2022云服务信息安全管理体系认证(ISO27017认证依据和受理条件)
什么是云服务信息安全管理体系(ISO27017)?
ISO/IEC 27017标准不仅提供了基于ISO/IEC 27002标准中多个控制措施的针对云服务的特殊要求,还介绍了7个全新的云服务控制措施。
通过ISO27017的认证,可以有效地保护数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。
ISO27017认证模式与客户类型
? ISO/IEC 27017初次认证的三种认证模式:
?认证模式A: 已取得CQM的ISMS证书或者取得其他认证机构并经CNAS认可的或经IAF MLA签约机构认可的ISMS证书并有效(提供认证证书和在认监委网站查询证书有效),本次只申请ISO/IEC 27017初次认证,但并不同时接受CQM的ISMS认证审核;
?认证模式B:已取得CQM的ISMS证书并有效,或在CQM同时申请ISO/IEC 27017与ISMS认证,并同时接受ISO/IEC 27017与ISMS两个体系结合审核;
?认证模式C:未取得ISMS证书,在CQM只申请ISO/IEC 27017认证,不申请ISMS认证。
? ISO/IEC 27017认证的三种客户类型:
?云服务提供商:是指提供基于云(提供资源的网络叫云)的平台、基础设施、应用程序或存储服务的第三方公司。(具备不受限于本地服务器物理约束的可伸缩性和灵活性,含有数个冗余的多个数据中心带来的可靠性,外加可轻松应对万变需求的响应的负载均衡)
?云服务客户:云服务的客户可以是使用云服务(购买使用了云服务清单中的一种或几种特定的服务)的一个组织或组织的一部分。其中“特定的服务”是指由一个特定服务所交付的实际服务(如:租用阿里云网络、租用一年阿里云的存储设备等)。
?云服务商和云服务客户两者:既是云服务提供商又是云服务客户两者。
ISO27017认证过程流程图
ISO27017认证依据和受理条件
1.认证依据:
ISO/IEC 27017:2015 信息技术 安全技术 基于ISO/IEC 27002云服务信息安全控制实施规程