云服务信息安全管理体系认证

一、业务背景

在世界范围内，组织越来越意识到云计算所带来的商业价值，并正在采取步骤向云过渡。 平稳的过渡需要对收益和所涉及的挑战有透彻的了解。

云计算的主要挑战之一是如何解决计划采用它的企业和实施它的云服务提供商（CSP）的安全和隐私问题。有价值的企业数据将驻留在企业防火墙之外的事实引起了人们的严重关注。即使仅攻击一个站点，对云基础架构的黑客攻击和各种网络攻击也会产生多米诺骨牌效应，并影响多个客户端。

随着全球云技术的使用持续增长，企业必须从战略上考虑存储受保护信息的风险，并探索可行的安全选项以保护其信息系统。

寻求以结构化且可靠的方式使用云安全的组织可以从ISO/IEC 27017标准中受益匪浅。 ISO/IEC 27017提供了相关信息安全控制措施的指南，用于保护基于云的环境并最大程度降低安全事件的潜在风险。

二、业务介绍

云服务信息安全管理体系认证适用于云服务提供商和云服务客户，ISO/IEC 27017标准是在ISO/IEC27002标准基础上的扩展，添加特定的控制和指南以满足云组织及其最终用户的需求，阐明了双方在确保云服务中所涉及的数据安全可靠方面所扮演的角色和所承担的责任。

赛西认证制定的《云服务信息安全管理体系认证技术规范》将ISO/IEC 27017的指南转化为技术要求，并结合信息安全管理体系的要求形成了标准的管理体系认证依据。根据企业的申请，为企业提供云服务信息安全管理体系符合性认证。满足现行技术规范和标准要求的，为企业颁发相关证书。

三、实施该业务的价值 

ISO/IEC 27017标准建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上。通过云服务信息安全管理体系认证，即证明其遵守国际公认的最佳实践，在云和更广泛的运营层面构建组织的生存力。通过云服务信息安全管理体系认证的益处包括不限于：提升信任，让组织的客户和利益相关者对其数据和信息的安全性更加放心；通过对数据保护的稳健控制展示竞争优势；降低因数据泄露引发的负面宣传风险提升品牌声誉；确保遵守当地法规，降低对数据泄露的罚款风险；提供覆盖不同国家的通用指导方针，为在全球范围内开展业务和获得作为首选供应商的机会提供便利性，企业获得发展。

四、业务流程

申请认证的组织应已建立符合ISO/IEC 27001标准要求的管理体系，并且按照ISO/IEC 27017的指南建立了相关控制措施，在申请认证之前应完成内部审核和管理评审，并保证体系有效、充分运行三个月以上。  

组织应向赛西认证提供云服务信息安全管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，赛西认证将以抽样的方式对多现场进行审核。

认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论。

证书有效期3年，获得认证后每年进行一次监督，两次监督间隔不得超过12个月。