ISO IEC27017云服务信息安全管理体系认证
ISO IEC27017云服务信息安全管理体系认证
云服务提供商提供的传统服务级别协议(SLA)主要侧重于数据中心的绩效,如服务器和网络可用性、环境和物理安全问题,以及传统的服务,如备份和监控。云服务有其特定的关注点,它们通常不在服务级别和合同协议中提到。
服务背景
现在差不多所有的个人和消费层面的应用均为云端应用。但是,在企业、政府和公共服务环境中云服务的采用依然不高。根据Ciphercloud研究,合规性(64%)和数据安全(32%)是云应用最大的两个挑战。
对用户而言,如果一个云服务提供商能提供安心和信心给到其用户,证明其云服务是可靠的、符合适用法规和合同要求的,并对其能采用最好的行业实践,那么该云服务提供商将成为用户的选择。在这种实际需求存在的背景下,ISO/IEC27017应运而生。
对云营运来讲,ISO/IEC27001:2013则是一个很好的标准,但云服务提供商希望看到更多的针对云的控制规范来帮助他们解决云的具体问题。ISO/IEC27017标准正是工业界在产生这些要求后结果的体现。
云服务提供商提供的传统服务级别协议(SLA)主要侧重于数据中心的绩效,如服务器和网络可用性、环境和物理安全问题,以及传统的服务,如备份和监控。云服务有其特定的关注点,它们通常不在服务级别和合同协议中提到。
标准概述
ISO/IEC27017:2015针对特定于云服务的信息安全控制提供了实施指导:
1.特定于ISO/IEC27002中相关的控制的额外执行指南;
2.对与云服务特别相关的执行指导进行额外的控制。
该标准提供了对云服务客户和云服务提供商实施信息安全控制的指导方针。云服务提供商本身也可能是一个云服务的客户(选择下游的云服务提供商如IaaS提供商)。
ISO/IEC27017实施和认证的好处
提高顾客信心。这两个标准提供的额外控制提供了额外的保证,解决了云特定的技术和合同问题,并提供了保证。
加强治理和风险管理。证书证明了该组织的委员会、技术能力和对云架构中继承的适用风险和附加风险的信心。
减少客户审核。该认证证明该组织的云操作不仅受控,而且是按照国际最佳实践基准标准进行控制的。
关于我们
认证成立于1993年,是经中国国家认证认可监督管理委员会(CNCA)批准,经中国合格评定国家认可委员会(CNAS)认可,具有独立第三方公正地位的专业认证机构。作为中国最早成立并获得国家批准认可的认证机构之一,迄今为止,公司已经累计为数万家中外企业、社会团体等机构颁发了管理体系认证证书。
认证总部设在深圳,在北京、上海、杭州、成都、厦门、长春、大连、武汉、兰州、苏州、长沙、合肥、青岛等地设立有分子公司和办事处。主要业务包括四大版块:认证服务、可持续发展服务、ESG服务和培训服务。