全国客服热线:
025-8622844413913844442
025-8622844413913844442
当前栏目:首页>>新闻中心>>云服务信息安全管理体系认证
随着云计算技术的广泛普及,越来越多的组织将业务和数据迁移至云端,云环境下的信息安全问题日益受到关注。数据泄露、黑客攻击等安全风险促使企业和云服务提供商寻求统一的标准来保障云环境安全。国际标准化组织(ISO)与国际电工委员会(IEC)联合发布了ISO/IEC 27017国际标准,为云服务提供者和使用者提供了专门的信息安全控制指南。我国已将ISO/IEC 27017:2015作为信息类管理体系认证的重要依据标准。作为经国家认监委依法批准设立、具备信息安全管理体系认证专业范围认可资格的独立第三方认证机构,我中心依据ISO/IEC 27017:2015《信息技术——安全技术——基于ISO/IEC 27002的云服务信息安全控制实践指南》和GB/T 22080/ISO/IEC 27001《信息技术——安全技术——信息安全管理体系——要求》两项标准,对云服务提供组织和云服务客户实施云服务信息安全管理体系认证,现就该项认证作如下介绍。
ISO/IEC 27017:2015由ISO/IEC JTC 1/SC 27信息安全、网络安全和隐私保护分技术委员会编制,于2015年10月正式发布。该标准是ISO/IEC 27000系列标准中专门针对云服务信息安全控制的技术指导性标准,它以ISO/IEC 27002《信息安全控制实践指南》为基础,针对云服务的提供和使用,补充了额外的实施指南和专项控制措施。
ISO/IEC 27017标准规定了云服务提供商与云服务客户双方在确保云服务中所涉及的数据安全可靠方面所扮演的角色和所承担的责任,提供相关信息安全控制措施的指南,用于保护基于云的环境并最大程度降低安全事件的潜在风险。该标准与ISO/IEC 27001信息安全管理体系标准无缝对接,因此进行ISO/IEC 27017认证建议建立在已具备ISO/IEC 27001认证基础之上,也可将两项认证审核一并进行。
在我中心开展云服务信息安全管理体系认证活动中,认证依据标准为:ISO/IEC 27017:2015《信息技术——安全技术——基于ISO/IEC 27002的云服务信息安全控制实践指南》和GB/T 22080/ISO/IEC 27001《信息技术——安全技术——信息安全管理体系——要求》。我中心颁发的认证证书标注的上述两项标准为认证依据。
ISO/IEC 27017的证书应与ISO/IEC 27001证书的有效性结合看待。对于同时申请两项认证的组织,可以在少量增加审核人日的基础上完成两个管理体系的审核,实现一体化的管理体系审核方案。
本认证适用于云服务提供商和云服务客户,涵盖但不限于以下组织类型:
● 云服务提供商(CSP):提供基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)等各类云计算服务的企业,包括但不限于在线邮件服务商、文档管理平台、基于云的应用程序和工具服务商;
● 云服务客户(CSC):采购和使用云服务以支持其业务运营的组织,涵盖政务、金融、电子商务、医疗服务、教育等各行业;
● 同时提供和使用云服务的组织:兼具云服务提供者和客户双重身份的组织。
该标准要求组织清晰界定云服务中双方的信息安全责任边界,明确在数据保护、访问控制、合同终止时资产归还等方面的角色与责任,减少因权责模糊导致的纠纷。
依据ISO/IEC 27017标准,认证审核围绕组织在云环境下的信息安全控制能力展开,重点关注以下核心管理领域:
云安全策略与控制:明确云服务提供商的安全治理政策和目标,建立适应云环境的信息安全控制框架。
运营管理:包括供应链安全、合同管理、服务备份和恢复、变更管理及业务连续性等关键环节。
客户数据与应用程序安全:涵盖隐私保护、网络安全防护、身份验证与访问控制、数据加密及密钥管理等控制措施。
云责任共担模型:明确云服务提供者和客户在信息安全管理中的各自角色与责任边界,确保双方各自履行安全义务。
持续监控与事件响应:建立云环境安全监测机制和安全事件响应程序,确保安全事件能够及时发现、报告和妥善处置。
申请本认证的组织应当同时满足以下基本条件:
1. 具有独立法人资格或经法人授权的合法经营资格,持有有效的营业执照或相关资质文件;
2. 已按照ISO/IEC 27001标准建立信息安全管理体系并有效运行,在此基础上按照ISO/IEC 27017的指南建立了相关云服务信息安全控制措施;
3. 体系已有效运行至少三个月,产生至少三个月的运行记录;
4. 在认证审核前已实施至少一次覆盖标准全部适用要素的内部审核和管理评审;
5. 体系运行期间及建立体系前一年内未受到主管部门行政处罚。
我中心实施云服务信息安全管理体系认证的基本流程如下:
(一)申请与受理。 申请组织向我中心提交正式认证申请书及相关证明文件,包括有效的营业执照、信息安全管理体系文件(如ISMS手册、程序文件、风险评估报告、适用性声明等)及云服务业务活动说明。我中心对申请材料的完整性和合规性进行审查,确认符合受理条件后正式受理。
(二)第一阶段审核(文件审查)。 审核组对申请组织提交的信息安全管理体系文件进行书面审查,审查内容涵盖客户准备的体系文件记录、组织位置和场所状况、对标准要求的理解程度,收集并评估有关认证范围、管理评审、流程和相互作用、内部审计、业绩数据和相关风险的信息。审核组旨在确认组织的体系文件已充分覆盖ISO/IEC 27001和ISO/IEC 27017标准的全部适用要求,并确定第二阶段审核的重点方向。
(三)第二阶段审核(现场审核)。 文件审查通过后,审核组进驻申请组织运营场所,通过访谈管理层及关键岗位人员、查阅体系运行记录、现场观察云服务运营过程等方式,全面验证云服务信息安全管理体系运行的有效性和符合性,重点关注体系有效性、不符合项数量和严重程度、投诉处理机制、管理层的承诺等要素。审核范围须覆盖标准全部适用条款和认证范围所涉及的核心业务活动。
(四)认证决定。 审核组根据现场审核发现,对组织的云服务信息安全管理体系与ISO/IEC 27017:2015和GB/T 22080/ISO/IEC 27001标准的符合性和运行有效性进行综合评价,形成审核报告。我中心认证决定人员依据审核报告独立做出认证决定。当审核确认组织的管理体系全面满足标准要求时,即为组织颁发认证证书。
(五)监督审核与再认证。 认证证书有效期为三年。获证后,组织须按年度接受监督审核,两次监督审核间隔不得超过12个月。证书到期前须申请再认证审核,再认证流程与初次认证基本一致。
获得云服务信息安全管理体系认证,是云服务提供组织具备国际公认的云安全控制能力的重要标志。该认证在以下方面具有重要价值:
在增强客户信任方面,认证向客户和利益相关方证明组织已建立符合国际标准的云服务安全控制体系,能够有效保护数据和信息的安全性,增强客户对云服务的信任度和满意度。
在市场竞争方面,ISO/IEC 27017认证是国际公认的云服务安全标准,获得认证可证明企业符合ISO/IEC 27001框架及云服务专项要求,帮助企业在招投标中脱颖而出,尤其成为政企客户在资格审查环节的刚性要求。
在内部管理效率方面,通过建立和实施云服务信息安全管理体系,有助于组织系统化管控云服务信息安全风险、优化安全流程、提升安全运营能力,降低安全漏洞和攻击发生的可能性及相关的成本和损失。
在合规方面,认证有助于组织满足许多行业和地区的法律法规和合同要求,确保遵守当地法规,降低因数据泄露而面临的处罚风险和声誉损失。
在国际接轨方面,ISO/IEC 27017提供覆盖不同国家的通用指导方针,为在全球范围内开展业务和获得作为首选供应商的机会提供便利。
作为经国家认监委依法批准设立、具备信息安全管理体系认证专业范围认可资格的独立第三方认证机构,我中心拥有一批具备ISO/IEC 27017认证资格且具有丰富云服务信息安全审核经验的审核员。中心严格遵守国家认证认可法律法规,遵循客观独立、公开公正、诚实信用的原则,对所有申请组织提供平等、规范的认证服务,确保认证结论的权威性和公信力。
如需进一步了解认证详情或提交认证申请,请通过我中心官方渠道获取申请文件和相关材料。
新闻聚焦