2.1 KiB
2.1 KiB
title, type, tags, date
| title | type | tags | date | |||
|---|---|---|---|---|---|---|
| ISO 27001 | entity |
|
2025-03-02 |
ISO 27001
ISO 27001(ISO/IEC 27001)是国际公认的信息安全管理体系(ISMS)标准,由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布。
Overview
ISO 27001 是信息安全领域最权威的管理体系认证之一,云服务商普遍通过该认证以证明其安全能力。
Key Requirements
- 信息资产清单:识别和分类所有信息资产
- 风险评估:系统性地识别、分析和评估信息安全风险
- 控制措施:从 114 项控制措施中选择适用的控制
- 持续改进:PDCA(Plan-Do-Check-Act)循环
- 管理承诺:领导层对信息安全的承诺和支持
Control Domains (14 Domains)
- Information Security Policies
- Organization of Information Security
- Human Resource Security
- Asset Management
- Access Control
- Cryptography
- Physical and Environmental Security
- Operations Security
- Communications Security
- System Acquisition, Development and Maintenance
- Supplier Relationships
- Information Security Incident Management
- Business Continuity Management
- Compliance
Cloud Context
主流云服务商(AWS、Azure、Google Cloud)均通过了 ISO 27001 认证,作为其安全成熟度的核心证明:
- AWS: ISO 27001, 27017, 27018 认证
- Azure: SOC 1/2/3, ISO 27001, HIPAA, FedRAMP
- Google Cloud: ISO 27001, ISO 27017, ISO 27018, SOC 2/3
Relevance to Cloud Myths
ISO 27001 认证是反驳"云不安全"误解的关键证据:
- 云服务商通过 ISO 27001 认证 = 其安全管理体系达到国际标准
- 传统本地部署往往缺乏同等级别的安全投入和认证