ISO/IEC 27017标准结构

Posted 2020-12-19

为了方便大家更好、更深层次的理解与运用ISO/IEC 27017:2015标准，北京广汇联合认证权威专家组，全新诠释ISO/IEC 27017:2015 标准结构。
标准要求：
本标准的结构格式类似于ISO/IEC27002。本标准包括ISO/IEC27002第5至18条，说明其文本对每一条款和段落的适用性。
如适用ISO/IEC27002所指明的目标和管制而无须提供任何额外资料，则只提供ISO/IEC27002的参考资料。
如果除了ISO/IEC27002的目标外，还需要有关控制的目标或ISO/IEC27002目标下的控制，这些目标载于附件A: 云服务扩展控制集。当对ISO/IEC27002或本附件A 的控制需要额外的特定于云服务的控制实施指南时，该指南在”云服务实施指南”的副标题下提供。
该指南分为以下两类：
当对云服务顾客和云服务供应商有单独的指导时，使用 type 1。
如果指南同时针对云服务客户和云服务供应商，则使用 type 2
Type 1
客户 供应商

Type2
客户 供应商

企业要做内容：
1、根据企业确定的本组织在云服务角色（客户或供应商，或两者皆有），分别选择、确定客户或供应商的策略、控制措施，并在管理手册或适用性声明SOA中描述。
审核员关注：
1、通过管理手册或SOA,企业确定的云服务角色（客户或供应商），是否完整选择适用的策略、控制措施。