ISO27017 云服务信息安全管理体系介绍

     由于云服务所具备的灵活性、连续性以及可扩展性等诸多优势，越来越多的企业将其业务部署在云上，期望借助云服务来驱动业务实现成功。与此同时，出于对安全的担忧，许多组织对云服务的安全性仍顾虑重重。

      ISO 27017是一项guojibiaozhun，旨在帮助云服务提供商实施和维护信息安全管理体系(ISMS)，并为客户提供高质量的云服务。该标准建立在ISO 27001基础上，并专门关注云计算环境中的信息安全风险和管理控制。它提供了云服务提供商和客户之间的共同框架，以确保信息安全和隐私得到充分保护。

      通过获得ISO 27017认证，云服务提供商可以证明其采取了适当的信息安全措施，符合guojibiaozhun，并符合客户的需求和期望。同时，客户也可以通过查看认证证书，确认云服务提供商的信息安全水平，从而更加放心地使用云服务。

01体系简介

 ISO27017云服务信息安全管理体系认证是一种基于ISO 27001标准的认证，专门针对云服务提供商的信息安全风险和控制进行评估和认证。该认证旨在帮助云服务提供商实施和维护信息安全管理体系(ISMS)，并确保客户数据和应用程序在云中得到充分保护。

ISO 27017标准涵盖了以下领域：

1、云服务提供商的安全策略和控制；

2、云服务提供商的运营管理，包括供应链安全、合同管理、服务备份和恢复等；

3、客户数据和应用程序的安全性，包括隐私保护、网络安全、身份验证和访问控制等。

02认证对象

1、ISO 27017强调了各种公司与其客户之间进行通信的重要性，以开发合适的安全管理流程。另外，ISO 27017规定了客户与云提供商之间的关系。该标准可以帮助云提供商识别重要的安全方面，以便确定合适的合作伙伴。以下企业适合做此类认证：

2、以信息为生命线的行业：

  1）金融行业：银行、保险、证券、基金、期货等

  2）通信行业：电信、网通、移动、联通等

  3）皮包公司：外贸、进出口、HR、猎头、会计师事务所等

3、对信息技术依赖度高的行业：

  1）钢铁、半导体、物流

  2）电力、能源

  3）外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

4、工艺技术要求高、竞争对手渴望得到的：

  1）医药、精细化工

  2）研究机构

03认证意义

提高客户信任度和满意度

ISO 27017认证是国际公认的信息安全标准之一，获得该认证可证明企业在云服务提供方面符合guojibiaozhun和zuijia实践，并有能力保护客户数据和隐私。

增强企业品牌形象

ISO 27017认证可以为企业树立良好的品牌形象，向客户和伙伴证明企业对信息安全的重视程度和承诺。

提高企业竞争力

安全性已成为云服务提供商选择的关键因素之一。获得ISO 27017认证可以帮助企业与竞争对手区别开来，并为企业赢得更多客户。

减少风险和成本

ISO 27017认证可以帮助企业识别和管理云服务中的信息安全风险，减少遭受安全漏洞和攻击的可能性，从而减少相关的成本和损失。

符合法律法规和合同要求

许多行业和地区的法律法规和标准要求企业采取特定的信息安全措施。获得ISO 27017认证可以帮助企业满足这些要求，并避免违反相关法律法规和合同要求。

投标运用加分

市场竞争招投标的需要，在投标中ISO27017证书可以帮助企业增加1-3分。

04ISO27017申请条件

申请ISO 27017认证的基本条件：

1、 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。

 2、申请方的云服务信息安全管理体系已按ISO 27017云服务信息安全管理体系标准的要求建立，并实施运行3个月以上。

 3、至少完成一次云服务安全影响评估、内部审核，并进行管理评审。

4、云服务信息安全管理体系运行期间及建立体系前的一年内未受到主管部门xingzhengchufa。

5、企业受到xingzhengchufa，已经处理掉了，没有暂停营业。

6、申请范围不超出资质许可范围、不超出认证机构的业务范围。

7、无违规转机构、无违法、无失信。

8、申报人数与实际人数相差不超出20%。

9、提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

申请ISO 27017认证所需提供的材料：

1、 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等）复印件加盖公章。存在时，应提交分支机构的营业执照复印件加盖公章；

2、临时场所清单（如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点）；

3、至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4、关于认证活动的限制条件(如出于安全或保密等原因存在时)；

5、体系方针和目标；

6、支持管理体系的规程和控制措施；

7、风险评估报告（含风险评估方法的描述）；

8、残余风险报告。

05认证流程

1、建立云服务信息安全管理体系，并通过企业内审和管理评审；

2、向认证机构提交认证申请书、手册、程序文件等资料；

3、认证机构受理后，安排审核员进行现场审核；

4、审核结束，一般会进行不符合项的整改，整改完成通过后，颁发证书。证书有效期三年，每年需年审以保持证书。

06企业需要怎么配合ISO27017认证？

1、配合项目启动：前期沟通，实施计划，项目小组，资源支持；

2、配合提供认证项目、咨询、所需的资质证明及相关材料；

3、配合做好前期培训：对全员进行云服务信息安全意识培训，云服务信息安全体系实施推广培训以及必要的考核；

4、配合做好企业云服务信息安全资产价值、威胁因素、脆弱性分析与识别，选择适当的措施和方法，以实现管理风险的目的（这些内容需要懂IT的人员配合才能完成）；

5、配合咨询做好相关的培训、内审、管理评审及不合格项纠正预防及整改、记录表格的完善、文件的打印、归档；

6、协助审核认证，内部审核小组陪同协助，应对审核中的问题。

7、及时整改不符合项，正确使用认证证书。