ISO27017云服务信息安全控制管理体系认证
VX/MP:18221886113
1. 什么是ISO27017
ISO27017-信息技术-安全技术-基于ISO27002的云服务信息安全控制的实用规则,它是基于ISO27002延伸的标准。主要目的在于提供云端服务厂商一个云端建置与维运的安全规范,在云端对于个人隐私数据的产生、储存、管理、通知、消除、加密、传输等处理。ISO27017标准不仅提供了ISO27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
[1] 负责云服务提供商和云客户之间关系的人是谁
[2] 当合同终止时,资产的移除/归还
[3] 客户虚拟环境的保护和分离
[4] 虚拟机配置
[5] 与云环境相关的管理操作和程序
[6] 云客户监控云中活动
[7] 虚拟和云网络环境的对接
ISO27017与ISO27002主要的差异在于:ISO 27017额外规范云端安全的建置与维护。
ISO27017认证的方式有可能会与ISO 27001认证审核一并进行。
2. 为什么要申请ISO27017
由于云服务所具备的灵活性、连续性以及可扩展性等诸多优势,越来越多的企业将其业务部署在云上,期望借助云服务来驱动业务实现成功。与此同时,出于对安全的担忧,许多组织对云服务的安全性仍顾虑重重。ISO27017、ISO27018标准与ISO27001系列标准配合使用,能够为云服务提供商和云服务客户提供全球公认的安全控制。
3. ISO27017认证的好处
[2] 提供竞争优势——展示对数据保护的稳健控制。
[3] 保护品牌声誉——降低因数据泄露引发的负面宣传风险。
[4] 防止罚款——确保遵守当地法规,降低对数据泄露的罚款风险。
[5] 助力企业发展——提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。
4. ISO27017认证的申请流程
申请认证的组织应建立符合ISO27017:2015标准要求的服务管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;组织应向我司提供服务管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况。
认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,做出现场审核的推荐结论。
证书有效期3年,获得认证后每年进行一次监督。
