ISO 27001 认证对 Kinsta 和我们的客户意味着什么

[Dimaeiya333]

Kinsta 始终致力于保护我们的托管平台和客户网站的安全。无论是保护帐户信息、提供防止外部 DDoS 攻击的工具、检测和清除恶意软件，还是向网站所有者警告 WordPress 插件中的漏洞，数据安全都是我们的优势之一。

但托管公司可以轻松做出这样的声明。证明它是一个挑战。

检验此类声明的最佳方法是制定符合广泛认可的标准的信息安全实践和政策，然后遵守独立专家确认的这些标准。

这就是 Kinsta首次符合国际注册专业会计师协会 (AICPA) 于 2023 年制定的系统和组织控制 2 (SOC 2) 信托服务标准的方式。

然后，在完成一整年的 SOC 2 监控后，我们于 2024 年 8 月获得了国际标准组织(ISO) 和 国际电工委员会(IEC) 规定的数据安全和隐私控制认证。

本文探讨了Kinsta对 ISO 27001及其两个扩展ISO 27017和ISO 27018的 ISO/IEC 认证。

ISO 27001 标准是什么？
Kinsta 的 IT 总监 Erik Van Dijk 领导了 ISO 27001 认证工作，并宣布该框架是安全合规性的“黄金标准”。

ISO 27001 规定了保护组织内信息的机密性、完整性和可用性所需的控制措施。这就是它的意思：

保密性——确保只有授权人员才能访问信息。
完整性——确保只有授权人员才能修改信息。
可用性——确保授权人员可以在需要时访问信息。
Van Dijk 表示，ISO 27001 定义了信息安全管理系统 (ISMS) 各个组件的要求。但该系统不 bc 数据 仅仅是硬件和软件。除了这些技术控制之外，ISMS 还包括组织、物理和人员相关的控制：

组织控制——定义必须遵循的标准以及用户、设备、软件和系统的预期行为。
与人员相关的控制——向组织中的人员提供知识、教育、技能或经验，以便他们能够安全地完成工作。
物理控制——数据中心门禁卡、监控摄像头和入侵检测传感器等。
ISO 27017 和 27018 标准是什么？
Van Dijk 解释说，ISO 27017 和 27018 是 ISO 27001 的可认证扩展，对 Kinsta 尤为重要，因为它们都适用于云计算环境。

ISO 27017 规定了云计算环境的安全控制和应用指南。这些控制适用于以下任务：

合同结束后管理客户资产。
客户端虚拟环境的分离。
客户对云计算环境中的活动进行监控。
ISO 27018 重点关注云计算环境中个人身份信息的保护。这些控制措施解决了以下问题：

报告客户数据存储的地理位置时的透明度。
未经同意限制使用客户数据。
安全返回、转移和删除个人信息的安全方法。