一、ISO云服務信息安全管理體系的由來

由于云服務所具備的靈活性、連續(xù)性以及可擴展性等諸多優(yōu)勢，越來越多的企業(yè)將其業(yè)務部署在云上，期望借助云服務來驅(qū)動業(yè)務實現(xiàn)成功。與此同時，出于對安全的擔憂，許多組織對云服務的安全性仍顧慮重重。

ISO27017是保護云服務安全的國際標準，2015年12月15日正式發(fā)布是適用于云服務提供商和云服務客戶，該標準主要是為這兩種類型客戶而設立。是專門針對云計算服務的信息安全控制措施實用標準，為云服務行業(yè)提供了ISO/IEC 27002的指南，與ISO/IEC 27001標準配合使用，將有效加強對云服務提供商及云服務客戶的管理能力。

ISO/IEC 27017標準與ISO/IEC 27001系列標準配合使用，為云服務提供商和云服務客戶提供了加強控制。ISO/IEC 27017標準闡明了云服務提供商和云服務客戶雙方在幫助確保云服務安全可靠方面所扮演的角色和所承擔的責任。

ISO/IEC 27017標準不僅提供了基于ISO/IEC 27002標準中多個控制措施的針對云服務的特殊要求，還介紹了7個全新的云服務控制措施。

通過ISO27017的認證，可以有效地保護數(shù)據(jù)，降低數(shù)據(jù)泄露以及違反法律法規(guī)帶來的風險和負面影響，增強客戶對企業(yè)的信任。ISO27001因為是最基礎(chǔ)的規(guī)范，所以在進行ISO27017之前，必須先經(jīng)過基本的ISO27001認證。ISO27017認證也有可能會與1SO27001認證審核一并進行。

二、申請ISO27017云服務信息安全管理體系的意義

1、提升客戶信任度——讓您的客戶和利益相關(guān)者對其數(shù)據(jù)和信息的安全性更加放心。

2、提升競爭力——展示對數(shù)據(jù)保護的穩(wěn)健控制。

3、品牌聲譽——降低因數(shù)據(jù)泄露引發(fā)的負面宣傳風險。

4、提升合規(guī)性降低風險——確保遵守當?shù)胤ㄒ?guī)，降低對數(shù)據(jù)泄露的風險。

5、企業(yè)發(fā)展——提供覆蓋不同國家的通用指導方針，為在全球范圍內(nèi)開展業(yè)務和獲得作為首選供應商的機會提供便利性。

6、投標運用加分——市場競爭的需要。

三、申請ISO27017云服務信息安全管理體系的基本條件

1、具有獨立法人資格，公司成立3個月以上；

2、組織具有合法地位的證明，范圍若有資質(zhì)要求，提供資質(zhì)；

3、至少進行一次內(nèi)部評審，并進行了管理評審；

4、范圍涉及在建項目的，需提供再建項目相關(guān)資料。

四、申請ISO27017云服務信息安全管理體系的主要流程

1、編寫體系文件、記錄；

2、依據(jù)提供的資料清單，準備項目實施、運營文檔；

3、識別信息資產(chǎn)，編寫風險評估資料；

4、檢查資料完備性，補充資料記錄；

5、現(xiàn)場審核、不符合整改、發(fā)證。