2015年,随着ISO 27017云服务信息安全管理体系(英文缩写:CSSMS)这个国际标准正式发布,云服务的安全性有了保障。该标准是基于ISO 27001信息安全管理体系(英文缩写:ISMS)的增强版本,主要适用于云服务提供商和云服务客户。
如果您的组织是云服务提供商,或考虑将您的业务转移到云端,那通过ISO27017认证,将有效地保护相关数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。
关于CSSMS
CSSMS 是基于ISMS 扩展的管理体系,CSSMS 这对ISMS 附录A 扩展的要求有两个方面:
一是在原有的ISMS 标准的附录A 中114 控制条款延展了40-50%的要求,并且分为云服务客户、云服务提供方和两者组成的供应链三种情况,将控制要求更具体化;
二是在ISMS 标准附录A 中的114 个控制条款基础上,增加了7 个特定的云服务控制条款。
通常情况下ISO27017证书的有效期为三年,企业在申请和实施CSSMS认证之前,必须先通过ISMS认证。还有一点要记住,如果申请的CSSMS认证范围大于组织的ISMS的认证范围,则超出的认证范围必须先安排对其ISMS实施专项扩大审核后,再实施CSSMS的审核。
业务范围分类
需提供的资料
1) 基本资料(营业执照、行政许可(如有)、临时场所清单等);
2) 有效的ISMS 认证证书或ISMS 认证申请;
3) 云服务信息安全管理体系方针和目标;
4) 支持云服务信息安全管理体系的规程和控制措施;
5) 风险评估报告(含风险评估方法的描述);
6) 残余风险报告;
7) 风险处置计划;
8) 适用性声明;
9) 适用的法律法规的标准的清单;
10)《管理体系认证申请书》中的保密和敏感信息声明表;
11)《管理体系认证申请书》中的信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/业务连续性管理体系认证客户基本信息。
除需提交上述资料外,还需同步提交组织ISMS的申请资料:
1) 信息安全管理体系方针和目标;
2) 支持信息安全管理体系的规程和控制措施;
3) 信息安全风险评估报告(含风险评估方法的描述);
4) 信息安全残余风险报告;
5) 信息安全风险处置计划;
6) 信息安全管理体系适用性声明;
7) 信息安全管理体系适用的法律法规的标准的清单;
