申请ISO27017云服务信息安全管理体系认证所需提供的材料
一、ISO27017云服务信息安全管理体系认证是什么
1、安全是云客户担忧的一大问题,尽管云有着出色的灵活性和可拓展性,但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且充分重视客户数据。
2、ISO 27017标准与ISO 27001系列标准配合使用,为云服务提供商和云服务客户提供了加强控制。ISO 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。
3、ISO 27017标准不仅提供了基于ISO 27001标准中多个控制措施的针对云服务的特殊要求,还介绍了7个全新的云服务以解决以下问题:
• 负责云服务提供商和云客户之间关系的人是谁
• 当合同终止时,资产的移除/归还
• 客户虚拟环境的保护和分离
• 虚拟机配置
• 与云环境相关的管理操作和程序
• 云客户监控云中活动
• 虚拟和云网络环境的对接
二、企业做ISO27017云服务信息安全管理体系认证有什么好处?
通过ISO27017的认证,可以有效地保护数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。ISO27001因为是最基础的规范,所以在进行ISO27017之前,必须先经过基本的ISO27001认证。ISO27017认证也有可能会与ISO27001认证审核一并进行。
1、提升信任度:让您的客户和利益相关者对其数据和信息的安全性更加放心。
2、竞争优势:到位的强大控制措施可以有效的保护数据。
3、企业发展:提供不同国家/地区的通用指南,使其在全球开展业务变得更加容易。
4、品牌声誉:降低因数据泄露引发的负面宣传风险。
5、防止罚款:确保遵守当地法规,降低对数据泄露的罚款风险。
ISO 27017标准建立在ISO 27001信息安全管理体系框架和ISO 27002作为最佳实践控制设置的坚实基础之上。通过ISO 27017标准认证,即证明其遵守国际公认的最佳实践,在云和更广泛的运营层面构建组织的生存力。
三、ISO27001/ISO27002与ISO27017标准的差异部分
详见相关资讯
四、哪些企业可以申请ISO27017云服务信息安全管理体系认证?
1、ISO 27017强调了各种公司与其客户之间进行通信的重要性,以开发合适的安全管理流程。另外,ISO 27017规定了客户与云提供商之间的关系。该标准可以帮助云提供商识别重要的安全方面,以便确定合适的合作伙伴。以下企业适合做此类认证:
2、以信息为生命线的行业:
1)金融行业:银行、保险、证券、基金、期货等
2)通信行业:电信、网通、移动、联通等
3)皮包公司:外贸、进出口、HR、猎头、会计师事务所等
3、对信息技术依赖度高的行业:
1)钢铁、半导体、物流
2)电力、能源
3)外包(ITO或BPO):IT、软件、电信IDC、呼叫中心、数据录入,数据处理加工等
4、工艺技术要求高、竞争对手渴望得到的:
1)医药、精细化工
2)研究机构
五、企业申请ISO27017云服务信息安全管理体系认证有什么条件?
1、 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2、申请方的云服务信息安全管理体系已按ISO 27017云服务信息安全管理体系标准的要求建立,并实施运行3个月以上。
3、至少完成一次云服务安全影响评估、内部审核,并进行管理评审。
4、云服务信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
5、企业受到行政处罚,已经处理掉了,没有暂停营业。
6、申请范围不超出资质许可范围、不超出认证机构的业务范围。
7、无违规转机构、无违法、无失信。
8、申报人数与实际人数相差不超出20%。
9、提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。
六、申请ISO 27017云服务信息安全管理体系认证所需提供的材料:
1、 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等)复印件加盖公章。存在时,应提交分支机构的营业执照复印件加盖公章;
2、临时场所清单(如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点);
3、至少应提供以下文件信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等;
4、关于认证活动的限制条件(如出于安全或保密等原因存在时);
5、体系方针和目标;
6、支持管理体系的规程和控制措施;
7、风险评估报告(含风险评估方法的描述);
8、残余风险报告。
七、申请ISO27017云服务信息安全管理体系认证的流程是什么?
1、按照ISO 27017云服务信息安全管理体系标准要求建立体系框架;
2、体系建立后,需要运行一段时间,最少三个月,产生三个月的运行记录;
3、向认证机构递交审核申请;
4、认证机构评估费用和正式审核时间;
5、认证机构将进行预审,在正式审核前排除一些重大的缺失,同时让客户熟悉审核的评估方法,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;
6、认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议;
7、如果能顺利完成审核,在确定清楚认证范围后,发放ISO 27017云服务信息安全管理体系认证证书。在满足持续审核的情况下,三年有效。
八、申请27017云服务信息安全管理体系认证企业需要怎么配合?
1、配合项目启动:前期沟通,实施计划,项目小组,资源支持;
2、配合提供认证项目、咨询、所需的资质证明及相关材料;
3、配合做好前期培训:对全员进行云服务信息安全意识培训,云服务信息安全体系实施推广培训以及必要的考核;
4、配合做好企业云服务信息安全资产价值、威胁因素、脆弱性分析与识别,选择适当的措施和方法,以实现管理风险的目的(这些内容需要懂IT的人员配合才能完成);
5、配合咨询做好相关的培训、内审、管理评审及不合格项纠正预防及整改、记录表格的完善、文件的打印、归档;
6、协助审核认证,内部审核小组陪同协助,应对审核中的问题。
7、及时整改不符合项,正确使用认证证书。
申请ISO27018认证的条件是什么怎么申请认证
一、什么是ISO27018认证
要申请这项认证,要先知道最基本的情况,这对以后的现场审核也有帮助。ISO/IEC27018标准是一个主要针对保护云计算中个人数据安全的国际标准。而且,ISO/IEC 27018管理体系(以下简称:CPIISMS)是基于ISO27001信息安全管理体系(以下简称:ISMS)扩展的管理体系。
CPIISMS 对ISMS 附录A 扩展的要求有两个方面:
(1)在原有的ISMS 标准的附录A 中114 控制条款延展了15%的要求,主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;
(2)在ISMS 标准附录A 中的114 个控制条款基础上,根据ISO/IEC 29100 的11个隐私原则增加了11个CPIISMS 特定的PII 保护附加控制条款。
二、ISO27018认证的适用范围有哪些?
ISO27018认证适用于各个行业类别,只要从事信息领域服务的任何大型或小型组织都可以申请认证。不一定非要从事互联网,其他行业也可以适用。
三、申请ISO27018认证的条件是什么?
1、公有云中个人可识别信息保护管理体系(CPIISMS)是在ISO/IEC 27001:2013 信息安全管理体系的基础上建立、实施和扩展的,ISMS 是CPIISMS 的基础和前提条件。申请CPIISMS 的组织应已经建立信息安全管理体系,且通过了ISMS 认证或准备同时申请ISMS 认证。
2、申请的CPIISMS认证范围需不大于组织的ISMS的认证范围,超出的认证范围必须先安排对其ISMS实施专项扩大审核后,再安排CPIISMS 的审核。
四、申请ISO27018认证需提供的资料
1) 基本资料(营业执照、行政许可(如有)、临时场所清单等);
2) 有效的ISMS 认证证书或ISMS 认证申请;
3) 支持公有云中个人可识别信息保护管理体系的规程和控制措施;
4) 隐私影响评估报告(含隐私影响评估方法的描述);
5) 适用性声明;
6) 适用的法律法规的标准的清单;
7)《管理体系认证申请书》中的具体事项;