ISO/IEC 27017:2015 云服务信息安全管理体系认证 - 行业动态 - 内蒙古新思达科技有限公司_呼和浩特新思达_呼和浩特企业认证_呼和浩特IT咨询服务

云服务信息安全管理体系（简称“CSISMS”），以ISO/IEC 27017:2015为认证依据。ISO/IEC 27017标准是建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上，通过ISO/IEC 27017标准认证，证明其遵守国际公认的最佳实践，在云服务和更广泛的运营层面构建组织的生存力。

ISO/IEC 27017是什么？

ISO 27017云服务信息安全管理体系认证，是为云服务提供商（CSP）和云服务客户提供增强控制能力的依据，从而有助于让云服务与传统信息系统一样安全可靠。获得认证的企业，标志着其建立的安全控制措施满足云服务客户的信息安全要求，云服务信息安全管理水平处于云服务提供商前列。

ISO 27017标准允许组织致力于长期目标。该组织将拥有一个国际标准化框架来建立其云安全。在所需求的内部化之后，组织将能够减少运营和声誉风险，并朝着可持续的未来努力。

该标准广泛涵盖了以下主题：资产所有权、CSP解散时的恢复措施、具有敏感信息的资产处置、数据的隔离和存储、虚拟和物理网络的安全管理调整等。

ISO/IEC 27017 标准的核心内容

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供了加强控制。与许多其他技术相关标准不同的是，ISO/IEC 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。ISO/IEC 27017标准不仅提供了基于ISO/IEC 27001标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施以解决以下问题：

• 负责云服务提供商和云服务客户关系的人是谁

• 当合同终止时，资产的移除/归还

• 客户虚拟环境的保护和分离

• 虚拟机配置

• 与云环境相关的管理操作和程序

• 云服务客户监控云中活动

• 虚拟和云网络环境的对接

ISO/IEC 27017标准适用于所有类型和规模大小的组织，无论是自建的云服务还是通过购买所获得的云服务，以及云服务提供商本身，皆通过此标准的指引，强化所提供或者所使用的云服务的安全。

ISO27001/ISO27002与ISO27017标准的差异部分

ISO 27001/ISO 27002 标准	ISO 27017 标准额外增加的差异
A5 信息安全方针	中
A6 信息安全组织	中
A7 人力资源安全	中低
A8 资产管理	中低
A9 访问控制	高
A10 密码学	中
A11 物理和环境安全	中低
A12 操作安全	中高
A13 通信安全	中高
A14 信息系统获取、开发和维护	中
A15 供应商关系	中高
A16 信息安全事件管理	中
A17 信息安全方面业务连续性管理	低
A18 符合性	中高

ISO/IEC 27017认证适用于哪些企业

以下企业适合做此类认证：

1、以信息为生命线的行业：

1）金融行业：银行、保险、证券、基金、期货等

2）通信行业：电信、网通、移动、联通等

3）其他行业：外贸、进出口、HR、猎头、会计师事务所等

2、对信息技术依赖度高的行业：

1）钢铁、半导体、物流

2）电力、能源

3）外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入、数据处理加工等

3、工艺技术要求高、竞争对手渴望得到的：

1）医药、精细化工

2）研究机构

ISO/IEC 27017认证的条件有哪些

1、申报企业主体需具有合法的法律地位（如营业执照）；申报企业没有受到工商行政处罚或所受行政处罚已全部执行完毕并提供有效证据。

2、申报企业有固定的的办公场地和与申报类别匹配的业务，能接受认证机构现场审核。

3、ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

4、申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27017的审核。

申请ISO/IEC 27017需要提供的材料

1、法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等）复印件加盖公章。存在时，应提交分支机构的营业执照复印件加盖公章；

2、临时场所清单（如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点）；

3、至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4、关于认证活动的限制条件(如出于安全或保密等原因存在时)；

5、体系方针和目标；

6、支持管理体系的规程和控制措施；

7、风险评估报告（含风险评估方法的描述）；

8、残余风险报告。

申请ISO/IEC 27017认证的流程

1、按照ISO 27017云服务信息安全管理体系标准要求建立体系框架;

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录;

3、向认证机构递交审核申请;

4、认证机构评估费用和正式审核时间;

5、认证机构将进行预审，在正式审核前排除一些重大的缺失，同时让客户熟悉审核的评估方法、审查方针、范围和采用的程序。检查体系中遗漏和需要修改的地方;

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议;

7、如果能顺利完成审核，在确定清楚认证范围后，发放ISO 27017云服务信息安全管理体系认证证书。在满足持续审核情况下，三年有效.

申请ISO/IEC 27017认证如何配合

1、配合项目启动：前期沟通，实施计划，项目小组，资源支持；

2、配合提供认证项目、咨询、所需的资质证明及相关材料；

3、配合做好前期培训：对全员进行云服务信息安全意识培训，云服务信息安全体系实施推广培训以及必要的考核；

4、配合做好企业云服务信息安全资产价值、威胁因素、脆弱性分析与识别，选择适当的措施和方法，以实现管理风险的目的（这些内容需要懂IT的人员配合才能完成）；

5、配合咨询做好相关的培训、内审、管理评审及不合格项纠正预防及整改、记录表格的完善、文件的打印、归档；

6、协助审核认证，内部审核小组陪同协助，应对审核中的问题。

7、及时整改不符合项，正确使用认证证书。

内蒙古呼和浩特质量、环境、职业健康安全、能源认证、咨询、iso 管理体系商标高新绿色建材