企业做ISO27017:2015 云服务信息安全管理体系认证的益处

ISO/IEC 27017云服务信息安全管理体系（CSSMS）标准建立在ISO/IEC 27001信息安全管理体系标准框架和ISO/IEC 27002最佳实践控制措施的基础之上，提供与云环境相关和针对云服务的额外安全控制措施和指南。ISO/IEC 27017能在组织和服务商中清楚地定义云服务提供商和云服务客户之间的责任，避免可能在服务过程中所产生的歧义，导致服务中断。通过ISO/IEC 27017标准认证，证明其遵守国际公认的最佳实践，在云和更广泛的运营层面构建组的生存力，可以有效地保护数据，降低数据泄露以及违反法律法规带来的风险和负面影响，增强客户对企业的信任。

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是，ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针，而且还介绍了7个全新云控制以解决以下问题：

• 负责云服务提供商和云客户之间关系的人是谁

• 当合同终止时，资产的移除/归还

• 客户虚拟环境的保护和分离

• 虚拟机配置

• 与云环境相关的管理操作和程序

• 云客户监控云中活动

• 虚拟和云网络环境的对接

ISO/IEC 27017标准适用于所有类型和规模大小的组织，无论是自建的云服务还是透过购买所获得的云服务，以及云服务提供商本身，皆可透过此标准的指引，强化所提供或者所使用的云服务的安全。

获证对企业收益

01、满足合规要求

实施ISO/IEC 27017将帮助您遵守国家和国际法规要求，更易于在全球扩展业务，亦可以减轻因数据泄露和其他网络攻击而受到法律和罚款的风险；

02、降低云服务信息安全风险

实施基于ISO/IEC 27017的策略，能够遵循云服务信息安全管理体系准则，公司将能够分析其自身的漏洞并减轻数据泄露的风险，将声誉风险、云安全性和可持续发展相关的问题降至最低。

03、赢得客户信任

认证将帮助该公司向利益相关者展示其在全球信息安全实践中的立足点以及满足行业标准要求的能力，通过减轻数据泄露和其他网络攻击的风险，可以赢得利益相关者的信心并获得竞争优势。

认证申请条件

1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。

2、申请方已按照ISO27017标准要求建立体系并实施运行3个月以上。

3、至少完成一次云安全风险评估、内部审核，并进行了管理评审。

4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。

5、在进行ISO27017之前，需通过ISO27001认证，或者与ISO27001认证审核一并进行。

认证提供材料

在进行信息安全管理体系审核之前，需要准备和提交完备的体系材料如下：

1、组织法律证明文件，如营业执照及年检证明复印件；

2、申请认证体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等）；

3、企业简介、主要业务流程、组织机构图和部门职责；

4、申请组织的体系文件（包括管理手册、管理程序、作业文件、记录文件等）；

5、申请组织体系文件与标准要求的文件对照说明；

6、申请组织内部审核和管理评审的证明资料；

7、申请组织记录保密性或敏感性声明

8、标准要求的其他文件