01ISO27017是什么

ISO27017云服務(wù)信息安全管理體系認證，是為云服務(wù)提供商（CSP）和云服務(wù)客戶提供增強控制能力的

依據(jù)，從而有助于讓云服務(wù)與傳統(tǒng)信息系統(tǒng)一樣安全可靠。獲得認證的企業(yè)，標(biāo)志著其建立的安全控制措施滿足云服務(wù)客戶的信息安全要求，云服務(wù)信息安全管理水平處于云服務(wù)提供商前列。

ISO27017標(biāo)準允許組織致力于長期目標(biāo)。該組織將擁有一個國際標(biāo)準化框架來建立其云安全。在所需求的內(nèi)部化之后，組織將能夠減少運營和聲譽風(fēng)險，并朝著可持續(xù)的未來努力。該標(biāo)準廣泛涵蓋了以下主題：資產(chǎn)所有權(quán)、CSP解散時的恢復(fù)措施、具有敏感信息的資產(chǎn)處置、數(shù)據(jù)的隔離和存儲、虛擬和物理網(wǎng)絡(luò)的安全管理調(diào)整等。

02云服務(wù)信息安全管理體系認證概述

1、安全是云客戶擔(dān)憂的一大問題，盡管云有著出色的靈活性和可拓展性，但安全問題始終是組織在選擇使用云服務(wù)過程中為何猶豫不決的原因之一。云客戶主要的擔(dān)憂在于云服務(wù)供應(yīng)商(CSP)是否能夠認真對待并且充分重視客戶數(shù)據(jù)。

2、ISO 27017標(biāo)準與ISO 27001系列標(biāo)準配合使用，為云服務(wù)提供商和云服務(wù)客戶提供了加強控制。ISO 27017標(biāo)準闡明了云服務(wù)提供商和云服務(wù)客戶雙方在幫助確保云服務(wù)安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。

3、ISO 27017標(biāo)準不僅提供了基于ISO 27001標(biāo)準中多個控制措施的針對云服務(wù)的特殊要求，還介紹了7個全新的云服務(wù)以解決以下問題：

? ? ? ???負責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰? ? ? ?

? ? ? ???當(dāng)合同終止時，資產(chǎn)的移除/歸還? ? ? ?

? ? ? ???客戶虛擬環(huán)境的保護和分離? ? ? ?

? ? ? ???虛擬機配置? ? ? ?

? ? ? ???與云環(huán)境相關(guān)的管理操作和程序? ? ? ?

? ? ? ???云客戶監(jiān)控云中活動? ? ? ?

? ? ? ???虛擬和云網(wǎng)絡(luò)環(huán)境的對接

03申請ISO27017認證的條件有哪些

1、申報企業(yè)主體需具有合法的法律地位（如營業(yè)執(zhí)照）；申報企業(yè)沒有受到工商行政處罰或所受行政處罰已全部執(zhí)行完畢并提供有效證據(jù)。

2、申報企業(yè)有固定的的辦公場地和與申報類別匹配的業(yè)務(wù)，能接受認證機構(gòu)現(xiàn)場審核

3、ISO27017認證是在ISO27001信息安全管理體系的基礎(chǔ)上建立、實施和擴展的，ISO27001是ISO27017認證的基礎(chǔ)和前提條件。申請ISO27017認證的組織應(yīng)已經(jīng)建立信息安全管理體系，且通過了ISO27001認證或準備同時申請ISO27001認證。

4、申請的ISO27017認證范圍不能大于組織的ISO27001覆蓋范圍，超出的認證范圍必須先安排對其ISO27001實施專項擴大審核后，再安排ISO27017的審核。

04申請ISO27017認證的流程是什么

1、按照ISO 27017云服務(wù)信息安全管理體系標(biāo)準要求建立體系框架

2、體系建立后，需要運行一段時間，最少三個月，產(chǎn)生三個月的運行記錄

3、向認證機構(gòu)遞交審核申請

4、認證機構(gòu)評估費用和正式審核時間

5、認證機構(gòu)將進行預(yù)審，在正式審核前排除一些重大的缺失，同時讓客戶熟悉審核的評估方法、審查方針、范圍和采用的程序。檢查體系中遺漏和需要修改的地方

6、認證機構(gòu)將進行第二階段審核，主要進行實施審核，查看程序規(guī)定的執(zhí)行情況。認證機構(gòu)通常將現(xiàn)場審核并給出建議

7、如果能順利完成審核，在確定清楚認證范圍后，發(fā)放ISO 27017云服務(wù)信息安全管理體系認證證書。在滿足持續(xù)審核情況下，三年有效

05申請ISO27017認證企業(yè)需要配合什么

1、配合項目啟動：前期溝通，實施計劃，項目小組，資源支持；

2、配合提供認證項目、咨詢、所需的資質(zhì)證明及相關(guān)材料；

3、配合做好前期培訓(xùn)：對全員進行云服務(wù)信息安全意識培訓(xùn)，云服務(wù)信息安全體系實施推廣培訓(xùn)以及必要的考核；

4、配合做好企業(yè)云服務(wù)信息安全資產(chǎn)價值、威脅因素、脆弱性分析與識別，選擇適當(dāng)?shù)拇胧┖头椒?，以實現(xiàn)管理風(fēng)險的目的（這些內(nèi)容需要懂IT的人員配合才能完成）；

5、配合咨詢做好相關(guān)的培訓(xùn)、內(nèi)審、管理評審及不合格項糾正預(yù)防及整改、記錄表格的完善、文件的打印、歸檔；

6、協(xié)助審核認證，內(nèi)部審核小組陪同協(xié)助，應(yīng)對審核中的問題。

7、及時整改不符合項，正確使用認證證書。