OVH با ايزو ۲۷۰۱۷ همسو است

[ironline724]

OVH با ايزو ۲۷۰۱۷ همسو است

OVH يك سري از بهترين تكنيك ها را همسو با استاندارد ايزو ۲۷۰۱۷ به طرفداري از امنيت ابري بكار گرفته است. اين استاندارد بين المللي بهترين تكنيك هاي امنيتي را براي تامين كننده هاي امنيت ابري مشخص مي كند. جولين لوارد، كه در مورد مطابقت ايزو ۲۷۰۱۷ با زيرساخت هاي OVH فعاليت مي كند، در مورد اين رويكرد و اينكه چگونه همه افراد گروه را منتفع مي كند، صحبت مي كند.

ايزو ۲۷۰۱۷ چيست؟

ISO/IEC 27017 يك استاندارد بين المللي در مورد سرويس هاي ابري مي باشد. اين استاندارد همراستا با استاندارد ايزو ۲۷۰۰۲(۱) مي باشد كه بهترين راهكارهاي امنيتي براي سرويس هاي ابري را مشخص كرده و تقويت مي كند. اين استاندارد مشخصه ها را براي هر مولفه مرتبط با هر سرويس تشريح مي كند. اگرچه اين فرماليزاسيون (رسمي كردن) اتحاد و هماهنگ شدن سريع متخصصان امنيت و كيفيت را امكان پذير مي سازد سايرين ممكن است در فهم و درك آن با مشكل مواجه شوند.

ايزو ۲۷۰۱۷ نه تنها بر روي تامين كننده ها متمركز مي شود ليكن در واقع، در مورد امنيت ابري به عنوان يك كل، جنبه فكري مشتري را نيز مدنظر قرار مي دهد. اين شرايط لازم، مكمل يكديگرند و استاندارد سازيِ ارتباط بين مشتري و تامين كننده امنيت ابري را امكان پذير مي سازند.

برخي از مشتريان ما از ما مي پرسند كه آيا ما همسو با ايزو ۲۷۰۱۷ و ۲۷۰۱۸ هستيم. مي توانيد اطلاعات بيشتري به ما بدهيد؟ ارتباط بين ايزو ۲۷۰۱۷ و ۲۷۰۱۸ چيست؟

ايزو ۲۷۰۱۸ استانداردي براي كمپاني هاي فروش لوازم جانبي كامپيوتر مي باشد كه داده هاي شخصي را مديريت مي كنند. اين استاندارد نيز مشابه با استاندارد ۲۷۰۱۷ طراحي شده و تمهيدات امنيتي ايزو ۲۷۰۰۲ (۱) را در چارچوب مديريت داده هاي شخصي تكميل مي كند. OVH حفاظت از داده هاي مشتري را به صورت بسيار جدي و بويژه داده هاي شخصي، همان طور كه در مقاله اي كه در ابتداي سال ۲۰۱۶ منتشر كرديم، توضيح داديم، برعهده مي گيرد. تمهيدات امنيتي ايزو ۲۷۰۱۸ بر روي سرويس هاي كاربردي (SaaS) متمركز مي شوند كه داده هاي شخصي را مديريت مي كنند و بنابراين ارتباط كمي با سرويس هاي زيرساختي ما دارند.
ايزو ۲۷۰۰۱ اكنون ارتباط رسمي بين شركت گواهي شده و مشتريان آن را در برمي گيرد، چه چيز ديگري ايزو ۲۷۰۱۷ ارائه مي كند؟

در سال ۲۰۱۳ ما اولين گواهيمان، ايزو ۲۷۰۰۱، را بدست آورديم كه اهميت ارتباط بين شركت ها و مشتريان آن ها براي تعيين فرايندهاي مديريتي امنيتي مناسب را برجسته تر كرد. اين استاندارد عمومي است كه قابل اجرا براي هر نوع سازماني هست. در ايزو ۲۷۰۱۷ ارتباط بين مشتري و ارائه دهندگان سرويس ابري به دقت سازمان دهي شده اند. اين استاندارد آنچه را كه مشتري بايستي در مورد بخش ارائه دهنده و اينكه چه اطلاعاتي را ارائه دهنده بايستي با مشتري رد و بدل كند، تشريح مي كند. ارتباط بين مشتري و ارائه دهنده ابري كه همراستا با ايزو ۲۷۰۱۷ است اين اطمينان را مي دهد كه همه موارد امنيتي مهم در داخل حساب كاربري در مديريت سرويس در نظر گرفته مي شود.

مي توانيم بگوييم كه OVH توسط ايزو ۲۷۰۱۷ تاييد شده است؟

براي اين استاندارد گواهي وجود ندارد. در واقع كاتالوگي از بهترين روش هاي اجرا مي باشد كه شامل پيشنهادهايي براي بهبود امنيت سرويس مي شود و مرجعي براي مطابقت نيست. به طور طبيعي اين پيشنهادها به شكل خيلي واضحي در يك سيستم مديريت تاييد شده با ايزو ۲۷۰۰۱ مطابقت مي كنند. ما تحت بهبود مستمر سيستم مديريتيمان، تغييرات طرح ريزي شده بوسيله ايزو ۲۷۰۱۷ را در داخل تمهيدات امنيتيمان اجرا نموده ايم.

چرا ارتباط بين مشتريان و ارائه دهنگان سرويس ابري بسيار مهم است؟
مشتريان ما بواسطه ميزباني سيستم هاي اطلاعاتيشان بر روي زير ساخت هايمان، در مورد اطلاعاتشان به ما اعتماد مي كنند، حتي گاهي در مورد اطلاعات بسيار حساس. آن ها مي توانند به صورت قانوني از ما اين انتظار را داشته باشند كه اطلاعات كافي در مورد زيرساخت ها و روش هاي ما ارائه شود تا اطمينان حاصل كنند كه يك سطح امنيتي كافي در نظر گرفته شده است. با اين وجود، ما بايستي اين اطلاعات را براي اجتناب از هر ريسكي كه شيوه هاي امنيتي ما را به مخاطره اندازد، تحت كنترل داشته باشيم. يافتن يك تعادل بين اين دو هدف پيچيده است. گواهي هاي ما به ما كمك مي كند تا امكان كشف واقعي و صحيح را داشته باشيم.

چه اطلاعاتي مورد توجه قرار مي گيرد؟

همه اطلاعاتي كه مشتري براي بدست آوردن اطمينان مجدد در مورد پوشش ريسك نياز دارد، مورد توجه قرار مي گيرد. ارائه دهنده ابري بايستي مشتريانش را در مورد ساختار، تكنولوژي هاي مورد استفاده و اقدامات موردنظر و ويژگي هاي موجود و چارچوب استفاده آن آگاه سازد. براي مثال، ارائه دهندگان بايستي فناوري هاي رمزداركردن كه مورد استفاده قرار مي گيرند و موقعيت جغرافيايي ديتاسنترها را مشخص كنند.

ارائه دهنده بايستي همچنين نقش مشتري را در پردازش عملياتي از قبيل حفظ آپديت ها و رويدادها تعيين نمايد. در كلي ترين مفهوم، اين استاندارد بر اهميت تعيين بدون ابهام نقش ها و مسئوليت هاي مشتري و ارائه دهنده در مورد موارد مرتبط با امنيت تاكيد مي كند.

اين استاندارد به طور اختصاصي در مورد OVH چه تغييري را ايجاد مي كند؟

براساس اصول فني، تغييرات پر از حرف و حديث هستند، سيستم هاي مديريتي ما تحت چارچوب سرويس ابري شكل گرفته اند و در حال حاضر در بيشتر قسمت ها، اقدامات مورد نظر با ايزو ۲۷۰۱۷ همسو هستند. بعلاوه، ما اكنون با مشتري هايمان براي كمك كردن به آن ها در جهت درك ساختارها و اقدامات امنيتي مورد نظر ما در ارتباط هستيم. ارتباط از طريق اسناد قراردادي، وبسايت ما، اسناد ارسال شده بعد از امضاي يك توافق محرمانه و از طريق حمايت تكنيكي و تجاري ما ايجاد شده است. اين فرايند بسيار ارزشمندي است كه ما به صورت پيوسته در حالت بهبود آن هستيم. در اين چارچوب، ما با همه پيشنهادهاي مربوط به استاندارد همسو هستيم.
و براي مشتري؟

مطالعه استاندارد، اين اجازه را به خريدار سرويس ابري مي دهد كه پوينت هاي مهم را شناسايي كند و به آن ها براي انتخاب شركا كمك مي كند. CIOs (افسران ارشد اطلاعات) انعطاف پذيري بيشتر مي خواهند و خواهان اين هستند كه بتوانند به مناسب ترين كمپاني فروشنده براي هر موردي كه استفاده مي كنند، درخواست بدهند. بنابراين فراهم كردن سرويس هاي اطلاعاتي به طور طبيعي از مدل زنجيره اي به مدل شبكه اي تكامل مي يابد. بالارفتن روابط تجاري و تكنيكي يك پيچيدگي جديد را مطرح مي كند كه ما بايستي فرابگيريم تا مديريت كنيم.

ايزو ۲۷۰۱۷ ارتباط بين مشتريان و ارائه دهنده هاي سرويس ابري را با استفاده از ايجاد يك چارچوب و تسهيل مديريت، استانداردسازي مي كند. كاربران سرويس هاي OVH، از طريق وفق دادن با ايزو ۲۷۰۱۷،از تضمین افزایش پادمان امنیتی

بهره مند مي شوند. در ماه هاي آينده، ما برنامه داريم كه تعداد گواهي هايي دريافتيمان را افزايش دهيم، بخصوص گواهي اي كه به OVH اجازه مي دهد تا داده هاي بهداشت عمومي را ميزباني نمايد.

ISO/CEI 27002 از يك دسته از ۱۱۳ اقدام با عنوان “بهترين شيوه هاي اجرا” تشكيل شده كه هدف از آن اين است كه بوسيله متصديان آن ها براي عملي كردن يا حفظ كردن سيستم هاي مديريت امنيت اطلاعات (ISMS) مورد استفاده قرار گيرند. امنيت اطلاعات مطابق استاندارد به عنوان “حفاظت از محرمانه بودن، يكپارچگي و دسترس پذيري” تعريف مي شود.
منبع : گروه وب پویان – ارائه دهنده خدمات [url=webpouyan.org]سرور مجازی[/url]