01

此国际标准基于 ISO/IEC 27002 提供了特定于云的附加实施指南，并针对 ISO/IEC 27002:2013 第 5-18 条中特定于云的信息安全威胁和风险提供了附加控制措施、实施指南和其他信息。 具体来说，此标准提供了 ISO/IEC 27002 中有关 37 个控制措施的指南，以及在 ISO/IEC 27002 中未重复的 7 个新控制措施。

 这些新控制措施可解决以下重要方面：

· 云计算环境中的共享角色和职责

· 合同终止时删除和退回云服务客户资产

· 保护客户的虚拟环境并将其与其他客户的虚拟环境分离

· 强化要求以满足业务需求的虚拟机

· 云计算环境的管理操作程序

· 使客户能够监视云计算环境中的相关活动

· 协调虚拟和物理网络的安全管理

02

ISO 27001因为是最基础的规范，所以在进行 ISO 27017 or ISO 27018之前，必须先经过基本的ISO 27001认证。

基于ISO 27001 认证基础下，可以思考额外包含：

ISO 27017: 云端对于个人隐私数据的产生、储存、管理、通知、消除、加密、传输等处理。

ISO 27018 : 如果公司预计提供云端服务，相关云端维运的安全控制措施

从市场营销的观点来看，ISO 27001是可以获得一个认证，因此容易得到客户的认可。

从信息安全来看，ISO 27017 or ISO 27018 更偏重于信息安全管制措施。

03

ISO/IEC 27017 在为云服务提供商和云服务客户提供指南方面是独一无二的。 此外，它还为云服务客户提供有关预期从云服务提供商获得内容的实用信息。 通过确保客户了解云中的共同职责，他们可以直接从 ISO/IEC 27017 中受益。ISO27017 是基于ISO27002延伸的标准，是针对云服务的提供和使用给出了信息安全控制的要求。