ISO 27017

    ISO 27017云服务信息安全管理体系认证（CSSMS），是为云服务提供商（CSP）和云服务客户提供增强控制能力的依据，从而有助于让云服务与传统信息系统一样安全可靠。获得认证的企业，标志着其建立的安全控制措施满足云服务客户的信息安全要求，云服务信息安全管理水平处于云服务提供商前列。ISO 27017标准允许组织致力于长期目标。该组织将拥有一个化框架来建立其云安全。在所需求的内部化之后，组织将能够减少运营和声誉风险，并朝着可持续的未来努力。该标准广泛涵盖了以下主题：资产所有权、CSP解散时的恢复措施、具有敏感信息的资产处置、数据的隔离和存储、虚拟和物理网络的安全管理调整等。

ISO/IEC27017标准建立在ISO/IEC27001云服务信息安全管理体系框架和ISO/IEC27002作为佳实践控制设置的坚实基础之上。通过获得ISO 27017认证，云服务提供商可以证明其采取了适当的信息安全措施，符合，并符合客户的需求和期望。同时，客户也可以通过查看认证证书，确认云服务提供商的信息安全水平，从而更加放心地使用云服务。

涵盖领域

1、云服务提供商的安全策略和控制；

2、云服务提供商的运营管理，包括供应链安全、合同管理、服务备份和恢复等；

3、客户数据和应用程序的安全性，包括隐私保护、网络安全、身份验证和访问控制等。

适用范围

ISO27017云服务信息安全管理体系认证适用于云服务提供商和云服务客户。

ISO27017旨在帮助推荐和实施基于云的组织的密件。这不仅与将信息存储在云中的组织有关，而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。

以下企业适合做此类认证：1、以信息为生命线的行业：2、金融行业：银行、保险、证券、基金、期货等3、通信行业：电信、网通、移动、联通等4、其他行业：外贸、进出口、HR、猎头、会计师事务所等5、对信息技术依赖度高的行业：6、钢铁、半导体、物流7、电力、能源8、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入、数据处理加工等9、工艺技术要求高、竞争对手渴望得到的： 10、医药、精细化工11、研究机构等

认证条件

1、申报企业主体需具有合法的法律地位（如营业执照）；申报企业没有受到工商xingzhengchufa或所受xingzhengchufa已全部执行完毕并提供有效证据。

2、申报企业有固定的的办公场地和与申报类别匹配的业务，能接受认证机构现场审核。

3、ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

4、申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27017的审核。

所需材料

1） 基本资料（营业执照、行政许可（如有）、临时场所清单等）；

2） 有效的ISMS 认证证书或ISMS 认证申请；

3） 云服务信息安全管理体系方针和目标；

4） 支持云服务信息安全管理体系的规程和控制措施；

5） 风险评估报告（含风险评估方法的描述）；

6） 残余风险报告；

7） 风险处置计划；

8） 适用性声明；

9） 适用的法律法规的标准的清单；

10）《管理体系认证申请书》中的保密和敏感信息声明表；

11）《管理体系认证申请书》中的信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/业务连续性管理体系认证客户基本信息等。

认证流程

1、建立云服务信息安全管理体系，并通过企业内审和管理评审；

2、向认证机构提交认证申请书、手册、程序文件等资料；

3、认证机构受理后，安排审核员进行现场审核；

4、审核结束，一般会进行不符合项的整改，整改完成通过后，颁发证书。证书有效期三年，每年需年审以保持证书。

协助配合

1、配合项目启动：前期沟通，实施计划，项目小组，资源支持；2、配合提供认证项目、咨询、所需的资质证明及相关材料；3、配合做好前期培训：对全员进行云服务信息安全意识培训，云服务信息安全体系实施推广培训以及必要的考核；4、配合做好企业云服务信息安全资产价值、威胁因素、脆弱性分析与识别，选择适当的措施和方法，以实现管理风险的目的（这些内容需要懂IT的人员配合才能完成）；5、配合咨询做好相关的培训、内审、管理评审及不合格项纠正预防及整改、记录表格的完善、文件的打印、归档；6、协助审核认证，内部审核小组陪同协助，应对审核中的问题。7、及时整改不符合项，正确使用认证证书。

核心内容

ISO27017标准与ISO27001系列标准配合使用，ISO27017标准不仅提供了基于ISO27001标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施以解决以下问题：• 负责云服务提供商和云服务客户关系的人是谁• 当合同终止时，资产的移除/归还• 客户虚拟环境的保护和分离• 虚拟机配置• 与云环境相关的管理操作和程序• 云服务客户监控云中活动• 虚拟和云网络环境的对接ISO/IEC 27017标准适用于所有类型和规模大小的组织，无论是自建的云服务还是通过购买所获得的云服务，以及云服务提供商本身，皆通过此标准的指引，强化所提供或者所使用的云服务的安全。

认证优势

1、制定长期战略——遵循ISO27017认证准则，可以将声誉风险、云安全性和可持续发展相关的问题降至低。这将鼓励潜在的投资者和赞助商将您视为负责任的合作伙伴；2、提高透明度——认证将帮助该公司向利益相关者展示其在全球信息安全实践中的立足点以及满足行业标准要求的能力；3、降低声誉风险——实施基于ISO27017认证的策略，该公司将能够分析其自身的漏洞并减轻数据泄露的风险；4、赢得客户信任——通过减轻数据泄露和其他网络攻击的风险，您可以赢得利益相关者的信心并获得竞争优势；5扩展业务——在云服务相关采招遵循ISO27017认证的国际准则，成为的CSP，并在全球扩展业务；6、满足合规性——实施ISO27017认证将帮助您遵守国家和国际法则，从而减轻因数据泄露和其他网络攻击而受到法律和罚款的风险；7、包容性标准——在云计算环境中，ISO27017认证明确阐述了云服务客户与云服务提供商之间的确切关系，角色，权利和责任。

如有相关问题，详情可咨询上海湘应企业服务有限公司， 专注企业一站式咨询服务：知识产权、科技项目和各类ISO体系资质咨询服务。

 

来源｜湘应企服市场推广部

编辑｜张博