC成立了一个联合技术委员会,即ISO/IEC JTC1。
国际标准是根据ISO/IEC指令第2部分中给出的规则起草的。
联合技术委员会的主要任务是制定国际标准。联合技术委员会通过的国际标准草案分发给国家机构进行表决。作为国际标准出版需要至少75%的国家机构投票批准。
请注意,本文件的某些内容可能是专利权的主题。ISO和IEC不应对识别任何或所有此类专利权负责
ISO/IEC 27017由联合技术委员会ISO/IEC JTC 1信息技术小组委员会SC 27信息技术安全技术与ITU-T合作编制。相同的文本以ITU-T.X.1631(2015年7月)的形式发布。
ITU-T X-SER1ES建议
数据网络、开放系统通信与安全
|
公共数据网络 开放系统互连 网间互通 消息处理系统 目录 OSI网络和系统方面 OSI管理 安全 OSI应用程序 开放分布式处理 信息与网络安全 一般安全方面 网络安全 安全管理 远程生物识别 安全的应用程序和服务 多播安全性 家庭网络安全 移动安全性 网络安全性 安全协议 对等安全 网络ID安全 IPTV安全 网络空间安全 网络安全 反垃圾邮件 身份管理 安全的应用程序和服务 紧急通信 无处不在的传感器网络安全 PKI相关建议 网络安全信息交换 网络安全概述 漏洞/状态交换 日志/事件/启发式交换 交换策略 启发式和信息请求 识别和发现 有保证的交换 云计算安全 云计算安全概述 云计算安全设计 云计算服务最佳实践和指南 云计算安全实施 其他云计算安全 |
X.l- X.199 X.200- X.299 X.300- X.399 X.400- X.499 X.500- X.599 X.600- X.699 X.700- X.799 X.800- X.849 X.850- X.899 X.900- X.999 X.lOOO-X.l029 X.1030-X.1049 X.l050-X.l069 X.l080-X.l099 X.1100-X.1109 X.11lO-X.1119 X.1120-X.1139 X.1140-X.1149 X.1150-X.1159 X.1160-X.1169 X.1170-X.1179 X.1180-X.1199 X.l200-X.1229 X.1230-X.1249 X. 1250-X.1279 X.l300-X.1309 X.1310-X.1339 X.l340-X.1349 X.1500-X.1519 X.1520-X.1539 X.1540-X.1549 X.1550-X.1559 X.1560-X.1569 X.1570-X.1579 X.1580-X.1589 X.1600-X.1601 X.1602-X.1639 X.1640-X.1659 X.1660-X.1679 X.1680-X.1699 |
有关更多详细信息,请参阅ITU-T建议列表
信息技术.安全技术.基于ISO/IEC 27002的云服务信息安全控制实施规程
总结
建议ITU-T X.1631 │ISO/IEC 27017提供了适用于云服务提供和使用的信息安全控制指南,提供:
–ISO/IEC 27002中规定的相关控制的附加实施指南;
–具有具体与云服务相关的实施指南的附加控zhi
本建议|国际标准为云服务提供商和云服务客户提供控制和实施指南
历史
|
编辑 |
建议 |
批准 |
研究小组 |
唯一ID[1] |
|
1.0 |
ITU-T X.1631 |
2015-07-14 |
17 |
11.1002/1000/12490 |
前言
国际电信联盟是联合国在电信、信息和通信技术领域的专门机构。国际电信联盟(ITU)电信标准化部门(ITU-T)是国际电信联盟的一个常设机构。ITU-T负责研究技术、操作和资费问题,并发布有关建议,以期在全球范围内实现电信标准化。
世界电信标准化大会(WTSA)每四年举行一次会议,确定了ITU-T研究小组的研究主题,这些研究小组反过来就这些主题提出建议。WTSA决议1中规定的程序涵盖了对ITU-T建议的批准。
在ITU-T职权范围内的一些信息技术领域,必要的标准是在与ISO和IEC合作的基础上制定的。
注释
在本建议中,为了简洁起见,“管理(Administration)”一词用于表示电信管理机构和公认的运营机构。
遵守本建议是自愿的。然而,《建议书》可能包含某些强制性规定(例如,确保互操作性或适用性),当所有这些强制性规定都得到满足时,就可以遵守《建议书》。词语“应(shell)”或其他一些强制性语言,如“必须(must)”和否定的对等词用于表达要求。使用这些词语并不意味着任何一方都需要遵守《建议书》。
知识产权
ITU提请注意,本建议的实施或实施可能涉及使用特定知识产权。ITU对所主张的知识产权的证据、有效性或适用性不采取任何立场,无论是国际电联成员还是建议书制定过程之外的其他人所主张的。
截至本建议批准之日,国际电联尚未收到实施本建议可能需要的受专利保护的知识产权通知。然而,实施者应注意,这可能不代表最新信息,因此强烈建议咨询TSB专利数据库,网址为http://www.itu.int/ITU-T/ipr/.
©ITU 2015
保留所有权利。未经国际电联事先书面许可,不得以任何方式复制本出版物的任何部分。
简介
本建议|国际标准中包含的指南是对ISO/IEC 27002中给出的指南的补充。
具体而言,本建议|国际标准提供了支持云服务客户和云服务提供商实施信息安全控制的指南。一些指导方针适用于实施控制的云服务客户,另一些指导方针则适用于支持这些控制的实施的云服务提供商。适当的信息安全控制措施的选择和所提供的实施指南的应用将取决于风险评估和任何法律、合同、监管或其他特定于云行业的信息安全要求。
信息技术-安全技术-基于ISO/IEC 27002的云服务信息安全控制实施规程
1范围
本建议|国际标准提供了适用于云服务提供和使用的信息安全控制指南,包括:
–ISO/IEC 27002中规定的相关控制的附加实施指南;
–具有具体与云服务相关的实施指南的附加控制
本建议| 国际标准为云服务提供商和云服务客户提供了控制和实施指南。
2规范性引用文件
以下建议和国际标准包含的条款,通过在本文中引用,构成本建议|国际标准的条款。在出版时,所示版本是有效的。所有建议和标准都会进行修订,并鼓励根据本建议|国际标准达成协议的各方调查应用以下所列最新版建议和标准的可能性。国际电工委员会和国际标准化组织的成员保存着当前有效的国际标准的登记册。ITU-T保存了一份目前有效的国际电联-电信标准化建议清单。
2.1相同的建议 | 国际标准
–建议ITU-T Y.3500(生效)|ISO/IEC 17788:(生效),信息技术-云计算-概述和词汇。
–建议ITU-T Y.3502(生效)ISO/IEC 17789:(生效),信息技术-云计算-参考体系结构。
2.2其他参考文献
–ISO/IEC 27000:(生效),信息技术-安全技术-信息安全管理系统-概述和词汇。
–ISO/IEC 27002:2013,信息技术-安全技术-安全控制实施规范。
3定义和缩写
3.1其他地方定义的术语
就本建议|国际标准、ISO/IEC 27000中给出的术语和定义而言,参考ITU-T Y.3500 | ISO/IEC 17788,参考ITU-T Y.3502 | ISO/IEC 17789和以下定义适用:
3.1.1 ISO 19440中定义了以下术语:
–能力:能够执行给定活动的质量。
3.1.2 ISO/IEC 27040中定义了以下术语:
–数据泄露:安全漏洞,导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的受保护数据。
–安全多租户:一种多租户类型,它使用安全控制来明确防范数据泄露,并为正确的治理提供这些控制的验证
注1-当单个租户的风险状况不大于专用单租户环境中的风险状况时,存在安全的多租户。
注2-在非常安全的环境中,甚至租户的身份都是保密的
3.1.3以下术语在ISO/IEC 17203中定义:
–虚拟机:支持来宾软件执行的完整环境
注-虚拟机是虚拟硬件、虚拟磁盘及其相关元数据的完整封装。虚拟机允许通过称为系统管理程序的软件层对底层物理机进行多路复用。
3.2缩写
就本建议|国际标准而言,以下缩写适用:
IaaS基础设施即服务
PaaS平台即服务
PII个人身份信息
SaaS软件即服务
SLA服务级别协议
VM虚拟机
4云行业特定概念
4.1概述
云计算的使用改变了组织评估和减轻信息安全风险的方式,因为计算资源的技术设计、操作和管理方式发生了重大变化。本建议|国际标准提供了基于ISO/IEC 27002的额外云特定实施指南,并提供了额外的控制措施,以解决特定云的信息安全威胁和风险考虑。
本建议|国际标准的用户应参考ISO/IEC 27002中的第5条至第18条,以获取控制、实施指南和其他信息。由于ISO/IEC 27002的普遍适用性,许多控制,实施指南和其他信息适用于组织的一般和计算机环境。例如,ISO/IEC 27002的“6.1.2职责分离”提供了一种控制,无论组织是否作为云服务提供商,都可以应用该控制。此外,云服务客户可以从相同的控制中得出云环境中职责分离的要求,例如,分离云服务客户的云服务管理员和云服务用户。
作为ISO/IEC 27002的扩展,本建议|国际标准进一步提供了云服务特定的控制、实施指南和其他信息(见第4.5条),旨在减轻云服务技术和运营特征带来的风险(见附录B)。云服务客户和云服务提供商可参考ISO/IEC 27002和本建议|国际标准,选择具有实施指南的控制,并在必要时添加其他控制。这一过程可以通过在使用或提供云服务的组织和业务环境中执行信息安全风险评估和风险处理来完成(见第4.4条)
4.2云服务中的供应商关系
ISO/IEC 27002第15条“供应商关系”为管理供应商关系中的信息安全提供了控制、实施指南和其他信息。云服务的提供和使用是一种供应商关系,云服务客户是采购方,云服务提供商是供应商。因此,该条款适用于云服务客户和云服务提供商。
云服务客户和云服务提供商也可以形成供应链。假设云服务提供商提供基础设施能力类型的服务。此外,另一个云服务提供商可以提供应用能力类型的服务。在这种情况下,第二云服务提供商相对于第一云服务提供商是云服务客户,并且相对于使用其服务的云服务客户是云服务提供商。本示例说明了本建议|国际标准适用于作为云服务客户和云服务提供商的组织的情况。由于云服务客户和云服务提供商通过云服务的设计和实施形成供应链,因此ISO/IEC 27002第15.1.3条“信息和通信技术供应链”适用。
由多部分组成的国际标准ISO/IEC 27036“供应商关系的信息安全”为产品和服务的收购方和供应商提供了供应商关系中的信息安全的详细指导。ISO/IEC 27036第4部分直接涉及供应商关系中云服务的安全。本标准也适用于作为收单方的云服务客户和作为供应商的云服务提供商。
4.3云服务客户与云服务提供商之间的关系
在云计算环境中,云服务客户数据由云服务存储、传输和处理。因此,云服务客户的业务流程可能取决于云服务的信息安全。如果对云服务没有足够的控制,云服务客户可能需要在其信息安全实践中采取额外的预防措施。
在建立供应商关系之前,云服务客户需要选择云服务,考虑到云服务客户的信息安全要求与服务提供的信息安全能力之间可能存在的差距。一旦选择了云服务,云服务客户就应该以满足其信息安全要求的方式管理云服务的使用。在这种关系中,云服务提供商应提供必要的信息和技术支持,以满足云服务客户的信息安全要求。当云服务提供商提供的信息安全控制是预先设置的,并且云服务客户无法更改时,云服务客户可能需要实施自己的额外控制以降低风险。
4.4管理云服务中的信息安全风险
云服务客户和云服务提供商都应该制定信息安全风险管理流程。建议他们参考ISO/IEC 27001了解在其信息安全管理系统中进行风险管理的要求,并参考ISO/IEC 27005了解信息安全风险管理本身的进一步指导。ISO/IEC 27001和ISO/IEC 27005所符合的ISO 31000也有助于对风险管理的一般理解。
与信息安全风险管理流程的普遍适用性相反,云计算有其自身类型的风险源,包括源于其特征的威胁和漏洞,例如网络化、系统的可扩展性和弹性、资源共享、自助供应、按需管理、跨管辖区服务供应,以及对控制措施实施情况的了解有限。附件B提供了参考资料,提供了有关云服务提供和使用过程中这些风险源和相关风险的信息。
本建议第5条至第18条以及附件A中给出的控制和实施指南|国际标准涉及云计算特定的风险来源和风险。
4.5本标准的结构
本建议|国际标准的结构形式与ISO/IEC 27002类似。本建议|国际标准包括ISO/IEC 27002的第5条至第18条,说明了其文本在每个条款和段落中的适用性。
当ISO/IEC 27002中规定的目标和控制适用而无需任何额外信息时,仅提供ISO/IEC 27002参考。
除ISO/IEC 27002的目标外,还需要有控制的目标或ISO/IEC 27002目标下的控制,它们在规范性附录A:云服务扩展控制集中给出。当ISO/IEC 27002或本建议附录A的控制|国际标准需要与该控制相关的额外云服务特定实施指南时,在副标题“云服务实施指南”下给出。该指南分为以下两种类型之一:
当有针对云服务客户和云服务提供商的单独指导时,使用类型1。
当云服务客户和云服务提供商的指导相同时,使用类型2。
类型1
|
云服务客户 |
云服务提供商 |
类型2
|
云服务客户 |
云服务提供商 |
副标题“云服务的其他信息”下提供了可能需要考虑的其他信息。
5 信息安全策略
5.1 信息安全管理目的
ISO/EC 27002条款中规定的目标适用。
5.1.1信息安全政策
控制5.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云计算的信息安全策略应定义为云服务客户的特定主题策略。云服务客户的云计算信息安全政策应与组织对其信息和其他资产的可接受信息安全风险水平一致。 在定义云计算的信息安全策略时,云服务客户应考虑以下因素: –进程可以在多租户、虚拟化的云服务上运行; –云服务用户以及他们使用云服务的上下文: –云服务的云服务管理员 –具有特权访问权限的客户: –云服务提供商的组织的地理位置以及云服务提供商可以存储云服务客户数据的国家(甚至是临时的)。 |
云服务提供商应加强其信息安全策略,以解决云服务的提供和使用问题,同时考虑以下因素: –适用于云服务的设计和实现的基线信息安全要求; –来自授权内部人员的风险; –多租户和云服务客户隔离(包括虚拟化); –云服务提供商的工作人员对云服务客户资产的访问; –访问控制程序,例如对云服务的管理访问的强认证; –变更管理期间与云服务客户的沟通; –虚拟化安全; –访问和保护云服务客户数据; –云服务客户账户的生命周期管理; –沟通违规行为和信息共享准则,以协助调查和取证。 |
云服务的其他信息
云服务客户的云计算信息安全政策是ISO/IEC 27002 5.1.1中描述的特定主题策略之一。组织的信息安全策略处理其信息和业务流程。当一个组织使用云服务时,它可以作为云服务客户制定云计算策略。组织的信息可以在云计算环境中存储和维护,业务流程可以在云计算环境中操作。最高级别的信息安全策略中规定的一般信息安全要求之后是云计算策略。
与此形成对比。提供云服务的信息安全策略处理云服务客户的信息和业务流程,而不是云服务提供商的信息和商业流程。提供云服务的信息安全要求应满足潜在云服务客户的要求。因此,它们可能与云服务提供商的信息和业务流程的信息安全要求不一致。信息安全策略的范围通常是根据服务来定义的,但不仅仅是根据组织结构或物理位置来定义。
云计算有几个虚拟化安全方面。包括虚拟实例的生命周期管理、虚拟化映像的存储和访问控制、休眠或离线虚拟实例的处理、快照、管理程序的保护以及管理自助服务门户使用的安全控制。
5.1.2信息安全政策审查
控制5.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
6 信息安全组织
6.1 内部组织
ISO/IEC 27002第6.1条规定的目标适用
6.1.1 信息安全角色和职责
控制6.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用.
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应与云服务提供商就信息安全角色和责任的适当分配达成一致,并确认其能够履行分配的角色和责任。双方的信息安全角色和责任应在协议中说明。 云服务客户应识别并管理其与云服务提供商的客户支持和关怀功能的关系。 |
云服务提供商应与其云服务客户商定并记录信息安全角色和责任的适当分配。其云服务提供商及其供应商。 |
云服务的其他信息
即使在各方内部和各方之间确定了责任,云服务客户也要对使用服务的决定负责。该决定应根据云服务客户组织内确定的角色和责任做出。云服务提供商对云服务协议中规定的信息安全负责。信息安全的实施和提供应根据云服务提供商组织内确定的角色和责任进行。
与数据所有权、访问控制和基础设施维护等问题相关的角色以及责任的定义和分配存在歧义,可能会引发业务或法律纠纷。尤其是在与第三方打交道时。
在使用云服务期间创建或修改的云服务提供商系统上的数据和文件对安全操作至关重要。服务的恢复和连续性。所有资产的所有权。以及对与这些资产相关的运营负有责任的各方。例如备份和恢复操作。应进行定义并形成文件。否则存在云服务提供商假设云服务客户执行这些重要任务(反之亦然)的风险,并且可能发生数据丢失。
6.1.2 职责分离
控制6.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
6.1.3 与当局联系
控制6.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应确定与云服务客户和云服务提供商的联合运营相关的权限。 |
云服务提供商应将云服务提供商组织的地理位置以及云服务提供商可以存储云服务客户数据的国家告知云服务客户。 |
云服务的其他信息
关于可以存储、处理或传输云服务客户数据的地理位置的信息可以帮助云服务客户确定监管机构和管辖区。
6.1.4与特殊利益集团的联系
控制6.1.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
6.1.5项目管理中的信息安全
控制6.1.5和相关实施指南以及ISO/IEC 27002中规定的其他信息适用
6.2移动设备和远程工作
ISO/IEC 27002第6.2条规定的目标适用。
6.2.1移动设备策略
控制6.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
6.2.2远程工作
控制6.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
7 人力资源安全
7.1雇佣前
ISO/IEC 27002第7.1条规定的目标适用
7.1.1筛选
控制7.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
7.1.2雇佣条款和条件
控制7.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
7.2 雇佣中
ISO/EC 27002第7.2条规定的目标适用。
7.2.1管理职责
控制7.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
7.2.2信息安全意识、教育和培训
控制7.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应在云服务业务经理、云服务管理员、云服务集成商和云服务用户(包括相关员工和承包商)的意识、教育和培训计划中增加以下项目: –云服务的使用标准和程序; –与云服务相关的信息安全风险以及如何管理这些风险; –使用云服务带来的系统和网络环境风险; –适用的法律和监管考虑。 应向管理层和监督管理人员(包括业务部门的管理人员)提供有关云服务的信息安全意识、教育和培训计划。这些努力有助于有效协调信息安全活动。 |
云服务提供商应为员工提供意识、教育和培训。并要求承包商也这样做,涉及云服务客户数据和云服务衍生数据的适当处理。这些数据可能包含对云服务客户保密的信息,也可能受到云服务提供商访问和使用的特定限制,包括监管限制。 |
7.2.3纪律处分程序
控制7.2.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用
7.3雇佣关系的终止和变更
ISO/IEC 27002第7.3条规定的目标适用。
7.3.1雇佣责任的终止或变更
控制7.3.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
8 资产管理
8.1 资产责任
ISO/IEC 27002 8.1条规定的目标适用。
8.1.1 资产清单
控制8.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户的资产库存应考虑存储在云计算环境中的信息和相关资产。库存记录应表明资产的维护位置,例如云服务的标识。 |
云服务提供商的资产清单应明确标识: –云服务客户数据; –云服务衍生数据。 |
云服务的其他信息
存在通过向云服务客户数据添加源自云服务的数据来提供用于管理信息的功能的云服务应用。将此类云服务衍生数据识别为资产并将其维护在资产清单中,有助于提高信息安全。
8.1.2 资产所有权
控制8.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
云服务的其他信息
资产的所有权可能会因所使用的云服务的类别而异。当使用平台即服务(PaaS)或基础设施即服务(IaaS)时,应用软件将属于云服务客户,而对于软件即服务(SaaS)服务,应用软件则属于云服务提供商。
8.1.3 资产可接受使用
控制8.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
8.1.4 返还资产
控制8.1.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
8.2 信息分类
ISO/IEC 27002 8.2条规定的目标适用。
8.2.1 信息的分类
控制8.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
8.2.2 信息标签
控制8.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应根据云服务客户采用的标签程序,对云计算环境中维护的信息和相关资产进行标签。在适用的情况下,可以采用云服务提供商提供的支持标签的功能。 |
云服务提供商应记录并披露其提供的任何服务功能,允许云服务客户对其信息和相关资产进行分类和标记。 |
8.2.3 资产处置
控制8.2.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
8.3 介质处置
ISO/IEC 27002 8.2条规定的目标适用。
8.3.1 可移动介质管理
控制8.3.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
8.3.2 介质处理
控制8.3.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
8.3.3 物理介质传输
控制8.3.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
9 访问控制
9.1 访问控制业务需求
ISO/IEC 27002 9.1条规定的目标适用。
9.1.1访问控制策略
控制9.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
9.1.2网络接入和网络服务
控制9.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户使用网络服务的访问控制策略应规定用户访问所使用的每个单独云服务的要求。 |
(没有额外的实施指南) |
9.2 用户访问管理
ISO/IEC 27002 9.2条规定的目标适用。
9.2.1用户注册和注销
控制9.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
(没有额外的实施指南) |
为了管理云服务客户的云服务用户对云服务的访问,云服务提供商应向云服务客户提供用户注册和注销功能以及使用这些功能的规范。 |
9.2.2用户访问设置
控制9.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
(没有额外的实施指南) |
云服务提供商应提供用于管理云服务客户的云服务用户的访问权限的功能,以及这些功能的使用规范。 |
云服务的其他信息
云服务提供商应支持其云服务和相关管理接口的第三方身份和访问管理技术。这些技术可以实现云服务客户系统和云服务之间更容易的集成和更容易的用户身份管理。并且可以简化支持诸如单点登录之类的功能的多个云服务的使用。
9.2.3特权访问权限的管理
控制9.2.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应使用足够的身份验证技术(例如,多因素身份验证),根据识别的风险,对云服务客户的云服务管理员进行云服务管理能力的验证。 |
云服务提供商应根据识别的风险,提供足够的身份验证技术,以验证云服务客户的云服务管理员是否具有云服务的管理能力。例如,云服务提供商可以提供多因素身份验证功能或启用第三方多因素身份认证机制。 |
9.2.4用户秘密认证信息管理
控制9.2.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应验证云服务提供商分配密码等秘密身份验证信息的管理程序是否符合云服务客户的要求。 |
云服务提供商应提供有关云服务客户的秘密认证信息管理程序的信息,包括分配此类信息和用户认证的程序。 |
云服务的其他信息
云服务客户应通过使用自己或第三方的身份和访问管理技术来控制秘密身份验证信息的管理。
9.2.5用户访问权限审查
控制9.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
9.2.6访问权限的移除或调整
控制9.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
9.3 用户责任
ISO/IEC 27002 9.3条规定的目标适用。
9.3.1秘密认证信息的使用
控制9.3.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
9.4 系统和应用访问控制
ISO/IEC 27002 9.4条规定的目标适用。
9.4.1信息访问限制
控制9.4.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应验证云服务提供商分配密码等秘密身份验证信息的管理程序是否符合云服务客户的要求。 |
云服务提供商应提供有关云服务客户的秘密认证信息管理程序的信息,包括分配此类信息和用户认证的程序。 |
9.4.2安全登录程序
控制9.4.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
9.4.3密码管理系统
控制9.4.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
9.4.4特权实用程序的使用
控制9.4.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应确保根据其访问控制策略可以限制对云服务中信息的访问,并确保实现此类限制。这包括限制对云服务的访问。云服务功能以及服务中维护的云服务客户数据。 |
云服务提供商应提供访问控制,允许云服务客户限制对其云服务、云服务功能和服务中维护的云服务客户数据的访问。 |
云服务的其他信息
云计算环境包括需要访问控制的附加区域。作为云服务或云服务功能的一部分。访问功能和服务。诸如管理程序管理功能和管理控制台之类的系统可能需要额外的访问控制。
9.4.5对程序源代码的访问控制
控制9.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
10 密码技术
10.1密码技术控制
ISO/IEC 27002 10.1条规定的目标适用。
10.1.1密码控制的使用政策
控制10.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
如果风险分析证明,云服务客户应为其使用云服务实施加密控制。无论这些控制是由云服务客户还是由云服务提供商提供,这些控制都应具有足够的强度来减轻已识别的风险。 当云服务提供商提供加密时,云服务客户应审查云服务提供商所提供的任何信息,以确认加密功能是否: –满足云服务客户的政策要求; –与云服务客户使用的任何其他加密保护兼容; –应用于静止的数据以及往返于云服务和在云服务内传输的数据。 |
云服务提供商应向云服务客户提供有关其使用加密来保护其处理的信息的情况的信息。云服务提供商还应向云服务器客户提供关于其提供的任何功能的信息,这些功能可以帮助云服务器客户应用其自己的加密保护。 |
云服务的其他信息
在某些司法管辖区。可能需要应用密码学来保护特定类型的信息,如健康数据、居民登记号码、护照号码和驾照号码。
10.1.2密钥管理
控制10.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应识别每个云服务的加密密钥,并实施密钥管理程序。 在云服务提供密钥管理功能供云服务客户使用的情况下,云服务客户应请求以下关于用于管理与云服务相关的密钥的程序的信息: –密钥类型; –密钥管理系统的规范,包括密钥生命周期每个阶段的程序,例如:生产、变更、更新、存储、退役、检索、保留和销毁; –供云服务客户推荐密钥管理程序。 当云服务客户采用其自己的密钥管理或单独且独特的密钥管理服务时,云服务客户不应允许云服务提供商存储和管理用于加密操作的加密密钥。 |
(没有额外的实施指南) |
11 物理和环境安全
11.1 安全区域
ISO/IEC 27002 11.1条规定的目标适用。
11.1.1物理安全周界
控制11.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.1.2物理进入控制
控制11.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.1.3保护办公室、房间和设施
控制11.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.1.4防止外部和环境威胁
控制11.1.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.1.5在安全区域工作
控制11.1.5和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.1.6交付和装载区域
控制11.1.6和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2 设备
ISO/IEC 27002 11.2条规定的目标适用。
11.2.1设备选址和保护
控制11.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2.2支撑设施
控制11.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2.3布线安全
控制11.2.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2.4设备维护
控制11.2.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2.5资产的移除
控制11.2.5和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2.6场外设备和资产的安全
控制11.2.6和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2.7设备的安全处置或重复使用
控制11.2.7和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应要求确认云服务提供商具有安全处置或重复使用资源的政策和程序。 |
云服务提供商应确保及时安排安全处置或重复使用资源(如设备、数据存储、文件、内存)。 |
云服务的其他信息
有关安全处置的其他信息,请参阅ISO/IEC 27040。
11.2.8无人值守用户设备
控制11.2.8和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
11.2.9桌面清理和屏幕清理政策
控制11.2.9和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
12 操作安全
12.1 操作过程和责任
ISO/IEC 27002 12.1条规定的目标适用。
12.1.1形成文件的操作程序
控制12.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
12.1.2变更管理
控制12.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户的变更管理流程应考虑云服务提供商所做任何变更的影响。 |
云服务提供商应当向云服务客户提供关于可能对云服务产生不利影响的云服务变更的信息。以下内容将帮助云服务客户确定更改可能对信息安全产生的影响: –变更类别; –变更的计划日期和时间; –云服务更改的技术说明以及底层系统; –通知变更的开始和完成。 当云服务提供商提供依赖于对等云服务提供商的云服务时,云服务提供商可能需要通知云服务客户由对等云服务供应商引起的变化。 |
云服务的其他信息
应包括在通知中的项目列表可以在协议中标识,例如主服务协议或服务级别协议(SLA)。
12.1.3容量管理
控制12.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应确保云服务提供的约定容量符合云服务客户的要求。 云服务客户应监控云服务的使用情况,并预测其容量需求,以确保云服务在一段时间内的性能。 |
云服务提供商应监控总资源容量,以防止资源短缺导致的信息安全事件。 |
云服务的其他信息
云服务涉及在云服务提供商的控制下并且根据主服务协议和相关SLA的条款向云服务客户提供的资源。这些资源包括软件处理硬件、数据存储和网络连接。
云服务中资源的弹性、可扩展和按需分配通常会增加服务的总容量。然而,云服务客户应该意识到所提供的资源可能有容量限制。容量限制的示例包括应用程序的处理器内核数量、可用存储量或可用网络带宽。
约束可以根据特定的云服务或云服务客户购买的特定订阅而变化。如果云服务客户的要求超过了限制,那么云服务客户可能需要更改云服务或更改订阅。
为了让云服务客户对云服务进行容量管理,云服务客户应该能够访问资源使用的相关统计数据,例如:
–特定时间段的统计数据;
–资源使用的最大级别。
12.1.4开发、测试和操作环境的分离
控制12.1.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
12.2 恶意代码保护
ISO/IEC 27002 12.2条规定的目标适用。
12.2.1对恶意软件的控制
控制12.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
12.3 备份
ISO/IEC 27002 12.3条规定的目标适用。
12.3.1信息备份
控制12.3.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
在云服务提供商提供备份能力作为云服务的一部分的情况下,云服务客户应向云服务提供商请求备份能力的规范。云服务客户还应验证其是否满足备份要求。 当云服务提供商不提供备份功能时,云服务客户负责实现备份功能。 |
云服务提供商应向云服务客户提供其备份功能的规范。规范应包括以下信息(视情况而定): –备份的范围和时间表; –备份方法和数据格式,包括加密(如果相关); –备份数据的保留期; –验证备份数据完整性的过程: –从备份中恢复数据所涉及的程序和时间表; –测试备份功能的过程 –备份的存储位置 云服务提供商应提供对备份的安全和隔离访问,如虚拟快照。如果向云服务客户提供此类服务。 |
云服务的其他信息
在云计算环境中备份的责任分配通常不明确。在IaaS的情况下,备份的责任通常由云服务客户承担。然而,云服务客户可能不知道自己有责任备份云计算系统中产生的所有云服务客户数据,例如通过使用PaaS服务的开发功能产生的可执行文件。
注意-不同级别的备份和恢复可能会作为一项服务提供,但需要额外的成本,在这种情况下,云服务客户可以选择备份内容和时间。
12.4 日志和监控
ISO/IEC 27002 12.4条规定的目标适用。
12.4.1事件日志
控制12.4.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应该定义其对事件日志记录的要求,并验证云服务是否满足这些要求。 |
云服务提供商应向云服务客户提供日志记录功能。 |
云服务的其他信息
云服务客户和云服务提供商对事件日志记录的责任因所使用的云服务类型而异。例如,对于IaaS,云服务提供商的日志记录职责可以局限于云计算基础设施组件。并且云服务客户可以负责记录其自己的虚拟机和应用程序的事件。
12.4.2日志信息的保护
控制12.4.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
12.4.3管理员和操作员日志
控制12.4.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
如果将特权操作委托给云服务客户,则应记录这些操作的操作和性能。云服务客户应确定云服务提供商提供的记录功能是否合适,或者云服务客户是否应实现额外的记录功能。 |
(没有额外的实施指南) |
云服务的其他信息
云服务客户和云服务提供商之间的责任分配(见第6.1.1条)应涵盖与云服务相关的特权操作。监控和记录特权操作的使用是必要的,以支持针对不正确使用这些操作的预防和纠正措施。
12.4.4时钟同步
控制12.4.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应请求有关用于云服务提供商系统的时钟同步的信息。 |
云服务提供商应当向云服务客户提供关于云服务提供商的系统所使用的时钟的信息,以及关于云服务客户如何将本地时钟与云服务时钟同步的信息。 |
云服务的其他信息
有必要考虑云服务客户的系统与云服务提供商的系统的时钟同步,后者运行云服务客户使用的云服务。如果没有这样的同步,就很难协调云服务客户系统上的事件与云服务提供商系统上的事情
12.5操作软件控制
ISO/IEC 27002 12.5条规定的目标适用。
12.5.1在操作系统上安装软件
控制12.5.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
12.6技术漏洞管理
ISO/IEC 27002 12.6条规定的目标适用。
12.6.1技术漏洞管理
控制12.6.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应向云服务提供商请求有关可能影响所提供云服务的技术漏洞管理的信息。云服务客户应该确定其将负责管理的技术漏洞,并明确定义管理这些漏洞的流程。 |
云服务提供商应向云服务客户提供有关管理可能影响所提供云服务的技术漏洞的信息 |
12.6.2软件安装限制
控制12.6.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
12.7 信息系统审计考虑
ISO/IEC 27002 12.7条规定的目标适用。
12.7.1信息系统审计控制
控制12.7.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
13 通信安全
13.1 网络安全管理
ISO/IEC 27002 13.1条规定的目标适用。
13.1.1网络控制
控制13.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
13.1.2网络服务的安全性
控制13.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
13.1.3网络隔离
控制13.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应定义其隔离网络的要求,以在云服务的共享环境中实现租户隔离,并验证云服务提供商是否满足这些要求。 |
对于以下情况,云服务提供商应强制隔离网络访问: –多租户环境中租户之间的隔离; –云服务提供商的内部管理环境和云服务客户的云计算环境之间的隔离。 在适当的情况下,云服务提供商应帮助云服务客户验证云服务提供商实施的隔离。 |
云服务的其他信息
法律法规可能要求隔离网络或隔离网络流量。
13.2 信息传输
ISO/IEC 27002 13.2条规定的目标适用。
13.2.1信息传递策略和程序
控制13.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
13.2.2信息传输协议
控制13.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
13.2.3电子信息
控制13.2.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
13.2.4保密或不披露协议
控制13.2.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14 系统获取、开发和维护
14.1 信息系统安全需求
ISO/IEC 27002 14.1条规定的目标适用。
14.1.1信息安全需求分析与规范
控制14.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应确定其对云服务的信息安全要求,然后评估云服务提供商提供的服务是否能够满足这些要求。为此评估,云服务客户应从云服务提供商处请求有关信息安全能力的信息。 |
云服务提供商应向云服务客户提供有关其使用的信息安全功能的信息。这些信息应具有信息性,而不应披露可能对恶意用户有用的信息。 |
云服务的其他信息
应注意限制披露有关安全控制的实施细节,因为这些细节与提供给那些有保密协议的云服务客户或潜在云服务客户的云服务有关。
14.1.2保护公共网络上的应用程序服务
控制14.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.1.3保护应用程序服务事务
控制14.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2 开发和支持过程中的安全
ISO/IEC 27002 14.2条规定的目标适用。
14.2.1安全开发策略
控制14.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应向云服务提供商请求有关云服务提供商使用安全开发程序和实践的信息 |
云服务提供商应在与其披露政策兼容的范围内提供有关其使用安全开发程序和实践的信息。 |
云服务的其他信息
云服务提供商的安全开发程序和实践对SaaS至关重要
14.2.2系统变更控制程序
控制14.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2.3操作平台变更后应用程序的技术审查
控制14.2.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2.4对软件包更改的限制
控制14.2.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2.5安全系统工程原理
控制14.2.5和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2.6安全的开发环境
控制14.2.6和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2.7外包开发
控制14.2.7和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2.8系统安全测试
控制14.2.8和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
14.2.9系统验收测试
控制14.2.9和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
云服务的其他信息
在云计算中,系统验收测试指南适用于云服务客户对云服务的使用。
14.3 测试数据
ISO/IEC 27002 14.3条规定的目标适用。
14.3.1测试数据保护
控制14.3.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
15 供应商关系
15.1 供应商关系中的信息安全
ISO/IEC 27002 15.1条规定的目标适用。
15.1.1供应商关系的信息安全政策
控制15.1.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应将云服务提供商作为供应商类型纳入其供应商关系的信息安全政策,这将有助于降低云服务提供商访问和管理云服务客户数据的相关风险。 |
(没有额外的实施指南) |
15.1.2解决供应商协议中的安全问题
控制15.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应确认与云服务相关的信息安全角色和责任。如服务协议中所述,这些可以包括以下流程: –恶意软件保护; –备份; –密码控制; –脆弱性管理; –事件管理; –技术合规性检查; –安全测试; –审计; –收集、维护和保护证据,包括日志和审计跟踪; –服务协议终止时的信息保护; –认证和访问控制; 身份和访问管理。 |
云服务提供商应在协议中规定云服务提供商将实施的相关信息安全措施,以确保云服务提供商和云服务客户之间不会产生误解客户正在使用 |
15.1.3信息和通信技术供应链
控制15.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
(没有额外的实施指南) |
如果云服务提供商使用对等云服务提供商的云服务,云服务提供商应确保保持或超过其自身云服务客户的信息安全级别。当云服务提供商基于供应链提供云服务时,云服务供应商应向供应商提供信息安全目标,并要求每个供应商开展风险管理活动以实现目标。 |
15.2 供应商服务交付管理
ISO/IEC 27002 15.2条规定的目标适用。
15.2.1供应商服务的监督和审查
控制15.2.1和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
15.2.2管理供应商服务的变更
控制15.2.2和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
16 信息安全事件管理
16.1信息安全事件的管理和改进
ISO/IEC 27002 16.1条规定的目标适用。
16.1.1职责和程序
控制16.1.1和相关的实施指南以及ISO/EC27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应验证信息安全事件管理责任的分配,并应确保其符合云服务客户的要求。 |
作为服务规范的一部分,云服务提供商应定义云服务客户和云服务提供商之间信息安全事件管理责任和程序的分配。 云服务提供商应该向云服务客户提供包括以下内容的文档: –云服务提供商将向云服务客户报告的信息安全事件的范围; –信息检测的公开程度; –安全事件和相关应对措施; –信息安全事件通知发生的目标时间框架; –信息安全事件通知程序; –处理与信息安全事件有关的问题的联系信息; –如果发生某些信息安全事件,可以采取的任何补救措施。 |
16.1.2报告信息安全事件
控制16.1.2和相关的实施指南以及ISO/EC27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应向云服务提供商请求有关以下机制的信息: –云服务客户向云服务提供商报告其检测到的信息安全事件; –所述云服务提供商接收关于由所述云服务器提供商检测到的信息安全事件的报告; –云服务客户跟踪所报告的信息安全事件的状态。 |
云服务提供商应提供以下机制: –云服务客户向云服务提供商报告信息安全事件; –所述云服务提供商向云服务客户报告信息安全事件; –云服务客户跟踪所报告的信息安全事件的状态。 |
云服务的其他信息
这些机制不仅应规定程序,还应提供联系电话等基本信息。云服务客户和云服务提供商的电子邮件地址和服务时间。
信息安全事件可以由云服务客户或云服务提供商检测到。因此,与云计算相关的主要额外责任是,检测到事件的一方应制定程序,立即向另一方报告事件。
16.1.3报告信息安全弱点
控制16.1.3和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
16.1.4信息安全事件的评估和决策
控制16.1.4和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
16.1.5对信息安全事件的响应
控制16.1.5和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
16.1.6从信息安全事件中吸取教训
控制16.1.6和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
16.1.7证据收集
控制16.1.7和相关的实施指南以及ISO/EC27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户和云服务提供商应就响应来自云计算环境内的潜在数字证据或其他信息请求的程序达成一致。 |
|
17 信息安全层面的业务连续性管理
17.1 信息安全连续性
ISO/IEC27002 17.1条规定的目标适用于
17.1.1规划信息安全连续性
控制17.1.1和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
17.1.2实施信息安全连续性
控制17.1.2和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
17.1.3验证、审查和评估信息安全的连续性
控制17.1.3和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
17.2 冗余
ISO/IEC27002 17.2条规定的目标适用于
17.2.1信息处理设施的可用性
控制17.2.1和相关的实施指南以及ISO/EC27002中规定的其他信息适用。
18 合规性
18.1遵守法律和合同要求
ISO/IEC27002 18.1条规定的目标适用于
18.1.1适用法律和合同要求的确定
控制18.1.1和相关的实施指南以及ISO/EC27002中规定的其他信息适用。以下针对特定部门的指导意见也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应考虑的问题是,除了适用于云服务客户的法律法规外,相关法律法规还可以是适用于云服务提供商的司法管辖区的法律法规。 云服务客户应要求提供云服务提供商遵守云服务客户业务所需的相关法规和标准的证据。这类证据可以是第三方审计员出具的认证。 |
云服务提供商应告知云服务客户管辖云服务的法律管辖区 云服务提供商应确定其自身的相关法律要求(例如关于保护个人身份信息的加密(北极星工业公司)在云服务客户提出要求时,还应向其提供这些信息。 云服务提供商应向云服务客户提供其当前遵守适用法律和合同要求的证据。 |
云服务的其他信息
应确定适用于云服务提供和使用的法律和监管要求,特别是在处理、存储和通信能力地理分布且可能涉及多个司法管辖区的情况下。
重要的是要注意合规性要求。无论是法律上的还是合同上的,仍然是云服务客户的责任。合规责任不能转移给云服务提供商。
18.1.2知识产权
控制18.1.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对特定领域的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
在云服务中安装商业许可软件可能会违反软件的许可条款。云服务客户在允许任何许可软件安装在云服务中之前,应该有一个确定云特定许可要求的程序。应特别注意云服务具有弹性和可扩展性,并且软件可以在许可条款允许的更多系统或处理器内核上运行的情况。 |
云服务提供商应建立一个应对知识产权投诉的流程。 |
18.1.3保护记录
控制18.1.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应当向云服务提供商请求关于保护由云服务提供商收集和存储的与云服务客户使用云服务相关的记录的信息。 |
云服务提供商应当向云服务客户提供关于由云服务提供商收集和存储的与云服务客户使用云服务有关的记录的保护的信息。 |
18.1.4个人身份信息的隐私和保护
控制18.1.4和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
云服务的其他信息
ISO/IEC 27018,作为PII处理器的公共云中PII保护的实施规范,提供了有关此主题的更多信息。
18.1.5密码控制的规定
控制18.1.5和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应验证适用于云服务使用的加密控制集是否符合相关协议、法律和法规。 |
云服务客户应验证适用于云服务使用的加密控制集是否符合相关协议、法律和法规。 |
18.2信息安全审查
ISO/IEC 27002 18.2条规定的目标适用。
18.2.1信息安全的独立审查
控制18.2.1和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。以下针对具体行业的指导也适用
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应要求提供书面证据,证明云服务的信息安全控制和指南的实施符合云服务提供商的任何声明。此类证据可能包括针对相关标准的认证。 |
云服务提供商应向云服务客户提供书面证据,以证实其实施信息安全控制的声明。 在个别云服务客户审计不切实际或可能增加信息安全风险的情况下,云服务提供商应提供独立证据,证明按照云服务提供商的政策和程序实施和运营了信息安全。这应该在签订合同之前提供给潜在的云服务客户。云服务提供商选择的相关独立审计通常应当是满足云服务客户审查云服务提供商运营的利益的一种可接受的方法,但前提是提供足够的透明度。当独立审计不切实际时,云服务提供商应进行自我评估,并向云服务客户披露其过程和结果。 |
18.2.2遵守安全政策和标准
控制18.2.2和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
18.2.3技术符合性审查
控制18.2.3和相关实施指南以及ISO/IEC 27002中规定的其他信息适用。
附录A
云服务扩展控制集(本附录构成本建议国际标准的组成部分。)
本附录提供了额外的控制目标、控制和实施指南,作为云服务的扩展控制集。与这些控制相关的ISO/IEC 27002控制目标不再重复。
计划在符合ISO/IEC 27001的信息安全管理系统(ISMS)中实施这些控制的组织,应通过包括本附件中规定的控制来扩展其适用性声明(SOA)。
CLD.6.3云服务客户与云服务提供商之间的关系
|
目标:明确云服务客户和云服务提供商在信息安全管理方面的共同角色和责任关系。 |
CLD.6.3.1云计算环境中的共享角色和责任
控制
云服务使用中,共享信息安全角色的责任应分配给已确定的各方,由云服务客户和云服务提供商记录、沟通和实施。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应根据其对云服务的使用定义或扩展其现有的策略和程序,并让云服务用户意识到他们在使用云服务中的角色和责任。 |
云服务提供商应记录并传达其信息安全能力、角色和使用云服务的责任,以及云服务客户在使用云服务时需要实施和管理的信息安全角色和责任。 |
云服务的其他信息
在云计算中,角色和职责通常在云服务客户的员工和云服务提供商的员工之间划分。角色和责任的分配应考虑云服务客户数据和云服务提供商作为托管方的云服务客户应用程序。
CLD.8.1资产责任
ISO/IEC 27002第8.1条规定的目标适用。
CLD.8.1.5删除云服务客户资产
控制
云服务客户在云服务提供商场所的资产应在云服务协议终止后及时移除,并在必要时归还。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应要求提供一份终止服务过程的文档说明,包括云服务客户资产的归还和移除,以及从云服务提供商的系统中删除这些资产的所有副本。 应及时通过文档列出所有资产,并记录终止服务的时间表。 |
云服务提供商应提供有关在使用云服务的协议终止时返还和移除任何云服务客户资产的安排的信息。 资产返还和移除安排应记录在协议中,并应及时执行。该安排应规定要返还的资产远离的。 |
CLD.9.5共享虚拟环境中云服务客户数据的访问控制
|
目标:在使用云计算的共享虚拟环境时降低信息安全风险 |
CLD.9.5.1虚拟计算环境中的隔离
控制
云服务客户在云服务上运行的虚拟环境应受到保护,不受其他云服务客户和未经授权人员的影响。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
(没有额外的实施指南) |
云服务提供商应强制对云服务客户数据、虚拟化应用程序、操作系统、存储和网络进行适当的逻辑隔离,用于: –云服务客户在多租户环境中使用的资源的分离; –云服务提供商的内部管理与云服务客户使用的资源的分离。 –在云服务涉及多租户的情况下,云服务提供商应实施信息安全控制,以确保适当隔离不同租户使用的资源。 云服务提供商应考虑在云服务提供商提供的云服务中运行云服务客户提供的软件的相关风险。 |
云服务的其他信息
逻辑隔离的实现取决于应用于虚拟化的技术:
–当软件虚拟化功能提供虚拟环境(例如,虚拟操作系统)时,可以对网络和存储配置进行虚拟化。此外,可以使用软件的分离功能来设计和实现软件虚拟化环境中云服务客户的分离。
–当云服务客户的信息与云服务的“元数据表”存储在物理共享的存储区域中时,可以通过对“元数据表”的访问控制来实现与其他云服务客户之间的信息分离。
“ISO/IEC 27040,信息技术-安全技术-存储安全”中给出的安全多租户和相关指南可适用于云计算环境。
CLD.9.5.2加固虚拟机
控制
云计算环境中的虚拟机应该经过加固以满足业务需求
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
配置虚拟机时云服务客户和云服务提供商应确保加固适当的方面(例如,仅需要那些端口、协议和服务),并确保为所使用的每个虚拟机采取适当的技术措施(例如,反恶意软件日志记录)。 |
|
CLD.12.1操作程序和责任
ISO/EC 27002第12.1条规定的目标适用。
CLD.12.1.5管理员的操作安全
控制
应该定义、记录和监控云计算环境的管理操作程序。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应记录关键操作的程序,在这些操作中,故障可能会对云计算环境中的资产造成不可恢复的损坏。 关键操作示例如下: –虚拟化设备(如服务器、网络和存储器)的安装更改和删除; –云服务使用的终止程序; –备份和恢复。 该文件应规定由一名监督员监督这些操作。 |
云服务提供商应向需要的云服务客户提供有关关键操作和程序的文档。 |
云服务的其他信息
云计算具有快速供应和管理的优势以及按需自助服务。这些操作通常由来自云服务客户和云服务提供商的管理员执行。由于对这些关键操作的人为干预可能会导致严重的信息安全事件,因此应考虑保护操作的机制,并在必要时定义和实施这些机制。严重事件的例子包括擦除或关闭大量虚拟服务器或销毁虚拟资产。
CLD.12.4记录和监测
ISO/IEC 27002第12.4条规定的目标适用
CLD.12.4.5云服务监控
控制
云服务客户应该有能力监控云服务客户使用的云服务的特定操作方面。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
云服务客户应向云服务提供商请求每个云服务可用的服务监控能力的信息。 |
云服务提供商应提供功能,使云服务客户能够监控与云服务客户相关的云服务运营的特定方面。例如,监控和检测云服务是否被用作攻击他人的平台,或者如果云服务泄露了敏感数据。适当的访问控制应确保监控功能的使用。这些功能应仅提供对云服务客户自己的云服务实例信息的访问。 云服务提供商应向云服务客户提供服务监控功能的文档。 监控应提供与第12.4.1条中所述事件日志一致的数据,并有助于SLA条款。 |
CLD.13.1网络安全管理
ISO/IEC 27002第13.1条规定的目标适用。
CLD.13.1.4虚拟和物理网络安全管理的一致性
控制
配置虚拟网络后,应根据云服务提供商的网络安全策略验证虚拟网络和物理网络之间配置的一致性。
云服务实施指南
|
云服务客户 |
云服务提供商 |
|
(没有额外的实施指南) |
云服务提供商应定义并记录用于虚拟网络配置的信息安全策略,该策略与物理网络的信息安全策略一致。云服务提供商应确保虚拟网络配置与信息安全策略相匹配,无论用于创建配置的方式如何。 |
云服务的其他信息
在基于虚拟化技术的云计算环境中,虚拟网络配置在物理网络上的虚拟化基础结构上。在这样的环境中,网络策略的不一致可能导致系统中断或访问控制缺陷。
注意-根据云服务的类型,配置虚拟网络的责任可能因云服务客户和云服务提供商而异。
附件B
与云计算相关的信息安全风险参考(本附件不构成本建议国际标准的组成部分。尽管这些都是重要的课题。本建议国际标准的重点不是信息安全风险评估和处理方法。以下是参考文献列表,包括对云服务提供和使用中的风险来源和风险描述。需要注意的是,风险来源和风险因服务的类型和性质以及云计算的新兴技术而异。建议本推荐国际标准的用户在必要时参考文件的当前版本。
建议ITU-T X.1601(2014),云计算安全框架
2013年2月,澳大利亚政府信息管理办公室检查点摘要:澳大利亚政府机构的隐私和云计算,《更好的实践指南》,第l版,第8页http://www.finance gov au/files/2013/02/Privacy-and-cloud-computing-for-Australian-Government-ancies-v1.1.pdf
2015年4月,澳大利亚政府网络安全中心租户云计算安全。http://www.asd.gov.au/publications/protect/Cloud Computing Security for Tenants.pdf
2015年澳大利亚政府Cvber安全中心。云服务提供商的云计算安全-Aprilhttp://www.asd.gov.au/publications/protect/Cloud Computing Security for Cloud Service Providers.pdf
2014年1月云安全联盟,云控制矩阵。
2009年11月ENISA,云计算安全风险评估。
2009年11月ENISA,云计算信息保证框架。
2013年4月香港OGCIO,《云服务提供商在云平台上处理个人可识别信息的安全与隐私清单》。
2013年1月香港OGCIO,云服务消费者安全检查表。
2012年7月ISACA,云计算的安全考虑因素-7月。
NIST,SP 800-144,2011,《公共云计算安全与隐私指南》,12月。
NIST,SP 800-146 2012,《云计算概要和建议》,5月。
SPRING Singapore 2012,附件A:新加坡虚拟化安全风险评估技术参考30:2012服务器虚拟化安全技术参考-3月。
SPRING Singapore 2012,附件A:审查SaaS时的安全和服务级别注意事项清单。新加坡技术参考31:2012公共云计算服务使用安全和服务水平指南技术参考-3月。
SPRING Singapore 2013,附件A:新加坡标准SS 584:2013多层云计算安全规范的云服务提供商披露-8月。
SPRING Singapore 2012,附件B:审查《Singapore技术参考31:2012公共云计算服务使用安全和服务级别指南技术参考》laaS时的安全和服务水平注意事项清单-3月。
SPRING Singapore 2013,新加坡标准SS 584:2013多层云计算安全规范-八月。
SPRING Singapore 2012,新加坡技术参考30:2012服务器虚拟化安全技术参考-三月。
SPRING Singapore 2012,新加坡技术参考31:2012公共云计算服务使用安全和服务级别指南技术参考-三月。
美国政府FedRAMP PMO 2014,FedRAMP安全控制基线版本2.0-Junc。
参考书目
建议稿ITU-T X.805(2003),提供端到端通信的系统的安全体系结构。
ISO/IEC 17203:2011,信息技术-开放虚拟化格式(OVF)规范
ISO/IEC 27001:2013,信息技术-安全技术-信息安全管理系统-要求。
ISO/IEC 27005:2011,信息技术-安全技术-信息安全风险管理
ISO/IEC 27018:2014,信息技术-安全技术-作为个人识别信息处理器的公共云中个人识别信息(PIl)保护实施规范。
SO/EC 27036-1:2014,信息技术-安全技术-供应关系的信息安全-第1部分:概述和概念
ISO/IEC 27036-2:2014,信息技术-安全技术-供应关系的信息安全-第2部分:要求
ISO/IEC 27036-3:2013信息技术——安全技术——供应关系的信息安全——第3部分:信息和通信技术供应链安全指南。
ISO/IEC CD 27036-4,信息技术——安全技术——供应关系的信息安全——第4部分:云服务安全指南——(正在开发中)。
ISO/IEC 27040:2015,信息技术-安全技术-存储安全。
ISO 19440:2007,企业集成-企业建模的结构。
ISO 31000:2009,风险管理——原则和指南。
NIST SP 800-145,2011,美国国家标准和技术研究院云计算定义。
NIST 2009,《有效且安全地使用云计算范式》。
ENISA 2009,云计算的好处、风险和信息安全建议。
CSA,云计算关键关注领域的安全指南V3.0。
CSA,云计算面临的最大威胁Vl.0。
CSA,领域12:身份和访问管理指南V2.1。
ISACA,《云计算:安全、治理和保障视角的商业效益》。
ISACA,云计算管理审计/保证计划。
[1]要访问推荐,请在web浏览器的地址字段中键入URL http://hand.itu.int/,然后键入推荐的唯一ID。例如,http://handle.itu.int/11.1002/1000/11830-en。
原文始发于微信公众号(老烦的草根安全观):ISO 27017-2015 信息技术-安全技术-基于ISO/IEC 27002的云服务信息安全控制实施规程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论