ISO27017云服务管理体系认证全解析

ISO27017云服务安全管理体系认证是一种专门针对云服务提供商的信息安全风险和控制进行评估和认证的国际标准。

一、背景与意义

随着云计算技术的迅速发展和广泛应用，越来越多的组织选择将其业务数据和应用程序存储在云中。这给信息安全带来了新的挑战，因为云服务提供商需要确保客户的数据得到充分保护。ISO 27017正是为了应对这一挑战而制定的国际标准，旨在帮助云服务提供商实施和维护信息安全管理体系（ISMS），并为客户提供高质量的云服务。

二、标准概述

ISO 27017建立在ISO 27001信息安全管理体系框架和ISO 27002最佳实践控制设置的基础上，但专门关注云计算环境中的信息安全风险和管理控制。它提供了云服务提供商和客户之间的共同框架，以确保信息安全和隐私得到充分保护。通过获得ISO 27017认证，云服务提供商可以证明其采取了适当的信息安全措施，符合国际标准，并符合客户的需求和期望。

三、认证范围

ISO27017云服务信息安全管理体系认证适用于云服务提供商和云服务客户。它不仅与将信息存储在云中的组织有关，而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。

四、标准内容

·云服务提供商的安全策略和控制

包括制定和执行适当的安全策略、风险评估和管理等。

·云服务提供商的运营管理

涉及供应链安全、合同管理、服务备份和恢复等方面，以确保服务的连续性和可靠性。

·客户数据和应用程序的安全性

包括隐私保护、网络安全、身份验证和访问控制等，以保护客户数据和应用程序免受未经授权的访问和泄露。

五、认证条件与流程

·认证条件：

企业需具有合法的法律地位，如持有工商行政管理部门颁发的《营业执照》等有效证件。

企业需有固定的办公场地和与申报类别匹配的业务，能接受认证机构现场审核。

·认证流程：

建立云服务信息安全管理体系，并通过企业内审和管理评审。

向认证机构提交认证申请书、手册、程序文件等资料。

认证机构受理后，安排审核员进行现场审核。

审核结束，一般会进行不符合项的整改，整改完成通过后，颁发证书。证书有效期为三年，每年需年审以保持证书的有效性。

·所需资料：

1、 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等）复印件加盖公章。存在时，应提交分支机构的营业执照复印件加盖公章；

2、临时场所清单（如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点）；

3、至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4、关于认证活动的限制条件(如出于安全或保密等原因存在时)；

5、体系方针和目标；

6、支持管理体系的规程和控制措施；

7、风险评估报告（含风险评估方法的描述）；

8、残余风险报告。

广州同邦信息科技股份有限公司是一家致力于信息技术领域提供解决方案的IT技术和咨询服务提供商，专业从事企业资质认证，目前累计服务客户2000+，累计发出证书3000+，覆盖行业20+，目前公司拥有一支导师式、顾问型的创新服务专家团队，以提升客户价值为目标，帮助企业通过资质认证！