【英语版】国际标准 ISO/IEC 27017:2015 EN Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services 信息技术——安全技术——基于ISO/IEC 27002的云服务信息安全控制实践.pdf

ISO/IEC27017:2015是一个信息技术安全技术标准，它为基于ISO/IEC27002的信息安全控制提供了实践指南，以适用于云服务。该标准主要涵盖了云服务的安全性要求和最佳实践，包括数据保护、访问控制、身份管理、通信和设备安全等方面。下面是对该标准的详细解释：

1.数据保护：该标准要求云服务提供商采取适当的数据保护措施，以确保数据的机密性、完整性和可用性。这包括加密存储和传输数据、限制对数据的访问权限、定期备份数据等。

2.访问控制：该标准要求云服务提供商实施严格的访问控制策略，以确保只有经过授权的用户能够访问和操作数据。这包括用户身份验证、授权机制、访问日志记录等。

3.身份管理：该标准要求云服务提供商对用户身份进行管理和验证，以确保只有真实、合法的人员能够使用云服务。这包括用户账户创建、密码策略、身份验证机制等。

4.通信安全：该标准要求云服务提供商确保通信的安全性，包括加密通信通道、防止中间人攻击等。

5.设备安全：该标准要求云服务提供商确保用户设备的安全性，包括设备加密、防止恶意软件攻击等。

ISO/IEC27017:2015为云服务提供商提供了一个全面的信息安全控制指南，以确保用户数据的安全性和隐私性。该标准不仅适用于个人用户，也适用于企业和其他组织，以确保他们在云环境中安全地存储和传输数据。