ISO/IEC27017標(biāo)準(zhǔn)建立在ISO/IEC27001云服務(wù)信息管理體系框架和ISO/IEC27002作為實(shí)踐控制設(shè)置的堅(jiān)實(shí)基礎(chǔ)之上。通過獲得ISO 27017認(rèn)證，云服務(wù)提供商可以證明其采取了適當(dāng)?shù)男畔⒋胧蠂H標(biāo)準(zhǔn)，并符合客戶的需求和期望。同時(shí)，客戶也可以通過查看認(rèn)證證書，確認(rèn)云服務(wù)提供商的信息水平，從而更加放心地使用云服務(wù)。

涵蓋領(lǐng)域

1、云服務(wù)提供商的策略和控制;

2、云服務(wù)提供商的運(yùn)營管理，包括供應(yīng)鏈、合同管理、服務(wù)備份和恢復(fù)等;

3、客戶數(shù)據(jù)和應(yīng)用程序的性，包括隱私保護(hù)、網(wǎng)絡(luò)、身份驗(yàn)證和訪問控制等。

適用范圍

ISO27017云服務(wù)信息管理體系認(rèn)證適用于云服務(wù)提供商和云服務(wù)客戶。

ISO27017旨在幫助推薦和實(shí)施基于云的組織的密件。這不僅與將信息存儲(chǔ)在云中的組織有關(guān)，而且還與向可能擁有敏感信息的其他公司提供基于云的服務(wù)的提供商有關(guān)。

以下企業(yè)適合做此類認(rèn)證：1、以信息為生命線的行業(yè)：2、金融行業(yè)：銀行、保險(xiǎn)、證券、基金、期貨等3、通信行業(yè)：電信、網(wǎng)通、移動(dòng)、聯(lián)通等4、其他行業(yè)：外貿(mào)、進(jìn)出口、HR、獵頭、會(huì)計(jì)師事務(wù)所等5、對(duì)信息技術(shù)依賴度高的行業(yè)：6、鋼鐵、半導(dǎo)體、物流7、電力、能源8、外包(ITO或BPO)：IT、軟件、電信IDC、呼叫中心、數(shù)據(jù)錄入、數(shù)據(jù)處理加工等9、工藝技術(shù)要求高、競爭對(duì)手渴望得到的： 10、醫(yī)藥、精細(xì)化工11、研究機(jī)構(gòu)等

認(rèn)證條件

1、申報(bào)企業(yè)主體需具有合法的法律地位(如營業(yè)執(zhí)照);申報(bào)企業(yè)沒有受到工商行政處罰或所受行政處罰已全部執(zhí)行完畢并提供有效證據(jù)。

2、申報(bào)企業(yè)有固定的的辦公場地和與申報(bào)類別匹配的業(yè)務(wù)，能接受認(rèn)證機(jī)構(gòu)現(xiàn)場審核。

3、ISO27017認(rèn)證是在ISO27001信息管理體系的基礎(chǔ)上建立、實(shí)施和擴(kuò)展的，ISO27001是ISO27017認(rèn)證的基礎(chǔ)和前提條件。申請ISO27017認(rèn)證的組織應(yīng)已經(jīng)建立信息管理體系，且通過了ISO27001認(rèn)證或準(zhǔn)備同時(shí)申請ISO27001認(rèn)證。

4、申請的ISO27017認(rèn)證范圍不能大于組織的ISO27001覆蓋范圍，超出的認(rèn)證范圍必須先安排對(duì)其ISO27001實(shí)施專項(xiàng)擴(kuò)大審核后，再安排ISO27017的審核。

所需材料

1) 基本資料(營業(yè)執(zhí)照、行政許可(如有)、臨時(shí)場所清單等);

2) 有效的ISMS 認(rèn)證證書或ISMS 認(rèn)證申請;

3) 云服務(wù)信息管理體系方針和目標(biāo);

4) 支持云服務(wù)信息管理體系的規(guī)程和控制措施;

5) 風(fēng)險(xiǎn)評(píng)估報(bào)告(含風(fēng)險(xiǎn)評(píng)估方法的描述);

6) 殘余風(fēng)險(xiǎn)報(bào)告;

7) 風(fēng)險(xiǎn)處置計(jì)劃;

8) 適用性聲明;

9) 適用的法律法規(guī)的標(biāo)準(zhǔn)的清單;

10)《管理體系認(rèn)證申請書》中的保密和敏感信息聲明表;

11)《管理體系認(rèn)證申請書》中的信息管理體系/云服務(wù)信息管理體系/云服務(wù)信息管理體系/云服務(wù)信息管理體系/業(yè)務(wù)連續(xù)性管理體系認(rèn)證客戶基本信息等。

認(rèn)證流程

1、建立云服務(wù)信息管理體系，并通過企業(yè)內(nèi)審和管理評(píng)審;

2、向認(rèn)證機(jī)構(gòu)提交認(rèn)證申請書、手冊、程序文件等資料;

3、認(rèn)證機(jī)構(gòu)受理后，安排審核員進(jìn)行現(xiàn)場審核;

4、審核結(jié)束，一般會(huì)進(jìn)行不符合項(xiàng)的整改，整改完成通過后，頒發(fā)證書。證書有效期三年，每年需年審以保持證書。