云服务信息安全管理体系(简称“CSISMS”)，以ISO/IEC 27017:2015为认证依据。ISO/IEC 27017标准是建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上，通过ISO/IEC 27017标准认证，证明其遵守国际公认的最佳实践，在云服务和更广泛的运营层面构建组织的生存力。

　　01体系介绍

　　ISO27017云服务信息安全管理体系认证是一种基于ISO 27001标准的认证，专门针对云服务提供商的信息安全风险和控制进行评估和认证。该认证旨在帮助云服务提供商实施和维护信息安全管理体系(ISMS)，并确保客户数据和应用程序在云中得到充分保护。

　　ISO 27017标准涵盖了以下领域：

　　1、云服务提供商的安全策略和控制;

　　2、云服务提供商的运营管理，包括供应链安全、合同管理、服务备份和恢复等;

　　3、客户数据和应用程序的安全性，包括隐私保护、网络安全、身份验证和访问控制等。

　　02体系标准的核心内容

　　ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供了加强控制。与许多其他技术相关标准不同的是，ISO/IEC 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。ISO/IEC 27017标准不仅提供了基于ISO/IEC 27001标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施以解决以下问题：

　　• 负责云服务提供商和云服务客户关系的人是谁

　　• 当合同终止时，资产的移除/归还

　　• 客户虚拟环境的保护和分离

　　• 虚拟机配置

　　• 与云环境相关的管理操作和程序

　　• 云服务客户监控云中活动

　　• 虚拟和云网络环境的对接

　　ISO/IEC 27017标准适用于所有类型和规模大小的组织，无论是自建的云服务还是通过购买所获得的云服务，以及云服务提供商本身，皆通过此标准的指引，强化所提供或者所使用的云服务的安全。

　　03体系认证条件

　　1、申报企业主体需具有合法的法律地位(如营业执照);申报企业没有受到工商行政处罚或所受行政处罚已全部执行完毕并提供有效证据。

　　2、申报企业有固定的的办公场地和与申报类别匹配的业务，能接受认证机构现场审核。

　　3、ISO27017认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27017认证的基础和前提条件。申请ISO27017认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

　　4、申请的ISO27017认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27017的审核。

　　04体系认证流程

　　1、按照ISO 27017云服务信息安全管理体系标准要求建立体系框架;

　　2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录;

　　3、向认证机构递交审核申请;

　　4、认证机构评估费用和正式审核时间;

　　5、认证机构将进行预审，在正式审核前排除一些重大的缺失，同时让客户熟悉审核的评估方法、审查方针、范围和采用的程序。检查体系中遗漏和需要修改的地方;

　　6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议;

　　7、如果能顺利完成审核，在确定清楚认证范围后，发放ISO 27017云服务信息安全管理体系认证证书。在满足持续审核情况下，三年有效.

　　05体系所需提供材料

　　1、 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等)复印件加盖公章。存在时，应提交分支机构的营业执照复印件加盖公章;

　　2、临时场所清单(如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点);

　　3、至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件，如：风险控制情况、对IT的应用等;

　　4、关于认证活动的限制条件(如出于安全或保密等原因存在时);

　　5、体系方针和目标;

　　6、支持管理体系的规程和控制措施;

　　7、风险评估报告(含风险评估方法的描述);

　　8、残余风险报告

　　如有认证需求，欢迎随时联系199-0343-9240