ISO27017 云服务信息安全管理体系

ISO27017是什么

云服务信息安全管理体系是信息安全管理体系在云服务上的应用和加强，该管理体系在信息安全管理体系的基础上，结合云计算环境和云服务的特点，针对云服务的风险环境提供了适用于各类云服务提供者和云服务客户的安全控制和安全控制实施指南，从而帮助云服务提供者提升服务的安全性，更好的为客户提供安全可靠的服务。帮助云服务客户了解云环境下可能面临的风险和应对措施，帮助云服务客户将信息安全管理延伸到使用的云服务。云服务信息安全管理体系的认证依据为ISO/IEC27017《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实践指南》和GB/T22080/ISO/IEC27001《信息技术 安全技术 信息安全管理体系 要求》。

ISO27017认证适用范围

1、以信息为生命线的行业：

• 金融行业：银行、保险、证券、基金、期货等。
• 通信行业：电信、网通、移动、联通等。
• 其他行业：外贸、进出口、HR、猎头、会计师事务所等。

2、对信息技术依赖度高的行业：

• 钢铁、半导体、物流、。
• 电力、能源。
• 外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入、数据处理加工等。

3、工艺技术要求高、竞争对手渴望得到的：

• 医药、精细化工。
• 研究机构。

ISO27017认证的优势
1、提高客户信任度和满意度国际公认的信息安全标准之一，获得该认证可证明企业在云服务提供方面符合guojibiaozhun和zuijia实践，并有能力保护客户数据和隐私。2、增强企业品牌形象可以为企业树立良好的品牌形象，向客户和伙伴证明企业对信息安全的重视程度和承诺。3、提高企业竞争力安全性已成为云服务提供商选择的关键因素之一。可帮企业与之竞争对手区别开来，为企业赢得更多客户。4、减少风险和成本可以帮助企业识别和管理云服务中的信息安全风险，减少遭受安全漏洞和攻击的可能性，从而减少相关的成本和损失。5、符合法律法规和合同要求许多行业和地区的法律法规和标准要求企业采取特定的信息安全措施。可以帮助企业满足这些要求，并避免违反相关法律法规和合同要求。6、投标加分市场竞争的需要。

ISO27017认证办理流程
1、按照ISO 27017云服务信息安全管理体系标准要求建立体系框架；

2、体系建立后，需要运行一段时间，Zui少三个月，产生三个月的运行记录；

3、向认证机构递交审核申请；

4、认证机构评估费用和正式审核时间；

5、认证机构将进行预审，在正式审核前排除一些重大的缺失，同时让客户熟悉审核的评估方法、审查方针、范围和采用的程序。检查体系中遗漏和需要修改的地方；

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议；

7、如果能顺利完成审核，在确定清楚认证范围后，发放ISO 27017云服务信息安全管理体系认证证书。在满足持续审核情况下，三年有效。

ISO27017认证申请材料

1、法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等）复印件加盖公章。存在时，应提交分支机构的营业执照复印件加盖公章；

2、临时场所清单（如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点）；

3、至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4、关于认证活动的限制条件(如出于安全或保密等原因存在时)；

5、体系方针和目标；

6、支持管理体系的规程和控制措施；

7、风险评估报告（含风险评估方法的描述）；

8、残余风险报告。