ISO-IEC 27017-2015 公有云服务管理体系认证

Introduction介绍TheguidelinescontainedwithinthisRecommendation|InternationalStandardareinadditiontoandcomplementtheguidelinesgiveninISO/IEC27002.本建议书中包含的指南|国际标准是对ISO/IEC27002中给出的准则的补充。Specifically,thisRecommendation|InternationalStandardprovidesguidelinessupportingtheimplementationofinformationsecuritycontrolsforcloudservicecustomersandcloudserviceproviders.Someguidelinesareforcloudservicecustomerswhoimplementthecontrols,andothersareforcloudserviceproviderstosupporttheimplementationofthosecontrols.Theselectionofappropriateinformationsecuritycontrolsandtheapplicationoftheimplementationguidanceprovided,willdependonariskassessmentandanylegal,contractual,regulatoryorothercloudsectorspecificinformationsecurityrequirements.具体而言，本指南|国际标准提供了支持云服务客户和云服务提供商实施信息安全控制的指南。其中一些准则适用于实施这些控制措施的云服务客户，其他准则适用于支持这些控制措施实施的云服务提供商。适当信息安全控制的选择和所提供实施指南的应用将取决于风险评估和任何法律、合同、监管或其他特定于云部门的信息安全要求。InformationtechnologySecuritytechniquesCodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloudservicesIT安全技术基于ISO/IEC27002的云服务信息安全控制实施规范1、Scope1、范围ThisRecommendation|InternationalStandardgivesguidelinesforinformationsecuritycontrolsapplicabletotheprovisionanduseofcloudservicesbyproviding:本指南|国际标准通过提供以下内容，提供了适用于提供和使用云服务的信息安全控制准则：-additionalimplementationguidanceforrelevantcontrolsspecifiedinISO/IEC27002;-additionalcontrolswithimplementationguidancethatspecificallyrelatetocloudservices.-ISO/IEC27002中规定的相关控制的附加实施指南；-带有具体与云服务相关的实施指南的附加控制。ThisRecommendation|InternationalStandardprovidescontrolsandimplementationguidanceforbothcloudserviceprovidersandcloudservicecustomers.本指南|国际标准为云服务提供商和云服务客户提供控制和实施指南。2、Normativereferences2、规范性参考文献ThefollowingRecommendationsandInternationalStandardscontainprovisionswhich,throughreferenceinthistext,constituteprovisionsofthisRecommendation|InternationalStandard.Atthetimeofpublication,theeditionsindicatedwerevalid.AllRecommendationsandStandardsaresubjecttorevision,andpartiestoagreementsbasedonthisRecommendation|InternationalStandardareencouragedtoinvestigatethepossibilityofapplyingthemostrecenteditionoftheRecommendationsandStandardslistedbelow.MembersofIECandISOmaintainregistersofcurrentlyvalidInternationalStandards.TheTelecommunicationStandardizationBureauoftheITUmaintainsalistofcurrentlyvalidITU-TRecommendations.以下建议和国际标准包含通过本文引用构成本指南|国际标准条款的规定。在出版时，标明的版本是有效的。所有建议和标准均可进行修订，并鼓励基于本指南|国际标准的协议各方调查应用下列最新版本的建议和标准的可能性。IEC和ISO的成员负责维护现行有效的国际标准。ITU的电信标准化局维护当前有效的ITU-T建议。2.1IdenticalRecommendations|InternationalStandards2.1指南|国际标准RecommendationITUTY.3500(inforce)|ISO/IEC17788:(inforce),InformationtechnologyCloudcomputingOverviewandvocabulary.ITUTY.3500(有效版本)|ISO/IEC17788(有效版本)，IT云计算概述和词汇。RecommendationITUTY.3502(inforce)|ISO/IEC17789:(inforce),InformationtechnologyCloudcomputingReferencearchitecture.ITUTY.3502(有效版本)|ISO/IEC17789(有效版本)，IT云计算参考体系结构。2.2AdditionalReferences2.2附加参考ISO/IEC27000:(inforce),InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsOverviewandvocabulary.ISO/IEC27000（有效版本）:ISMS概述和词汇。ISO/IEC27002:2013,InformationtechnologySecuritytechniquesCodeofpracticeforinformationsecuritycontrols.ISO/IEC27002:2013，IT安全技术信息安全控制实践指南。3、Definitionsandabbreviations3、定义和缩写3.1Termsdefinedelsewhere3.1其他地方定义的术语ForthepurposesofthisRecommendation|InternationalStandard,thetermsanddefinitionsgiveninISO/IEC27000,Rec.ITUTY.3500|ISO/IEC17788,Rec.ITUTY.3502|ISO/IEC17789andthefollowingdefinitionsapply:就本指南|国际标准而言，ISO/IEC27000，ITUTY.3500给出的术语和定义|ISO/IEC17788，Y.3502|ISO/IEC17789和以下定义适用:3.1.1ThefollowingtermisdefinedinISO19440:3.1.1以下术语在ISO19440中定义:-capability:Qualityofbeingabletoperformagivenactivity.-能力:能够执行给定活动的质量。3.1.2ThefollowingtermsaredefinedinISO/IEC27040:3.1.2下列术语在ISO/IEC27040中定义:-databreach:Compromiseofsecuritythatleadstotheaccidentalorunlawfuldestruction,loss,alteration,unauthorizeddisclosureof,oraccesstoprotecteddatatransmitted,stored,orotherwiseprocessed.-securemultitenancy:Typeofmultitenancythatemployssecuritycontrolstoexplicitlyguardagainstdatabreachesandprovidesvalidationofthesecontrolsforpropergovernance.-数据泄露：安全性受损，导致意外或非法破坏，丢失，更改，未经授权的披露或访问传输，存储或以其他方式处理的受保护数据。-安全多租户：利用安全控制措施明确防范的多租户类型数据泄露，并验证这些控制措施以进行适当的治理。NOTE1Securemultitenancyexistswhentheriskprofileofanindividualtenantisnogreaterthanitwouldbeinadedicated,singletenantenvironment.注1:当单个租户的风险状况不大于专用单租户环境中的风险状况时，安全多租户就存在。NOTE2Inverysecureenvironments,eventheidentityofthetenantsiskeptsecret.注2:在非常安全的环境中，即使租户的身份也是保密的。3.1.3ThefollowingtermisdefinedinISO/IEC17203:3.1.3下列术语在ISO/IEC17203中定义:-virtualmachine:Thecompleteenvironmentthatsupportstheexecutionofguestsoftware.-虚拟机:支持客户软件执行的完整环境。NOTEAvirtualmachineisafullencapsulationofthevirtualhardware,virtualdisks,andthemetadataassociatedwithit.Virtualmachinesallowmultiplexingoftheunderlyingphysicalmachinethroughasoftwarelayercalledahypervisor.注：虚拟机是虚拟硬件、虚拟磁盘以及与其相关联的元数据的完整封装。虚拟机允许底层物理机通过称为虚拟机管理程序的软件层进行多路复用。3.2Abbreviations3.2缩写ForthepurposesofthisRecommendation|InternationalStandard,thefollowingabbreviationsapply:就本指南|国际标准而言，以下缩写适用:IaaSInfrastructureasaServiceIaaS基础设施即服务PaaSPlatformasaService平台即服务PIIPersonallyIdentifiableInformation个人身份信息SaaSSoftwareasaService软件即服务SLAServiceLevelAgreement服务级别协议VMVirtualMachine虚拟机4、Cloudsectorspecificconcepts4、云部门特定概念4.1Overview4.1概览Theuseofcloudcomputinghaschangedhoworganizationsshouldassessandmitigateinformationsecurityrisksbecauseofthesignificantchangesinhowcomputingresourcesaretechnicallydesigned,operatedandgoverned.ThisRecommendation|InternationalStandardprovidesadditionalcloudspecificimplementationguidancebasedonISO/IEC27002andprovidesadditionalcontrolstoaddresscloudspecificinformationsecuritythreatsandrisksconsiderations.云计算的使用改变了组织评估和降低信息安全风险的方式，因为计算资源在技术设计、操作和管理方面发生了重大变化。本指南|国际标准基于ISO/IEC27002提供了额外的云特定实施指南，并提供了额外的控制措施来解决云特定的信息安全威胁和风险考虑。UsersofthisRecommendation|InternationalStandardshouldrefertoclauses5to18inISO/IEC27002forcontrols,implementationguidanceandotherinformation.BecauseofthegeneralapplicabilityofISO/IEC27002,manyofthecontrols,implementationguidanceandotherinformationapplytoboththegeneralandcloudcomputingcontextsofanorganization.Forexample,"6.1.2Segregationofduties"ofISO/IEC27002providesacontrolthatcanbeappliedwhethertheorganizationisactingasacloudserviceproviderornot.Additionally,acloudservicecustomercanderiverequirementsforsegregationofdutiesinthecloudenvironmentfromthesamecontrol,e.g.,segregatingthecloudservicecustomers'cloudserviceadministratorsandcloudserviceusers.本指南|国际标准的用户应参考ISO/IEC27002中的第5至18条，了解控制目标、实施指南和其他信息。由于ISO/IEC27002的普遍适用性，许多控制目标、实施指南和其他信息适用于组织的一般和云计算环境。例如，ISO/IEC27002的“6.1.2职责分离”提供了一种控制，无论组织是否作为云服务提供商，都可以应用该控制。此外，云服务客户可以从同一控制中获得云环境中职责分离的要求，例如，将云服务客户的云服务管理员和云服务用户分离。AsanextensiontoISO/IEC27002,thisRecommendation|InternationalStandardfurtherprovidescloudservicespecificcontrols,implementationguidanceandotherinformation(seeclause4.5)thatareintendedtomitigatetherisksthataccompanythetechnicalandoperationalfeaturesofcloudservices(seeAnnexB).ThecloudservicecustomersandthecloudserviceproviderscanrefertoISO/IEC27002andthisRecommendation|InternationalStandardtoselectcontrolswiththeimplementationguidance,andaddothercontrolsifnecessary.Thisprocesscanbedonebyperforminganinformationsecurityriskassessmentandrisktreatmentintheorganizationalandbusinesscontextwherecloudservicesareusedorprovided(seeclause4.4).作为对ISO/IEC27002的扩展，本指南|国际标准进一步提供了云服务特定的控制目标、实施指南和其他信息(见第4.5条)，旨在降低云服务技术和运营特征带来的风险(见附录B)。云服务客户和云服务提供商可以参考ISO/IEC27002和本指南|国际标准来选择具有实施指南的控制措施，并在必要时添加其他控制措施。这个过程可以通过在使用或提供云服务的组织和业务环境中执行信息安全风险评估和风险处理来完成(参见第4.4条)。4.2Supplierrelationshipsincloudservices4.2云服务中的供应商关系ISO/IEC27002clause15"Supplierrelationships"providescontrols,implementationguidanceandotherinformationformanaginginformationsecurityinsupplierrelationships.Theprovisionanduseofcloudservicesisakindofsupplierrelationship,wherethecloudservicecustomerisanacquirer,andthecloudserviceproviderisasupplier.Therefore,theclauseappliestocloudservicecustomersandcloudserviceproviders.ISO/IEC27002第15条“供应商关系”为管理供应商关系中的信息安全提供了控制、实施指南和其他信息。云服务的提供和使用是一种供应商关系，其中云服务客户是采购方，云服务提供商是供应商。因此，该条款适用于云服务客户和云服务提供商。Cloudservicecustomersandcloudserviceproviderscanalsoformasupplychain.Supposethatacloudserviceproviderprovidesaninfrastructurecapabilitiestypeservice.Inaddition,anothercloudserviceprovidercanprovideanapplicationcapabilitiestypeservice.Inthiscase,thesecondcloudserviceproviderisacloudservicecustomerwithrespecttothefirst,andacloudserviceproviderwithrespecttothecloudservicecustomerusingitsservice.ThisexampleillustratesthecasewherethisRecommendation|InternationalStandardappliestoanorganizationbothasacloudservicecustomerandasacloudserviceprovider.Becausecloudservicecustomersandcloudserviceprovidersformasupplychainthroughthedesignandimplementationofthecloudservice(s),clause"15.1.3Informationandcommunicationtechnologysupplychain"ofISO/IEC27002applies.云服务客户和云服务提供商也可以形成供应链。假设云服务提供商提供基础设施能力类型的服务，另外，另一个云服务提供商可以提供应用功能类型的服务。在这种情况下，第二云服务提供商相对于第一云服务提供商是云服务客户，相对于使用其服务的云服务客户是云服务提供商。此示例说明了本指南|国际标准适用于作为云服务客户和云服务提供商的组织的情况。因为云服务客户和云服务提供商通过云服务的设计和实施形成供应链，所以适用ISO/IEC27002第15.1.3条“信息与通信技术供应链”。ThemultipartInternationalStandardISO/IEC27036,"Informationsecurityforsupplierrelationships",providesdetailedguidanceontheinformationsecurityinsupplierrelationshipstotheacquirerandsupplierofproductsandservices.包含多个部分的国际标准ISO/IEC27036，“供应商关系的信息安全”,为产品和服务的获取者与供应商提供了有关供应商关系中信息安全性的详细指南。ISO/IEC27036Part4dealsdirectlywiththesecurityofcloudservicesinsupplierrelationships.Thisstandardisalsoapplicabletocloudservicecustomersasacquirersandcloudserviceprovidersassuppliers.ISO/IEC27036第4部分直接涉及供应商关系中云服务的安全性。该标准也适用于作为采购方的云服务客户和作为供应商的云服务提供商。4.3Relationshipsbetweencloudservicecustomersandcloudserviceproviders4.3云服务客户和云服务提供商之间的关系Inthecloudcomputingenvironment,cloudservicecustomerdataisstored,transmittedandprocessedbyacloudservice.Therefore,acloudservicecustomer'sbusinessprocessescandependupontheinformationsecurityofthecloudservice.Withoutsufficientcontroloverthecloudservice,thecloudservicecustomermightneedtotakeextraprecautionswithitsinformationsecuritypractices.在云计算环境中，云服务客户数据是由云服务存储，传输和处理的。因此，云服务客户的业务流程可能依赖于云服务的信息安全。如果对云服务没有足够的控制，云服务客户可能需要在其信息安全实践中采取额外的预防措施。Beforeenteringintoasupplierrelationship,thecloudservicecustomerneedstoselectacloudservice,takingintoaccountthepossiblegapsbetweenthecloudservicecustomer'sinformationsecurityrequirementsandtheinformationsecuritycapabilitiesofferedbytheservice.Onceacloudserviceisselected,thecloudservicecustomershouldmanagetheuseofthecloudserviceinsuchawayastomeetitsinformationsecurityrequirements.Inthisrelationship,thecloudserviceprovidershouldprovidetheinformationandtechnicalsupportthatarenecessarytomeetthecloudservicecustomer'sinformationsecurityrequirements.Whentheinformationsecuritycontrolsprovidedbythecloudserviceproviderarepresetandcannotbechangedbythecloudservicecustomer,thecloudservicecustomermayneedtoimplementadditionalcontrolsofitsowntomitigaterisks.在建立供应商关系之前，云服务客户需要选择云服务，同时考虑云服务客户的信息安全需求和该服务提供的信息安全能力之间可能存在的差距。一旦选择了云服务，云服务客户应该以满足其信息安全要求的方式管理云服务的使用。在这种关系中，云服务提供商应该提供满足云服务客户信息安全需求所需的信息和技术支持。当云服务提供商提供的信息安全控制是预设的并且云服务客户无法更改时，云服务客户可能需要实施自己的附加控制来降低风险。4.4Managinginformationsecurityrisksincloudservices4.4管理云服务中的信息安全风险Cloudservicecustomersandcloudserviceprovidersshouldbothhaveinformationsecurityriskmanagementprocessesinplace.TheyareadvisedtorefertoISO/IEC27001fortherequirementstoconductriskmanagementintheirinformationsecuritymanagementsystems,andtorefertoISO/IEC27005forfurtherguidanceoninformationsecurityriskmanagementitself.ISO31000,towhichISO/IEC27001andISO/IEC27005conform,canalsohelpgeneralunderstandingofriskmanagement.云服务客户和云服务提供商都应具备信息安全风险管理流程。建议他们参考ISO/IEC27001，了解在其信息安全管理体系中进行风险管理的要求，并参考ISO/IEC27005，了解关于信息安全风险管理本身的进一步指导。ISO/IEC27001和ISO/IEC27005所遵循的ISO31000也可以帮助人们全面了解风险管理。Incontrasttothegeneralapplicabilityoftheinformationsecurityriskmanagementprocesses,cloudcomputinghasitsowntypesofrisksources,includingthreatsandvulnerabilities,whicharederivedfromitsfeatures,e.g.,networking,scalabilityandelasticityofthesystem,resourcesharing,self-serviceprovisioning,administrationon-demand,cross-jurisdictionalserviceprovisioning,andlimitedvisibilityintotheimplementationofcontrols.AnnexBprovidesreferencesthatgiveinformationontheserisksourcesandassociatedrisksintheprovisionanduseofcloudservices.与信息安全风险管理流程的普遍适用性相反，云计算有其自身类型的风险源，包括威胁和漏洞，这些风险源源自其功能，例如网络、系统的可扩展性和弹性、资源共享、自助服务提供、按需管理、跨辖区服务供应以及对控制措施实施的有限可见性。附录B提供了参考资料，提供了关于云服务提供和使用中的这些风险源和相关风险的信息。Thecontrolsandimplementationguidancegiveninclauses5to18andAnnexAofthisRecommendation|InternationalStandardaddresscloudcomputingspecificrisksourcesandrisks.本指南|国际标准第5至18条和附录A中给出的控制和实施指南针对云计算特定的风险源和风险。4.5Structureofthisstandard4.5本标准的结构ThisRecommendation|InternationalStandardisstructuredinaformatsimilartoISO/IEC27002.ThisRecommendation|InternationalStandardincludesclauses5to18ofISO/IEC27002bystatingtheapplicabilityofitstextsateachclauseandparagraph.本指南|国际标准的结构格式类似于ISO/IEC27002。本指南|国际标准包括ISO/IEC27002的第5条至第18条，在每一条款和段落中阐述其文本的适用性。WhenobjectivesandcontrolsspecifiedinISO/IEC27002areapplicablewithoutaneedforanyadditionalinformation,onlyareferencetoISO/IEC27002isprovided.当ISO/IEC27002中规定的目标和控制措施在不需要任何附加信息的情况下适用时，仅提供对ISO/IEC27002的引用。Whenanobjectivewithcontrols,oracontrolunderanobjectivefromISO/IEC27002,isneededinadditiontothoseofISO/IEC27002,theyaregiveninnormativeAnnexA:Cloudserviceextendedcontrolset.WhenacontrolofISO/IEC27002orAnnexAofthisRecommendation|InternationalStandardneedsadditionalcloudservicespecificimplementationguidancerelatedtothecontrol,itisgivenunderthesubtitle"Implementationguidanceforcloudservices".Theguidanceisprovidedinoneofthefollowingtwotypes:当除了ISO/IEC27002的目标之外，还需要具有控制的目标或ISO/IEC27002的目标下的控制措施时，它们在标准附录A:云服务扩展控制集中给出。当ISO/IEC27002或本指南|国际标准附录A的控制需要与控制相关的额外云服务特定实施指南时，将在副标题“云服务实施指南”下给出。指南以以下两种类型之一提供:Type1isusedwhenthereisseparateguidanceforthecloudservicecustomerandthecloudserviceprovider.当对云服务客户和云服务提供商有单独的指南时，使用类型1。Type2isusedwhentheguidanceisthesameforboththecloudservicecustomerandthecloudserviceprovider.当云服务客户和云服务提供商的指南相同时，使用类型2。Additionalinformationthatmightneedtobeconsideredisprovidedunderthesubtitle"Otherinformationforcloudservices".可能需要考虑的其他信息在副标题“云服务的其他信息”下提供。5Informationsecuritypolicies5信息安全策略5.1Managementdirectionforinformationsecurity5.1信息安全管理指导Theobjectivespecifiedinclause5.1ofISO/IEC27002applies.ISO/IEC27002第5.1条规定的目标适用。5.1.1Policiesforinformationsecurity5.1.1信息安全策略Control5.1.1andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.Thefollowingsector-specificguidancealsoapplies.控制5.1.1和相关实施指南以及ISO/IEC27002中规定的其他信息适用。以下特定业务指南也适用。CloudservicecustomerCloudserviceproviderAninformationsecuritypolicyforcloudcomputingshouldbedefinedasatopicspecificpolicyofthecloudservicecustomer.Thecloudservicecustomer'sinformationsecuritypolicyforcloudcomputingshouldbeconsistentwiththeorganization'sacceptablelevelsofinformationsecurityrisksforitsinformationandotherassets.Whendefiningtheinformationsecuritypolicyforcloudcomputing,thecloudservicecustomershouldtakethefollowingintoaccount:informationstoredinthecloudcomputingenvironmentcanbesubjecttoaccessandmanagementbythecloudserviceprovider;assetscanbemaintainedinthecloudcomputingenvironment,e.g.,applicationprograms;processescanrunonamultitenant,virtualizedcloudservice;thecloudserviceusersandthecontextinwhichtheyusethecloudservice;thecloudserviceadministratorsofthecloudservicecustomerwhohaveprivilegedaccess;thegeographicallocationsofthecloudserviceprovider'sorganizationandthecountrieswherethecloudserviceprovidercanstorethecloudservicecustomerdata(eventemporarily).Thecloudserviceprovidershouldaugmentitsinformationsecuritypolicytoaddresstheprovisionanduseofitscloudservices,takingthefollowingintoaccount:thebaselineinformationsecurityrequirementsapplicabletothedesignandimplementationofthecloudservice;risksfromauthorizedinsiders;multitenancyandcloudservicecustomerisolation(includingvirtualization);accesstocloudservicecustomerassetsbystaffofthecloudserviceprovider;accesscontrolprocedures,e.g.,strongauthenticationforadministrativeaccesstocloudservices;communicationstocloudservicecustomersduringchangemanagement;virtualizationsecurity;accesstoandprotectionofcloudservicecustomerdata;lifecyclemanagementofcloudservicecustomeraccounts;communicationofbreachesandinformationsharingguidelinestoaidinvestigationsandforensics.云服务客户云服务提供商云计算的信息安全策略应被定义为云服务客户的特定主题策略。云服务客户的云计算信息安全策略应符合组织可接受的信息和其他资产信息安全风险水平。在为云计算定义信息安全策略时，云服务客户应考虑以下因素:存储在云计算环境中的信息可以由云服务提供商访问和管理；资产可以在云计算环境中维护，例如应用程序；流程可以在多租户虚拟化云服务上运行；云服务用户及其使用云服务的环境；拥有特权访问权限的云服务客户的云服务管理员；云服务提供商组织的地理位置以及云服务提供商可以（甚至临时）存储云服务客户数据的国家/地区。云服务提供商应增强其信息安全策略，以解决云服务的提供和使用问题，同时考虑以下几点:适用于云服务设计和实施的基线信息安全要求；授权内部人员的风险；多租户和云服务客户隔离(包括虚拟化)；云服务提供商的工作人员访问云服务客户资产；访问控制程序，例如对云服务的管理访问的强身份验证；变更管理期间与云服务客户的沟通；虚拟化安全性；云服务客户数据的访问和保护；云服务客户的生命周期管理账户；交流违规行为和信息共享指南，以帮助调查和取证。Otherinformationforcloudservices云服务的其他信息Thecloudservicecustomer'sinformationsecuritypolicyforcloudcomputingisoneofthetopic-specificpoliciesdescribedinISO/IEC270025.1.1.Theinformationsecuritypolicyofanorganizationdealswithitsinformationandbusinessprocesses.Whenanorganizationusescloudservices,itcanhaveapolicyforcloudcomputingasacloudservicecustomer.Anorganization'sinformationcanbestoredandmaintainedinthecloudcomputingenvironment,andthebusinessprocessescanbeoperatedinthecloudcomputingenvironment.Generalinformationsecurityrequirementsstatedintheinformationsecuritypolicyatthetoplevelarefollowedbythepolicyforcloudcomputing.云服务客户的云计算信息安全策略是ISO/IEC270025.1.1中描述的特定主题策略之一。组织的信息安全策略处理其信息和业务流程。当组织使用云服务时，它可以作为云服务客户的云计算策略。组织的信息可以在云计算环境中存储和维护，业务流程可以在云计算环境中运行。云计算策略遵循最高级别信息安全策略中规定的一般信息安全要求。Incontrasttothis,theinformationsecuritypolicyforprovidingcloudservicesdealswiththecloudservicecustomers'informationandbusinessprocesses,notwiththecloudserviceprovider'sinformationandbusinessprocesses.Informationsecurityrequirementsfortheprovisionofthecloudserviceshouldmeetthoseoftheprospectivecloudservicecustomers.Asaresult,theymightnotbeconsistentwithinformationsecurityrequirementsoftheinformationandbusinessprocessesofthecloudserviceprovider.Thescopeoftheinformationsecuritypolicyisoftendefinedintermsoftheservice,butnotsolelybyorganizationalstructureorphysicallocations.与此相反，用于提供云服务的信息安全策略处理云服务客户的信息和业务流程，而不是云服务提供商的信息和业务流程。提供云服务的信息安全要求应该满足潜在云服务客户的要求。因此，它们可能不符合云服务提供商的信息和业务流程的信息安全要求。信息安全策略的范围通常根据服务来定义，而不仅仅是根据组织结构或物理位置来定义。Thereareseveralvirtualizationsecurityaspectsforcloudcomputing,includinglifecyclemanagementofvirtualinstances,storageandaccesscontrolsforvirtualizedimages,handlingofdormantorofflinevirtualinstances,snapshots,protectionofhypervisorsandsecuritycontrolsgoverninguseofself-serviceportals.云计算有几个虚拟化安全方面，包括虚拟实例的生命周期管理、虚拟化映像的存储和访问控制、休眠或离线虚拟实例的处理、快照、虚拟机管理程序保护以及管理自助服务门户使用的安全控制。5.1.2Reviewofthepoliciesforinformationsecurity5.1.2信息安全策略审查Control5.1.2andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制5.1.2和相关实施指南以及ISO/IEC27002中规定的其他信息适用。6Organizationofinformationsecurity6信息安全组织6.1Internalorganization6.1内部组织Theobjectivespecifiedinclause6.1ofISO/IEC27002applies.ISO/IEC27002第6.1条规定的目标适用。6.1.1Informationsecurityrolesandresponsibilities6.1.1信息安全角色和职责Control6.1.1andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.Thefollowingsector-specificguidancealsoapplies.控制6.1.1和相关实施指南以及ISO/IEC27002中规定的其他信息适用。以下特定业务指南也适用。CloudservicecustomerCloudserviceproviderThecloudservicecustomershouldagreewiththecloudserviceprovideronanappropriateallocationofinformationsecurityrolesandresponsibilities,andconfirmthatitcanfulfilitsallocatedrolesandresponsibilities.Theinformationsecurityrolesandresponsibilitiesofbothpartiesshouldbestatedinanagreement.Thecloudservicecustomershouldidentifyandmanageitsrelationshipwiththecustomersupportandcarefunctionofthecloudserviceprovider.Thecloudserviceprovidershouldagreeanddocumentanappropriateallocationofinformationsecurityrolesandresponsibilitieswithitscloudservicecustomers,itscloudserviceproviders,anditssuppliers.云服务客户云服务提供商云服务客户应与云服务提供商就信息安全角色和职责的适当分配达成一致，并确认其能够履行分配的角色和职责。双方的信息安全角色和责任应在协议中说明。云服务客户应识别并管理其与云服务提供商的客户支持和服务职能部门的关系。云服务提供商应与其云服务客户、云服务提供商和供应商商定并记录信息安全角色和职责的适当分配。Otherinformationforcloudservices云服务的其他信息Evenwhenresponsibilitiesaredeterminedwithinandbetweentheparties,thecloudservicecustomerisaccountableforthedecisiontousetheservice.Thatdecisionshouldbemadeaccordingtotherolesandresponsibilitiesdeterminedwithinthecloudservicecustomer'sorganization.Thecloudserviceproviderisaccountablefortheinformationsecuritystatedaspartofthecloudserviceagreement.Theinformationsecurityimplementationandprovisioningshouldbemadeaccordingtotherolesandresponsibilitiesdeterminedwithinthecloudserviceprovider'sorganization.即使在双方内部和之间确定了责任，云服务客户也要对使用服务的决策负责。该决策应根据云服务客户组织中确定的角色和职责做出。云服务提供商负责云服务协议中规定的信息安全。信息安全实施和配置应根据云服务提供商组织内确定的角色和职责进行。Ambiguityinrolesandinthedefinitionandallocationofresponsibilitiesrelatedtoissuessuchasdataownership,accesscontrol,andinfrastructuremaintenance,cangiverisetobusinessorlegaldisputes,especiallywhendealingwiththirdparties.与数据所有权、访问控制和基础设施维护等问题相关的角色以及职责定义和分配的模糊性可能会导致业务或法律纠纷，尤其是在与第三方交流时。Dataandfilesonthecloudserviceprovider'ssystemsthatarecreatedormodifiedduringtheuseofthecloudservicecanbecriticaltothesecureoperation,recoveryandcontinuityoftheservice.Theownershipofallassets,andthepartieswhohaveresponsibilitiesforoperationsassociatedwiththeseassets,suchasbackupandrecoveryoperations,shouldbedefinedanddocumented.Otherwise,thereisariskthatthecloudserviceproviderassumesthatthecloudservicecustomerperformsthesevitaltasks(orviceversa),andalossofdatacanoccur.在使用云服务期间创建或修改的云服务提供商系统上的数据和文件对于服务的安全运行、恢复和连续性至关重要。应定义并记录所有资产的所有权，以及负责与这些资产相关的操作(如备份和恢复操作)的各方。否则，云服务提供商有可能假设云服务客户执行了这些重要任务(反之亦然)，并可能发生数据丢失。6.1.2Segregationofduties6.1.2职责分离Control6.1.2andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制6.1.2和相关实施指南以及ISO/IEC27002中规定的其他信息适用。6.1.3Contactwithauthorities6.1.3与职能机构的联系Control6.1.3andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.Thefollowingsector-specificguidancealsoapplies.控制6.1.3和相关实施指南以及ISO/IEC27002中规定的其他信息适用。以下特定业务指南也适用。CloudservicecustomerCloudserviceproviderThecloudservicecustomershouldidentifytheauthoritiesrelevanttothecombinedoperationofthecloudservicecustomerandthecloudserviceprovider.Thecloudserviceprovidershouldinformthecloudservicecustomerofthegeographicallocationsofthecloudserviceprovider'sorganizationandthecountrieswherethecloudserviceprovidercanstorethecloudservicecustomerdata.云服务客户云服务提供商云服务客户应确定与云服务客户和云服务提供商的联合运营相关的权限。云服务提供商应将云服务提供商组织的地理位置以及云服务提供商可以存储云服务客户数据的国家/地区告知云服务客户。Otherinformationforcloudservices云服务的其他信息Informationaboutgeographicallocationswherethecloudservicecustomerdatacanbestored,processedortransmittedcanhelpthecloudservicecustomerindeterminingthesupervisoryauthoritiesandjurisdictions.关于云服务客户数据可以存储、处理或传输的地理位置的信息可以帮助云服务客户确定监管机构和管辖范围。6.1.4Contactwithspecialinterestgroups6.1.4与特定相关方的联系Control6.1.4andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制6.1.4和相关实施指南以及ISO/IEC27002中规定的其他信息适用。6.1.5Informationsecurityinprojectmanagement6.1.5项目管理中的信息安全Control6.1.5andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制6.1.5和相关实施指南以及ISO/IEC27002中规定的其他信息适用。6.2Mobiledevicesandteleworking6.2移动设备和远程工作Theobjectivespecifiedinclause6.2ofISO/IEC27002applies.ISO/IEC27002第6.2条规定的目标适用。6.2.1Mobiledevicepolicy6.2.1移动设备策略Control6.2.1andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制6.2.1和相关实施指南以及ISO/IEC27002中规定的其他信息适用。6.2.2Teleworking6.2.2远程工作Control6.2.2andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制6.2.2和相关实施指南以及ISO/IEC27002中规定的其他信息适用。7Humanresourcesecurity7人力资源安全7.1Priortoemployment7.1任用前Theobjectivespecifiedinclause7.1ofISO/IEC27002applies.ISO/IEC27002第7.1条规定的目标适用。7.1.1Screening7.1.1审查Control7.1.1andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制7.1.1和相关实施指南以及ISO/IEC27002中规定的其他信息适用。7.1.2Termsandconditionsofemployment7.1.2任用条款和条件Control7.1.2andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制7.1.2和相关实施指南以及ISO/IEC27002中规定的其他信息适用。7.2Duringemployment7.2任用中Theobjectivespecifiedinclause7.2ofISO/IEC27002applies.ISO/IEC27002第7.2条规定的目标适用。7.2.1Managementresponsibilities7.2.1管理责任Control7.2.1andtheassociatedimplementationguidanceandotherinformationspecifiedinISO/IEC27002apply.控制7.2.1和相关实施指南以及ISO/IEC27002中规定的其他信息适