ISO27017认证对应国标
一、什么是ISO27017?
ISO/IEC 27017简称“云服务信息安全认证"。
ISO27017是保护云服务安全的国际标准,2015年12月15日正式发布是适用于云服务提供商和云服务客户,该标准主要是为这两种类型客户而设立。是专门针对云计算服务的信息安全控制措施实用标准,为云服务行业提供了ISO/IEC 27002的指南,与ISO/EC 27001标准配合使用,将有效加强对云服务提供商及云服务客户的管理能力。
二、ISO27017的适用性
ISO27017认证适用于云服务提供商和云服务客户
ISO/IEC27017旨在帮助推荐和实施基于云的组织的密件。这不仅与将信息存储在云中的组织有关,而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。该标准建立在ISO27002标标准的基础上,但是允许添加特定的控件以满足云组织及其最终用户的需求。
三、申请ISO27017的条件
1.申报企业主体需具有合法的法律地位(如营业执照);申报企业没有受到工商行政处罚或所受行政处罚已全部执行完毕并提供有效证据。
2.申报企业有固定的的办公场地和与申报类别匹配的业务,能接受认证机构现场审核
3.ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的,ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系,且通过了ISO27001认证或准备同时申请ISO27001认证。
4.申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围,超出的认证范围必须先安排对其ISO27001实施专项扩大审核后,再安排ISO27017的审核。
四、申报所需材料
1.公司简介
2.公司营业执照
3.其他相关资质(如ISO27001信息安全管理体系认证、软件著作权、专利、商标许可等)
4.公司的组织架构图(部门架构和目前公司的主要人员姓名,归属部门、岗位)
5.公司现有的业务流程
6.公司现有的IT方面的管理制度
五、ISO/IEC 27017认证的流程
1、按照ISO/IEC27017:2015云服务信息安全管理体系标准要求建立体系框架;
2、体系建立后,需要运行一段时间,最少三个月,产生三个月的运行记录;
3、向认证机构递交审核申请;
4、认证机构评估费用和正式审核时间;
5、认证机构将进行第一阶段审核;
6、认证机构将进行第二阶段审核,通过现场审核为企业出具审核报告并给出建议;
7、如果能顺利完成审核,在确定清楚认证范围后,发放ISO/IEC27017:2015云服务信息安全管理体系认证证书。
8、在满足持续审核情况下,三年有效。
六、认证ISO27017的好处
- 驱使他人对您企业的信任感——让您的客户和利益相关者对其数据和信息的安全性更加放心。
- 提供竞争优势——展示对数据保护的稳健控制。
- 保护品牌声誉——降低因数据泄露引发的负面宣传风险。
- 防止罚款——确保遵守当地法规,降低对数据泄露的罚款风险。
- 助力企业发展——提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。
七、证书样本
ISO27017认证流程详解
ISO27017认证是一个系统的过程,主要包括以下几个步骤:
1. 前期准备
在开始ISO27017认证之前,企业需要进行一定的前期准备。首先,为了降低风险、提高通过率,企业最好选择一家咨询公司进行辅导,在咨询公司的帮助下建立云服务信息安全管理体系,并通过内部审核和管理评审1.此外,申请认证的企业需先行通过ISO/IEC27001并获证,体系建立后,需要运行一段时间,最少三个月,产生三个月的运行记录。
2. 申请认证
完成前期准备后,企业需要向认证机构递交审核申请。认证机构评估费用和正式审核时间,并进行预审,排除一些重大失误,同时让客户熟悉审核的方法、危险评估、审查方针、范围和采用的程序5.此外,申请方需向认证机构提交认证申请书及其附件,客户服务部组织合同评审,并与申请方签定《管理体系认证合同》。
3. 文件审核和现场审核
认证机构将进行文件审核,并确认第二阶段审核准备的充分性。第二阶段审核主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。现场审核是认证流程中的重要环节,审核员将根据企业的管理体系文件、操作记录等信息进行评估。
4. 不符合项的整改
现场审核结束后,认证机构通常会给出建议。企业需要根据这些建议进行不符合项的整改5.整改完成后,就可以获得ISO27017证书了。
5. 监督与维护
获得认证后,企业每年需要进行一次监督,以维持其认证状态2.监督审核将重点检查企业的管理体系是否持续满足认证要求。
6. 年审维护
证书有效期3年,企业需要在证书到期前进行再认证,以继续保持其信息安全管理体系的认证状态5.再认证可能与ISO27001认证审核一并进行。
通过ISO27017认证,企业可以有效地保护数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任7.此外,ISO27017认证也有助于提升企业品牌形象,增强客户信任,提高企业的管理效率。
