IT行业资质认证办理服务

ISO20000与ISO27001的区别联系

ISO20000在服务提供过程的“信息安全管理”部分中包括有对信息安全的要求。尽管两者都专注于IT服务的管理，然而，在专注点和适用范围上有着很大的不同：

ISO20000以流程为核心，定义了一系列比较抽象的流程目标，而ISO27001以控制点/控制措施为主，比较具体;

两套体系规范的侧重点有所不同，ISO20000是面向IT服务管理的质量体系标准，而ISO27001是面向信息安全的质量标准规范，ISO20000强调以流程的方式达到质量管理标准，ISO27001强调以风险控制点的方式来达到信息安全管理的目的;

两套体系规范存在着许多的共性特征，如：事件管理、业务连续性管理、信息资产管理等方面，大多数的企业都会选择将ISO20000与ISO27001认证项目一同实施，使两套体系间的互补特性得到充分的发挥，更全面适用范围不一样-

- ISO20000适用于企业的IT服务部门，通常是IT部门

- ISO27001适用于整个企业，不仅仅是IT部门，还包括业务部门、财务、人事等部门。

ISO20000与CMMI.

ISO20000是基于流程的服务管理标准，而CMMI是CMMI软件开发质量保障体系，两者有以下几点区别：

适用的范围不一样

- ISO20000适用于企业的IT服务部门，通常是IT部门

- CMMI主要适用于软件企业。对于软件行业而言，CMMI无疑是首选，也是最合适的。基于SEI在过程改进方面的主导地位，CMMI的广泛应用已成为事实上的国际标准

面向的领域不同

- ISO20000负责对IT运维流程的管理，属于面向服务的管理的范畴

- CMMI则主要负责软件或系统开发，对其内部模块进行详细说明

实施的目的不同

- CMMI是世界范围内用于衡量软件过程能力的事实标准，同时也是软件过程改进最权威的指南，因此CMMI专注于软件开发的过程改进:

- 而ISO20000规定了组织向其顾客交付顾客可接受的质量的服务的要求，因此，ISO20000专注于服务提供与支持的标准

这几个标准的分析都比较准确，如何融合使用还需要对业务形态进行分析，然后选用一种，辅之以其他的标准(框架)。

如果是软件开发为主业，那么以CMMI为框架，辅之以27001与20000.:

如果是服务提供商，那么以20000为框架，辅之以27001.

如果业务的综合性很强，还可以以9000为框架，辅之以其他的标准与框架。

ISO 27017标准内容

ISO 27017或基于ISO/IEC 27001的云服务信息安全控制操作规范，为云服务行业提供了基于ISO 27002的指南。

该标准针对ISO 27002中的37个控件提供了特定于云服务提供商的指南，但还具有七个新控件:

1)云计算环境中的角色和职责共享

2)删除云服务客户资产

3)虚拟计算环境中的隔离

4)虚拟机强化

5)管理员的操作安全

6)监控云服务

7)虚拟和物理网络的安全管理对齐

该标准与提供基于云的服务的组织以及在云中存储信息的任何组织有关。

ISO 27017认证的好处

委托敏感客户数据的任何云提供商都可能会从ISO 27017中受益。该标准通过提供云环境独有的指导来帮

助组织，并解决了许多云提供商的痛点，例如在云计算中角色和职责的划分环境。

该标准可以帮助组织根据其环境的特定需求增强其信息安全管理系统。此外,利用ISO 27017标准可以使组织降低云服务组织固有的风险以及潜在的破坏成本。

如何利用ISO 27017认证

由于ISO 27017不是管理标准，因此无法严格按照ISO 27017控件对组织进行认证。但是，可以通过在ISO 27001认证审核范围内添加其他ISO 27017控件来帮助组织，以确保公司可以证明符合ISO 27017标准。

二、ISO/IEC 27701标准介绍

1. 关键术语解释

PII：个人可识别身份信息，指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息PIMS：Privacy Information Management System，隐私信息管理体系Customer：PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者PII处理者的customer：与PII处理者有合约关系的PII控制者与PII处理的分包商有合约关系的PII处理者

2. ISO 27701结构组成

ISO 27701是ISO 27001和ISO 27002在隐私信息管理方面的扩展，并在隐私保护方面提供了必要的额外要求。ISO/IEC 27701标准的正文由8个条款组成，其中：

条款1-4.给出了标准的范围，术语、定义等。

条款5介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。

条款6介绍了ISO 27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。

条款7给出了针对PII控制者的ISO 27002扩展指南。

条款8给出了针对PII处理者的ISO 27002扩展指南。这两章从PII的收集和处理，对PII主体的义务，Privacy by design & Privacy by default，PII的共享、传输和披露四个方面做出了相应规定。

附录A是针对PII控制者的PIMS特定的控制目标和控制措施。

附录B是针对PII处理者的PIMS特定的控制目标和控制措施。

附录C给出了标准与ISO/IEC 29100的映射。

附录D是与GDPR的映射。

附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。

附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。

总体而言，标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。

3. ISO 27701与各标准之间的关系

a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。

b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。

c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准，有不同的侧重点，与ISO 27701互为补充。

d) ISO 27001帮助企业建立ISMS，通过有效的风险管理来保护和管理组织的所有信息，从数据安全方面满足GDPR的部分要求。

e) ISO 27701加入了隐私保护的额外要求，更全面地覆盖了GDPR的要求。

ISO27017和ISO27018

ISO27018主要用于保护云中的个人身份信息( PII)。它是基于ISO 27001和ISO 27002的扩展安全性合规性。除ISO 27001/27002之外，ISO 2701 8还定义了PI保护安全性要求

ISO 27017为服务提供商和云服务使用者提供了实现云服务安全控制的能力。ISO 27017是ISO 27002的扩展,用于解决特定于云的安全问题。

一、概述

安全是云客户担忧的一大问题，尽管云有着出色的灵活性和可拓展性，但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视客户数据。

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供了加强控制。ISO/IEC 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。

ISO/IEC 27017标准不仅提供了基于ISO/IEC 27002标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施。

通过ISO27017的认证，可以有效地保护数据，降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。ISO27001 因为是最基础的规范,所以在进行IS027017之前，必须先经过基本的ISO27001认证。ISO27017认证也有可能会与1SO27001认证审核一并进行。