ISO27017云服務(wù)信息安全

ISO27017是保護(hù)云服務(wù)安全的國(guó)際標(biāo)準(zhǔn)，2015年12月15日正式發(fā)布是適用于云服務(wù)提供商和云服務(wù)客戶，該標(biāo)準(zhǔn)主要是為這兩種類(lèi)型客戶而設(shè)立。是專(zhuān)門(mén)針對(duì)云計(jì)算服務(wù)的信息安全控制措施實(shí)用標(biāo)準(zhǔn)，為云服務(wù)行業(yè)提供了ISO/IEC 27002的指南，與ISO/IEC 27001標(biāo)準(zhǔn)配合使用，將有效加強(qiáng)對(duì)云服務(wù)提供商及云服務(wù)客戶的管理能力。

ISO 27017是云環(huán)境下的數(shù)據(jù)保護(hù)國(guó)際標(biāo)準(zhǔn)，目標(biāo)是為云服務(wù)提供商和云服務(wù)客戶提供增強(qiáng)的控制。

ISO/IEC 27017 在為云服務(wù)提供商和云服務(wù)客戶提供指南方面是獨(dú)一無(wú)二的。此外，它還為云服務(wù)客戶提供有關(guān)預(yù)期從云服務(wù)提供商獲得內(nèi)容的實(shí)用信息。通過(guò)確保客戶了解云中的共同職責(zé)，他們可以直接從 ISO/IEC 27017 中受益。ISO27017 是基于ISO27002延伸的標(biāo)準(zhǔn)，是針對(duì)云服務(wù)的提供和使用給出了信息安全控制的要求。

ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云端的指導(dǎo)方針，而且還介紹了7個(gè)全新云控制以解決以下問(wèn)題：

1負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰(shuí)2?當(dāng)合同終止時(shí)，資產(chǎn)的移除/歸還3客戶虛擬環(huán)境的保護(hù)和分離4虛擬機(jī)配置5與云環(huán)境相關(guān)的管理操作和程序6 云客戶監(jiān)控云中活動(dòng)7?虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接

認(rèn)證收益

提升企業(yè)品牌形象

向公眾和外部客戶展示信息安全管理水平，尤其是云服務(wù)方面的信息安全水平。能向外部證明自身管理能力符合相關(guān)信息安全標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求體現(xiàn)企業(yè)較于同業(yè)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。

提高信息安全水平

按照PDCA模型建立公有云服務(wù)安全管理自我約束機(jī)制，有助于企業(yè)識(shí)別公有云隱私安全風(fēng)險(xiǎn)并加改進(jìn)規(guī)避，減少安全隱患，降低潛在安全事件發(fā)生給企業(yè)帶來(lái)的損失，提升員工信息安全意識(shí)。

滿足市場(chǎng)準(zhǔn)入需求

各類(lèi)體系認(rèn)證證書(shū)是IT行業(yè)招投標(biāo)的敲門(mén)磚，不同證書(shū)在不同的投標(biāo)標(biāo)的會(huì)有不同的分?jǐn)?shù)占比。部分項(xiàng)目標(biāo)的甚至明確要求ISO27017云服務(wù)信息安全體系證書(shū)作為準(zhǔn)入門(mén)檻。

獲取政府財(cái)務(wù)支持

為響應(yīng)國(guó)家相關(guān)行業(yè)政策，推進(jìn)區(qū)域企業(yè)高質(zhì)量發(fā)展鼓勵(lì)企業(yè)提升自身信息安全管理能力，各地主管部門(mén)對(duì)本地區(qū)通過(guò)第三方認(rèn)證的企業(yè)有不同的財(cái)務(wù)補(bǔ)貼政策。

申報(bào)流程

資料準(zhǔn)備階段
進(jìn)行企業(yè)現(xiàn)狀差距分析
收集認(rèn)證所需基礎(chǔ)材料
編制證書(shū)申報(bào)全套文件
咨詢輔導(dǎo)貫標(biāo)
專(zhuān)業(yè)咨詢團(tuán)隊(duì)全程輔導(dǎo)
體系運(yùn)行過(guò)程持續(xù)跟蹤
審核要點(diǎn)難點(diǎn)講解分析
認(rèn)證申請(qǐng)受理
全程協(xié)助企業(yè)申請(qǐng)證書(shū)
協(xié)助企業(yè)選擇合適機(jī)構(gòu)
協(xié)調(diào)認(rèn)證機(jī)構(gòu)審核檔期
現(xiàn)場(chǎng)審核發(fā)證
資深專(zhuān)家全程陪同審核
不符合項(xiàng)及時(shí)改進(jìn)關(guān)閉
持續(xù)跟進(jìn)證書(shū)申報(bào)寄送
證書(shū)年審維持
合理規(guī)劃年度審核時(shí)間
全程跟進(jìn)咨詢審核過(guò)程
免費(fèi)提供專(zhuān)業(yè)認(rèn)證建議

申報(bào)條件

申報(bào)企業(yè)主體需具有合法的法律地位，能提供如營(yíng)業(yè)執(zhí)照等有效的法律地位證明文件；申報(bào)企業(yè)沒(méi)有受到工商行政處罰，或所受行政處罰已全部執(zhí)行完畢并提供有效證據(jù)。
申報(bào)企業(yè)有固定的辦公場(chǎng)地和與申報(bào)類(lèi)別匹配的業(yè)務(wù)，能接受認(rèn)證機(jī)構(gòu)現(xiàn)場(chǎng)評(píng)審。
ISO27017認(rèn)證是在ISO27001信息安全管理體系的基礎(chǔ)上建立、實(shí)施和擴(kuò)展的，ISO27001是ISO27017認(rèn)證的基礎(chǔ)和前提條件。申請(qǐng)ISO27017認(rèn)證的組織應(yīng)已經(jīng)建立信息安全管理體系，且通過(guò)了ISO27001認(rèn)證或準(zhǔn)備同時(shí)申請(qǐng)ISO27001認(rèn)證。
申請(qǐng)的ISO27017認(rèn)證范圍不能大于組織的ISO27001覆蓋范圍，超出的認(rèn)證范圍必須先安排對(duì)其ISO27001實(shí)施專(zhuān)項(xiàng)擴(kuò)大審核后，再安排ISO27017的審核。