ISO27017云服务信息安全

ISO27017是保护云服务安全的国际标准，2015年12月15日正式发布是适用于云服务提供商和云服务客户，该标准主要是为这两种类型客户而设立。是专门针对云计算服务的信息安全控制措施实用标准，为云服务行业提供了ISO/IEC 27002的指南，与ISO/IEC 27001标准配合使用，将有效加强对云服务提供商及云服务客户的管理能力。

ISO 27017是云环境下的数据保护国际标准，目标是为云服务提供商和云服务客户提供增强的控制。

ISO/IEC 27017 在为云服务提供商和云服务客户提供指南方面是独一无二的。此外，它还为云服务客户提供有关预期从云服务提供商获得内容的实用信息。通过确保客户了解云中的共同职责，他们可以直接从 ISO/IEC 27017 中受益。ISO27017 是基于ISO27002延伸的标准，是针对云服务的提供和使用给出了信息安全控制的要求。

ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针，而且还介绍了7个全新云控制以解决以下问题：

1负责云服务提供商和云客户之间关系的人是谁2 当合同终止时，资产的移除/归还3客户虚拟环境的保护和分离4虚拟机配置5与云环境相关的管理操作和程序6 云客户监控云中活动7 虚拟和云网络环境的对接

认证收益

提升企业品牌形象

向公众和外部客户展示信息安全管理水平，尤其是云服务方面的信息安全水平。能向外部证明自身管理能力符合相关信息安全标准及相关法律法规的要求体现企业较于同业企业的竞争优势。

提高信息安全水平

按照PDCA模型建立公有云服务安全管理自我约束机制，有助于企业识别公有云隐私安全风险并加改进规避，减少安全隐患，降低潜在安全事件发生给企业带来的损失，提升员工信息安全意识。

满足市场准入需求

各类体系认证证书是IT行业招投标的敲门砖，不同证书在不同的投标标的会有不同的分数占比。部分项目标的甚至明确要求ISO27017云服务信息安全体系证书作为准入门槛。

获取政府财务支持

为响应国家相关行业政策，推进区域企业高质量发展鼓励企业提升自身信息安全管理能力，各地主管部门对本地区通过第三方认证的企业有不同的财务补贴政策。

申报流程

资料准备阶段
进行企业现状差距分析
收集认证所需基础材料
编制证书申报全套文件
咨询辅导贯标
专业咨询团队全程辅导
体系运行过程持续跟踪
审核要点难点讲解分析
认证申请受理
全程协助企业申请证书
协助企业选择合适机构
协调认证机构审核档期
现场审核发证
资深专家全程陪同审核
不符合项及时改进关闭
持续跟进证书申报寄送
证书年审维持
合理规划年度审核时间
全程跟进咨询审核过程
免费提供专业认证建议

申报条件

申报企业主体需具有合法的法律地位，能提供如营业执照等有效的法律地位证明文件；申报企业没有受到工商行政处罚，或所受行政处罚已全部执行完毕并提供有效证据。
申报企业有固定的办公场地和与申报类别匹配的业务，能接受认证机构现场评审。
ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。
申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27017的审核。