iso27017云服务信息安全管理体系认证,如何获取ISO27017认证

ISO27017云服务信息安全管理体系认证

ISO27017 云服务安全管理体系

云服务信息安全管理体系(简称“CSISMS”)，以ISO/IEC 27017:2015为认证依据。ISO/IEC 27017标准是建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上，通过ISO/IEC 27017标准认证，证明其遵守国际公认的最佳实践，在云服务和更广泛的运营层面构建组织的生存力。

01体系简介

ISO27017云服务信息安全管理体系认证是一种基于ISO 27001标准的认证，专门针对云服务提供商的信息安全风险和控制进行评估和认证。该认证旨在帮助云服务提供商实施和维护信息安全管理体系(ISMS)，并确保客户数据和应用程序在云中得到充分保护。

ISO 27017标准涵盖了以下领域：

1、云服务提供商的安全策略和控制;

2、云服务提供商的运营管理，包括供应链安全、合同管理、服务备份和恢复等;

3、客户数据和应用程序的安全性，包括隐私保护、网络安全、身份验证和访问控制等。

02适用范围

ISO 27017云服务信息安全管理体系认证适用于云服务提供商和云服务客户。

ISO 27017旨在帮助推荐和实施基于云的组织的密件。这不仅与将信息存储在云中的组织有关，而且还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。该标准建立在ISO27002标标准的基础上，但是允许添加特定的控件以满足云组织及其最终用户的需求。

03认证条件

1、申报企业主体需具有合法的法律地位(如营业执照);申报企业没有受到工商行政处罚或所受行政处罚已全部执行完毕并提供有效证据。

2、申报企业有固定的的办公场地和与申报类别匹配的业务，能接受认证机构现场审核。

3、ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

4、申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27017的审核。

04需要提供资料

1、 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等)复印件加盖公章。存在时，应提交分支机构的营业执照复印件加盖公章;

2、临时场所清单(如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点);

3、至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件，如：风险控制情况、对IT的应用等;

4、关于认证活动的限制条件(如出于安全或保密等原因存在时);

5、体系方针和目标;

6、支持管理体系的规程和控制措施;

7、风险评估报告(含风险评估方法的描述);

8、残余风险报告。

如何获取ISO27017认证

获取ISO27017认证是一个系统的过程，主要包括以下几个步骤：

1. 确定认证需求和目标

ISO27017是关于《信息技术-安全技术-基于ISO/IEC27002的云服务信息安全控制的实施规程》的国际标准，简称“云服务信息安全认证”。该标准提供了适用于提供和使用云服务的信息安全控制指南，包括ISO/IEC27002标准中有关控制的附加实施指南，以及带有具体涉及云服务实施指南的附加控制1.因此，在申请认证前，企业需要明确自己的信息安全需求和目标，以便建立相应的管理体系。

2. 建立信息安全管理体系

根据ISO27017标准，申请认证的企业需先行通过ISO/IEC27001并获证。然后，企业应建立符合该标准要求的体系，并在递交认证申请之前，完成内部审核和管理评审，以保证体系有效、充分运行三个月以上，并且按照ISO/IEC27017的指南建立了相关控制措施。

3. 选择认证机构

企业可以通过咨询公司推荐或自行选择合适的认证机构，并向机构提交认证申请书、手册、程序文件等资料。认证机构受理后，会安排审核员进行现场审核，审核结束以后，一般会进行不符合项的整改，整改完成后，就可以获得ISO27017证书。

4. 审核流程

ISO/IEC27017认证分两个阶段进行：第一阶段审核主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核主要对体系的符合性和有效性进行评价，并作出现场审核的推荐结论。

5. 年审维护

获得认证后，企业每年需要进行一次监督年审，以维持认证状态。证书有效期为3年。

6. 遵守法律法规和行业标准

企业在申请ISO27017认证的过程中，必须遵守国家和地方的相关法律法规，并且满足行业内的其他标准，如ISO/IEC27001信息安全管理体系标准。

7. 持续改进

通过ISO27017认证并不是终点，而是起点。企业需要不断进行内部的风险评估和监控，进行业务流程的优化和改进，以确保信息安全管理体系的持续有效运行。

总的来说，获取ISO27017认证是一个系统的过程，需要企业从建立信息安全管理体系开始，通过认证机构的审核，持续改进和完善，以满足国际认可的信息安全管理标准。

本文内容整合网站：中国政府网、百度百科、最高人民法院、知乎、国家认证认可监督管理委员会、国家知识产权局、市场监督总局