云服務(wù)信息安全管理體系認證

一、業(yè)務(wù)背景

在世界范圍內，組織越來(lái)越意識到云計算所帶來(lái)的商業(yè)價(jià)值，并正在采取步驟向云過(guò)渡。 平穩的過(guò)渡需要對收益和所涉及的挑戰有透徹的了解。

云計算的主要挑戰之一是如何解決計劃采用它的企業(yè)和實(shí)施它的云服務(wù)提供商（CSP）的安全和隱私問(wèn)題。有價(jià)值的企業(yè)數據將駐留在企業(yè)防火墻之外的事實(shí)引起了人們的嚴重關(guān)注。即使僅攻擊一個(gè)站點(diǎn)，對云基礎架構的黑客攻擊和各種網(wǎng)絡(luò )攻擊也會(huì )產(chǎn)生多米諾骨牌效應，并影響多個(gè)客戶(hù)端。

隨著(zhù)全球云技術(shù)的使用持續增長(cháng)，企業(yè)必須從戰略上考慮存儲受保護信息的風(fēng)險，并探索可行的安全選項以保護其信息系統。

尋求以結構化且可靠的方式使用云安全的組織可以從ISO/IEC 27017標準中受益匪淺。 ISO/IEC 27017是為云服務(wù)提供商和用戶(hù)開(kāi)發(fā)的標準，用于保護基于云的環(huán)境并最大程度降低安全事件的潛在風(fēng)險。

二、業(yè)務(wù)介紹

ISO/IEC27017認證適用于云服務(wù)提供商和云服務(wù)客戶(hù)，ISO/IEC 27017旨在幫助推薦和實(shí)施基于云的組織的控件。這不僅與將信息存儲在云中的組織有關(guān)，而且還與向可能擁有敏感信息的其他公司提供基于云的服務(wù)的提供商有關(guān)。 該標準建立在ISO/IEC27002標準的基礎上，但是允許添加特定的控件以滿(mǎn)足云組織及其最終用戶(hù)的需求。

ISO/IEC 27017標準與ISO/IEC 27001系列標準配合使用，為云服務(wù)提供商和云服務(wù)客戶(hù)提供加強控制。與許多其他技術(shù)相關(guān)標準不同的是，ISO/IEC 27017標準闡明了雙方在幫助確保云服務(wù)如同認證信息管理系統中所包含的其他數據那般安全可靠方面所扮演的角色和所承擔的責任。

根據企業(yè)的申請，為企業(yè)提供ISO/IEC 27017符合性認證。滿(mǎn)足現行標準要求的，為企業(yè)頒發(fā)相關(guān)證書(shū)。

三、實(shí)施該業(yè)務(wù)的價(jià)值 

ISO/IEC 27017標準建立在ISO/IEC 27001信息安全管理體系框架和ISO/IEC 27002作為最佳實(shí)踐控制設置的堅實(shí)基礎之上。通過(guò)ISO/IEC 27017標準認證，即證明其遵守國際公認的最佳實(shí)踐，在云和更廣泛的運營(yíng)層面構建組織的生存力。通過(guò)ISO/IEC 27017標準認證的益處包括不限于：提升信任，讓組織的客戶(hù)和利益相關(guān)者對其數據和信息的安全性更加放心；通過(guò)對數據保護的穩健控制展示競爭優(yōu)勢；降低因數據泄露引發(fā)的負面宣傳風(fēng)險提升品牌聲譽(yù)；確保遵守當地法規，降低對數據泄露的罰款風(fēng)險；提供覆蓋不同國家的通用指導方針，為在全球范圍內開(kāi)展業(yè)務(wù)和獲得作為首選供應商的機會(huì )提供便利性，企業(yè)獲得發(fā)展。

四、業(yè)務(wù)流程

ISO/IEC 27017是基于ISO/IEC 27001的增強版本，旨在為云服務(wù)提供商和云服務(wù)客戶(hù)提供增強的控制能力，從而有助于讓云服務(wù)與傳統信息系統一樣安全可靠。申請認證的組織組織應已建立符合ISO/IEC 27001標準要求的管理體系，在申請認證之前應完成內部審核和管理評審，并保證體系有效、充分運行三個(gè)月以上，并且按照ISO/IEC 27017的指南建立了相關(guān)控制措施。  

組織應向賽西認證提供管理體系運行的充分信息，對于多現場(chǎng)應說(shuō)明各現場(chǎng)的認證范圍、地址及人員分布等情況，賽西認證將以抽樣的方式對多現場(chǎng)進(jìn)行審核；

認證分兩個(gè)階段進(jìn)行：第一階段審核，主要進(jìn)行文件審核并確認第二階段審核準備的充分性；第二階段審核，主要對體系的符合性和有效性進(jìn)行評價(jià)，作出現場(chǎng)審核的推薦結論；

證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督，兩次監督間隔不得超過(guò)12個(gè)月。