摘要:云計(jì)算技術(shù)徹底改變了組織管理和存儲(chǔ)信息的方式���。信息安全管理系統(tǒng)不是指實(shí)施信息安全功能的實(shí)際系統(tǒng)�,應(yīng)用或工具�����。該標(biāo)準(zhǔn)被稱為�,可以根據(jù)標(biāo)準(zhǔn)與有效的信息安全管理系統(tǒng)一起實(shí)現(xiàn)。鑒于云計(jì)算技術(shù)自成立以來一直受到安全和隱私問題的困擾���,這一點(diǎn)更為重要。
云計(jì)算技術(shù)徹底改變了組織管理和存儲(chǔ)信息的方式���。組織曾經(jīng)擁有和維護(hù)自己的數(shù)據(jù)�,由于云計(jì)算的易用性以及節(jié)約成本的優(yōu)勢(shì)�,許多組織現(xiàn)在已經(jīng)轉(zhuǎn)向基于云計(jì)算的模式。
但是擁有很多優(yōu)勢(shì)的云計(jì)算技術(shù)并不是沒有成本�����。在云計(jì)算領(lǐng)域�,有著最為引人關(guān)注的因素:那就是安全��。
如果人們搜索組織在應(yīng)用云計(jì)算所面臨的陷阱和關(guān)注問題時(shí)����,就會(huì)發(fā)現(xiàn)安全這個(gè)主題將會(huì)反復(fù)出現(xiàn)����。一個(gè)希望將使用云服務(wù)的公司必須權(quán)衡云環(huán)境提供的好處�,以避免與委托其敏感數(shù)據(jù)相關(guān)的組織所帶來的風(fēng)險(xiǎn)�。這些數(shù)據(jù)往往包括個(gè)人身份信息(以下稱為PII),這通常是經(jīng)常受到審查的數(shù)據(jù)類別��,并受到一些最嚴(yán)格的法律和法規(guī)要求的約束����。
云計(jì)算服務(wù)提供商的客戶希望確保安全,他們委托一家云計(jì)算服務(wù)提供商將其個(gè)人身份信息(PII)保持至少與他們控制的數(shù)據(jù)相同的安全標(biāo)準(zhǔn)水平���。對(duì)于一些組織來說,風(fēng)險(xiǎn)甚至更高��,因?yàn)檫@是由某些法律和法規(guī)要求規(guī)定的��,例如電子個(gè)人健康信息的“健康保險(xiǎn)便攜性和責(zé)任法案”(HIPAA)以及敏感財(cái)務(wù)的金融服務(wù)現(xiàn)代化法案(GLBA(GLBA)信息����。
許多云服務(wù)提供商認(rèn)為他們對(duì)客戶的數(shù)據(jù)一無所知��。然而���,如果涉及個(gè)人健康信息或敏感財(cái)務(wù)數(shù)據(jù)的安全漏洞�,云服務(wù)提供商可能會(huì)在適當(dāng)?shù)陌踩碗[私措施不到位的情況下遭遇到高額罰款和聲譽(yù)損失����。而一個(gè)有效的信息安全管理系統(tǒng)具有針對(duì)云安全和針對(duì)個(gè)人身份信息(PII)的隱私的特定控制考慮,這對(duì)云服務(wù)提供商來說是無價(jià)的����。
人們可能對(duì)信息安全管理系統(tǒng)有什么疑問。要定義一個(gè)信息安全管理系統(tǒng)����,首先了解一下它不是什么。信息安全管理系統(tǒng)不是指實(shí)施信息安全功能的實(shí)際“系統(tǒng)”,“應(yīng)用”或“工具”�。
更廣泛的定義如下:信息安全管理系統(tǒng)代表組織解決信息安全問題的整體方法�。這包括高層管理人員為了解決這些風(fēng)險(xiǎn)而采取的行動(dòng),可以通過執(zhí)行以下操作來證明其行為:
?采用自上而下的信息安全方法���,鼓勵(lì)組織內(nèi)的人員了解信息安全最佳實(shí)踐
?根據(jù)其組織的獨(dú)特威脅和漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估
?通過使用和選擇內(nèi)部審計(jì)師����,主動(dòng)尋找問題和關(guān)注點(diǎn)
?監(jiān)測(cè)和測(cè)量信息安全管理系統(tǒng)的性能和有效性
?建立持續(xù)改進(jìn)信息安全管理體系的承諾
?確保實(shí)施安全控制并適用于其組織的目標(biāo)和宗旨
最常用來展示組織有效實(shí)施信息安全管理體系的標(biāo)準(zhǔn)是ISO 27001標(biāo)準(zhǔn)。 ISO 27001標(biāo)準(zhǔn)是基本框架�����,幾乎基于云計(jì)算或其他方面的所有服務(wù)提供商都可以努力實(shí)施��。值得注意的是����,ISO 27001為實(shí)施有效的信息安全管理體系的組織提供了許多好處,但有兩個(gè)可能是最相關(guān)的���,值得一提:
?有效的信息安全管理系統(tǒng)向潛在客戶和當(dāng)前客戶表明服務(wù)組織意味著保護(hù)其所托付和負(fù)責(zé)的數(shù)據(jù)的業(yè)務(wù)����。
?有效的信息安全管理系統(tǒng)幫助組織建立一種前瞻和主動(dòng)的方法來解決信息安全問題,而不是通過一般側(cè)重于歷史信息的審計(jì)文化帶來一種落后的觀念�。
上述要點(diǎn)可能足以使任何服務(wù)機(jī)構(gòu)考慮實(shí)施信息安全管理系統(tǒng)。組織可以通過向客戶展示認(rèn)真處理信息來享受的聲譽(yù)效益難以衡量��。組織可以通過在發(fā)生安全事件的情況下實(shí)施有效的響應(yīng)程序來節(jié)省成本也是無法估量的��。當(dāng)然��,古老的格言仍然提醒人們:沒有準(zhǔn)備就是準(zhǔn)備失敗��,這是ISO的本質(zhì)����。
但是,在ISO 27001標(biāo)準(zhǔn)下����,這一點(diǎn)并沒有停止,特別是對(duì)于交易必須更加重視信息安全的云服務(wù)提供商而言��。除了符合ISO 27001標(biāo)準(zhǔn)的要求之外�����,組織還可以實(shí)施一系列措施����,在處理敏感數(shù)據(jù)(例如個(gè)人身份信息)時(shí)增加安全和隱私措施。該標(biāo)準(zhǔn)被稱為ISO 27018��,可以根據(jù)ISO 27001標(biāo)準(zhǔn)與有效的信息安全管理系統(tǒng)一起實(shí)現(xiàn)�。
ISO 27018,另外被稱為ISO / IEC 27018:2014����,是建立在一個(gè)組織的信息安全管理系統(tǒng)的基礎(chǔ)上,通過建立一組專門用于保護(hù)PII在公共云中作為PII處理器的基于隱私的控制��,重點(diǎn)是保護(hù)云中的個(gè)人身份信息(PII)�����。 ISO 27018提供了專門用于保護(hù)個(gè)人敏感數(shù)據(jù)的新的控件子集��。
以下列出了對(duì)某些ISO 27018要求的高級(jí)概述:
?為云計(jì)算客戶提供訪問���,糾正和清除自己的個(gè)人身份信息(PII)的能力
?確保數(shù)據(jù)根據(jù)其預(yù)期目的進(jìn)行處理
?刪除臨時(shí)文件的步驟
?實(shí)施定義的披露程序
?如果使用分包商��,提供公開透明的通知
?通過執(zhí)行違規(guī)通知程序�����,鼓勵(lì)云服務(wù)提供商問責(zé)
?對(duì)云服務(wù)提供商的更加嚴(yán)格的信息安全要求
希望在考慮上述概述之后����,更清楚的是,實(shí)施符合ISO 27001標(biāo)準(zhǔn)的信息安全系統(tǒng)對(duì)于服務(wù)機(jī)構(gòu)來說是非常重要的����,但云計(jì)算服務(wù)提供商希望能夠解決其客戶的任何安全隱私問題,將這些控制采用ISO 27018標(biāo)準(zhǔn)可能是組織的最佳選擇��。
隨著技術(shù)的發(fā)展����,其潛在的威脅和漏洞也隨之演化。有效的信息安全管理系統(tǒng)為組織提供了一種主動(dòng)��,前瞻性的信息安全方法��。鑒于云計(jì)算技術(shù)自成立以來一直受到安全和隱私問題的困擾����,這一點(diǎn)更為重要�。因?yàn)轱L(fēng)險(xiǎn)只會(huì)繼續(xù)增加��。
云服務(wù)提供商現(xiàn)在可能需要考慮如何使其組織從實(shí)施信息安全管理系統(tǒng)中獲益��,該系統(tǒng)將其27001控制與ISO 27018目標(biāo)相一致�。
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/5005.html
