欢迎光临北京赛西认证有限责任公司

首页 > 服务内容 >管理体系认证

云服务信息安全管理体系认证


一、业务背景

在世界范围内,组织越来越意识到云计算所带来的商业价值,并正在采取步骤向云过渡。 平稳的过渡需要对收益和所涉及的挑战有透彻的了解。

云计算的主要挑战之一是如何解决计划采用它的企业和实施它的云服务提供商(CSP)的安全和隐私问题。有价值的企业数据将驻留在企业防火墙之外的事实引起了人们的严重关注。即使仅攻击一个站点,对云基础架构的黑客攻击和各种网络攻击也会产生多米诺骨牌效应,并影响多个客户端。

随着全球云技术的使用持续增长,企业必须从战略上考虑存储受保护信息的风险,并探索可行的安全选项以保护其信息系统。

寻求以结构化且可靠的方式使用云安全的组织可以从ISO/IEC 27017:2015Information technology Security techniques Code of practice for information security controls based on ISO/IEC 27002 for cloud services )标准中受益匪浅。 ISO/IEC 27017是为云服务提供商和用户开发的标准,用于保护基于云的环境并最大程度降低安全事件的潜在风险。

二、业务介绍

ISO27017认证适用于云服务提供商和云服务客户,ISO/IEC 27017旨在帮助推荐和实施基于云的组织的控件。这不仅与将信息存储在云中的组织有关,而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。 该标准建立在ISO/IEC27002标准的基础上,但是允许添加特定的控件以满足云组织及其最终用户的需求

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用,为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是,ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。

三、实施该业务的价值 

ISO/IEC 27017标准建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上。通过ISO/IEC 27017标准认证,即证明其遵守国际公认的最佳实践,在云和更广泛的运营层面构建组织的生存力。通过ISO/IEC 27017标准认证的益处包括不限于:提升信任,让组织的客户和利益相关者对其数据和信息的安全性更加放心;通过对数据保护的稳健控制展示竞争优势;降低因数据泄露引发的负面宣传风险提升品牌声誉;确保遵守当地法规,降低对数据泄露的罚款风险;提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性,企业获得发展。

四、业务流程

ISO27017是基于ISO27001的增强版本,旨在为云服务提供商和云服务客户提供增强的控制能力,从而有助于让云服务与传统信息系统一样安全可靠。申请认证的组织组织应已建立符合ISO/IEC 270012013标准要求的管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上,并且按照ISO27017的指南建立了相关控制措施。  

组织应向赛西认证提供管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,赛西认证将以抽样的方式对多现场进行审核;

认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论;

证书有效期3年,获得认证后每年进行一次监督