ISO 27017
ISO/IEC27017标准建立在ISO/IEC27001云服务信息安全管理体系框架和ISO/IEC27002作为佳实践控制设置的坚实基础之上。通过获得ISO 27017认证,云服务提供商可以证明其采取了适当的信息安全措施,符合,并符合客户的需求和期望。同时,客户也可以通过查看认证证书,确认云服务提供商的信息安全水平,从而更加放心地使用云服务。
涵盖领域
1、云服务提供商的安全策略和控制;
2、云服务提供商的运营管理,包括供应链安全、合同管理、服务备份和恢复等;
3、客户数据和应用程序的安全性,包括隐私保护、网络安全、身份验证和访问控制等。
适用范围
ISO27017云服务信息安全管理体系认证适用于云服务提供商和云服务客户。
ISO27017旨在帮助推荐和实施基于云的组织的密件。这不仅与将信息存储在云中的组织有关,而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。
认证条件
1、申报企业主体需具有合法的法律地位(如营业执照);申报企业没有受到工商xingzhengchufa或所受xingzhengchufa已全部执行完毕并提供有效证据。
2、申报企业有固定的的办公场地和与申报类别匹配的业务,能接受认证机构现场审核。
3、ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的,ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系,且通过了ISO27001认证或准备同时申请ISO27001认证。
4、申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围,超出的认证范围必须先安排对其ISO27001实施专项扩大审核后,再安排ISO27017的审核。
所需材料
1) 基本资料(营业执照、行政许可(如有)、临时场所清单等);
2) 有效的ISMS 认证证书或ISMS 认证申请;
3) 云服务信息安全管理体系方针和目标;
4) 支持云服务信息安全管理体系的规程和控制措施;
5) 风险评估报告(含风险评估方法的描述);
6) 残余风险报告;
7) 风险处置计划;
8) 适用性声明;
9) 适用的法律法规的标准的清单;
10)《管理体系认证申请书》中的保密和敏感信息声明表;
11)《管理体系认证申请书》中的信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/业务连续性管理体系认证客户基本信息等。
认证流程
1、建立云服务信息安全管理体系,并通过企业内审和管理评审;
2、向认证机构提交认证申请书、手册、程序文件等资料;
3、认证机构受理后,安排审核员进行现场审核;
4、审核结束,一般会进行不符合项的整改,整改完成通过后,颁发证书。证书有效期三年,每年需年审以保持证书。
协助配合
核心内容
ISO/IEC 27017标准适用于所有类型和规模大小的组织,无论是自建的云服务还是通过购买所获得的云服务,以及云服务提供商本身,皆通过此标准的指引,强化所提供或者所使用的云服务的安全。
认证优势
7、包容性标准——在云计算环境中,ISO27017认证明确阐述了云服务客户与云服务提供商之间的确切关系,角色,权利和责任。