一、ISO云服務(wù)信息安全管理體系的由來

由于云服務(wù)所具備的靈活性、連續(xù)性以及可擴(kuò)展性等諸多優(yōu)勢，越來越多的企業(yè)將其業(yè)務(wù)部署在云上，期望借助云服務(wù)來驅(qū)動業(yè)務(wù)實(shí)現(xiàn)成功。與此同時，出于對安全的擔(dān)憂，許多組織對云服務(wù)的安全性仍顧慮重重。

ISO27017是保護(hù)云服務(wù)安全的國際標(biāo)準(zhǔn)，2015年12月15日正式發(fā)布是適用于云服務(wù)提供商和云服務(wù)客戶，該標(biāo)準(zhǔn)主要是為這兩種類型客戶而設(shè)立。是專門針對云計算服務(wù)的信息安全控制措施實(shí)用標(biāo)準(zhǔn)，為云服務(wù)行業(yè)提供了ISO/IEC 27002的指南，與ISO/IEC 27001標(biāo)準(zhǔn)配合使用，將有效加強(qiáng)對云服務(wù)提供商及云服務(wù)客戶的管理能力。

ISO/IEC 27017標(biāo)準(zhǔn)與ISO/IEC 27001系列標(biāo)準(zhǔn)配合使用，為云服務(wù)提供商和云服務(wù)客戶提供了加強(qiáng)控制。ISO/IEC 27017標(biāo)準(zhǔn)闡明了云服務(wù)提供商和云服務(wù)客戶雙方在幫助確保云服務(wù)安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。

ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了基于ISO/IEC 27002標(biāo)準(zhǔn)中多個控制措施的針對云服務(wù)的特殊要求，還介紹了7個全新的云服務(wù)控制措施。

通過ISO27017的認(rèn)證，可以有效地保護(hù)數(shù)據(jù)，降低數(shù)據(jù)泄露以及違反法律法規(guī)帶來的風(fēng)險和負(fù)面影響，增強(qiáng)客戶對企業(yè)的信任。ISO27001因為是最基礎(chǔ)的規(guī)范，所以在進(jìn)行ISO27017之前，必須先經(jīng)過基本的ISO27001認(rèn)證。ISO27017認(rèn)證也有可能會與1SO27001認(rèn)證審核一并進(jìn)行。

二、申請ISO27017云服務(wù)信息安全管理體系的意義

1、提升客戶信任度——讓您的客戶和利益相關(guān)者對其數(shù)據(jù)和信息的安全性更加放心。

2、提升競爭力——展示對數(shù)據(jù)保護(hù)的穩(wěn)健控制。

3、品牌聲譽(yù)——降低因數(shù)據(jù)泄露引發(fā)的負(fù)面宣傳風(fēng)險。

4、提升合規(guī)性降低風(fēng)險——確保遵守當(dāng)?shù)胤ㄒ?guī)，降低對數(shù)據(jù)泄露的風(fēng)險。

5、企業(yè)發(fā)展——提供覆蓋不同國家的通用指導(dǎo)方針，為在全球范圍內(nèi)開展業(yè)務(wù)和獲得作為首選供應(yīng)商的機(jī)會提供便利性。

6、投標(biāo)運(yùn)用加分——市場競爭的需要。

三、申請ISO27017云服務(wù)信息安全管理體系的基本條件

1、具有獨(dú)立法人資格，公司成立3個月以上；

2、組織具有合法地位的證明，范圍若有資質(zhì)要求，提供資質(zhì)；

3、至少進(jìn)行一次內(nèi)部評審，并進(jìn)行了管理評審；

4、范圍涉及在建項目的，需提供再建項目相關(guān)資料。

四、申請ISO27017云服務(wù)信息安全管理體系的主要流程

1、編寫體系文件、記錄；

2、依據(jù)提供的資料清單，準(zhǔn)備項目實(shí)施、運(yùn)營文檔；

3、識別信息資產(chǎn)，編寫風(fēng)險評估資料；

4、檢查資料完備性，補(bǔ)充資料記錄；

5、現(xiàn)場審核、不符合整改、發(fā)證。