全面解析ISO27017云服务信息安全管理体系认证

一、ISO27017是什么

ISO27017云服务信息安全管理体系认证，是为云服务提供商（CSP）和云服务客户提供增强控制能力的依据，从而有助于让云服务与传统信息系统一样安全可靠。获得认证的企业，标志着其建立的安全控制措施满足云服务客户的信息安全要求，云服务信息安全管理水平处于云服务提供商前列。

ISO27017标准允许组织致力于长期目标。该组织将拥有一个国际标准化框架来建立其云安全。在所需求的内部化之后，组织将能够减少运营和声誉风险，并朝着可持续的未来努力。该标准广泛涵盖了以下主题：资产所有权、CSP解散时的恢复措施、具有敏感信息的资产处置、数据的隔离和存储、虚拟和物理网络的安全管理调整等。

二、云服务信息安全管理体系认证概述

1、安全是云客户担忧的一大问题，尽管云有着出色的灵活性和可拓展性，但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且充分重视客户数据。

2、ISO 27017标准与ISO 27001系列标准配合使用，为云服务提供商和云服务客户提供了加强控制。ISO 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。

3、ISO 27017标准不仅提供了基于ISO 27001标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务以解决以下问题：

• 负责云服务提供商和云客户之间关系的人是谁

• 当合同终止时，资产的移除/归还

• 客户虚拟环境的保护和分离

• 虚拟机配置

• 与云环境相关的管理操作和程序

• 云客户监控云中活动

• 虚拟和云网络环境的对接

三、申请ISO27017认证的条件有哪些

1、申报企业主体需具有合法的法律地位（如营业执照）；申报企业没有受到工商行政处罚或所受行政处罚已全部执行完毕并提供有效证据。

2、申报企业有固定的的办公场地和与申报类别匹配的业务，能接受认证机构现场审核

3、ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

4、申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27017的审核。

四、申请ISO27017认证的流程是什么

1、按照ISO 27017云服务信息安全管理体系标准要求建立体系框架

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录

3、向认证机构递交审核申请

4、认证机构评估费用和正式审核时间

5、认证机构将进行预审，在正式审核前排除一些重大的缺失，同时让客户熟悉审核的评估方法、审查方针、范围和采用的程序。检查体系中遗漏和需要修改的地方

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议

7、如果能顺利完成审核，在确定清楚认证范围后，发放ISO 27017云服务信息安全管理体系认证证书。在满足持续审核情况下，三年有效

五、申请ISO27017认证企业需要配合什么

1、配合项目启动：前期沟通，实施计划，项目小组，资源支持；

2、配合提供认证项目、咨询、所需的资质证明及相关材料；

3、配合做好前期培训：对全员进行云服务信息安全意识培训，云服务信息安全体系实施推广培训以及必要的考核；

4、配合做好企业云服务信息安全资产价值、威胁因素、脆弱性分析与识别，选择适当的措施和方法，以实现管理风险的目的（这些内容需要懂IT的人员配合才能完成）；

5、配合咨询做好相关的培训、内审、管理评审及不合格项纠正预防及整改、记录表格的完善、文件的打印、归档；

6、协助审核认证，内部审核小组陪同协助，应对审核中的问题。

7、及时整改不符合项，正确使用认证证书。