ISO27017云服務(wù)信息安全管理體系

備注：本文檔僅用于學(xué)習知識傳播，如有侵權請聯(lián)系我們刪除!

體系概述

安全是云客戶(hù)擔憂(yōu)的一大問(wèn)題,盡管云有著(zhù)出色的靈活性和可拓展性,但安全問(wèn)題始終是組織在選擇使用云服務(wù)過(guò)程中為何猶豫不決的原因之一。云客戶(hù)主要的擔憂(yōu)在于云服務(wù)供應商(CSP)是否能夠認真對待并且備充分重視客戶(hù)數據。

ISO/IEC 27017標準與ISO/IEC 27001系列標準配合使用,為云服務(wù)提供商和云服務(wù)客戶(hù)提供了加強控制。

ISO/IEC 27017標準闡明了云服務(wù)提供商和云服務(wù)客戶(hù)雙方在幫助確保云服務(wù)安全可靠方面所扮演的角色和所承擔的責任。ISO/IEC 27017標準不僅提供了基于ISO/IEC 27002標準中多個(gè)控制措施的針對云服務(wù)的特殊要求,還介紹了7個(gè)全新的云服務(wù)控制措施。

通過(guò)ISO27017的認證，可以有效地保護數據,降低數據泄露以及違反法律法規帶來(lái)的風(fēng)險和負面影響,增強客戶(hù)對企業(yè)的信任。ISO27001因為是最基礎的規范,所以在進(jìn)行ISO27017之前,必須先經(jīng)過(guò)基本的ISO27001認證。ISO27017認證也有可能會(huì )與1SO27001認證審核一并進(jìn)行。

體系作用

1、提升信任——讓您的客戶(hù)和利益相關(guān)者對其數據和信息的安全性更加放心。

2、競爭優(yōu)勢——展示對數據保護的穩健控制。

3、品牌聲譽(yù)——降低因數據泄露引發(fā)的負面宣傳風(fēng)險。

4、防止罰款——確保遵守當地法規，降低對數據泄露的罰款風(fēng)險。

5、企業(yè)發(fā)展——提供覆蓋不同國家的通用指導方針，為在全球范圍內開(kāi)展業(yè)務(wù)和獲得作為首選供應商的機會(huì )提供便利性。

認證條件

1、申請認證的組織應建立符合ISO 27017云服務(wù)安全管理體系標準要求的文件化信息；
2、在申請認證之前應完成內部審核和管理評審，并保證體系有效、充分運行三個(gè)月以上；
3、組織應向認證機構提供業(yè)務(wù)連續性管理體系運行的充分信息，對于多現場(chǎng)應說(shuō)明各現場(chǎng)的認證范圍、地址及人員分布等情況，認證機構將以抽樣的方式對多現場(chǎng)進(jìn)行審核。

適用行業(yè)

ISO27017認證適用于云服務(wù)提供商和云服務(wù)客戶(hù)。

注意事項

影響項目?jì)r(jià)格的因素有：

1、證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督；
2、當組織的云服務(wù)安全管理體系出現變化，或出現影響云服務(wù)安全管理體系符合性的重大變動(dòng)時(shí)，應及時(shí)通知認證機構；

2、認證機構將視情況進(jìn)行監督審核、換審或復審以保持證書(shū)的有效性。

認證階段

第一階段審核，主要進(jìn)行文件審核并確認第二階段審核準備的充分性；

第二階段審核，主要對體系的符合性和有效性進(jìn)行評價(jià)，作出現場(chǎng)審核的推薦結論。