一篇文章全面了解ISO27017云信息安全管理体系认证,一篇文章全面了解ISO38505数据治理认证

一篇文章全面了解ISO27017云信息安全管理体系认证

一、概述

安全是云顾客担忧的一大问题，尽管云有着出色的灵活性和可拓展性，但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云顾客主要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视顾客数据。

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务顾客提供了加强控制。ISO/IEC 27017标准阐明了云服务提供商和云服务顾客双方在协助确保云服务安全可靠方面所扮演的角色和所承担的责任。

ISO/IEC 27017标准不仅提供了基于ISO/IEC 27002标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施。

通过ISO27017的认证，能够有效地保护数据，降低数据泄露以及违反法律法规带来的风险和负面影响，增强顾客对企业的信任。ISO27001由于是最基础的规范，因此在进行ISO27017以前，必须先经过基本的ISO27001认证。ISO27017认证也有可能会与1SO27001认证审核一并进行。

二、什么叫ISO/IEC 27017标准

ISO/IEC 27017《信息技术 -- 安全技术 -- 基于ISO/IEC 27002的云服务信息安全控制的实用规则》，这代表着该标准建立在ISO/IEC 27002的现有安全控制的基础上。换句话说，ISO/IEC 27017建议对云进行额外的安全控制，而ISO27002不能充分涵盖这片区域。

三、ISO/IEC 27017标准的可信度

ISO/IEC 27017标准建立在ISO/IEC 27001信息安全管理体系框架和ISO/IEC 27002作为最佳实践控制设置的坚实基础之上。通过ISO/IEC 27017标准认证，即证明其遵守国际公认的最佳实践，在云和更广泛的运营层面构建组织的生存力。

作为云服务用户，您的顾客和利益相关方也会对您投以更高的信任，了解您已尽责完成您作为他们供应商应当履行的本职工作。

四、ISO27018有什么好处？

■提升信任——让您的顾客和利益相关者对其数据和信息的安全性更加放心。

■竞争优势——展示对数据保护的稳健控制。

■品牌声誉——降低因数据泄露引发的负面宣传风险。

■防止罚款——确保遵守当地法规，降低对数据泄露的罚款风险。

■企业发展——提供覆盖不同国家的通用指导方针，为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。

五、我们服务的部分ISO27017获证企业

北京易华录信息技术股份有限责任公司

医渡云（北京）技术有限责任公司

北京左医科技有限责任公司

等等

一篇文章全面了解ISO38505数据治理认证

一、引言

数据正在成为决定企业成功的核心企业资产。数字化转型无处不在。假如您能够管理数据，则只能利用数据资产并成功进行数字转换。这代表着必须部署适合您的组织以及未来业务目标和业务模型的数据治理框架。该框架必须控制此过程所需的数据标准，并在组织内部以及公司运营所在的业务生态系统中委派所需的角色和职责。

数据已经逐渐取代传统的IT基础设施和应用成为组织发展新的动力和重要的资产。数据的价值被组织的高层管理者所接受，越来越多的组织通过加强数据的利用找寻新业务的增长点。而传统的数据质量、数据标准、数据模型、元数据、主数据等数据管理活动只解决数据相关的局部问题，其相互之间没有统一的协调和安排，管理活动之间存在割裂和不一致，导致数据利用的效率降低。

ISO38505数据治理安全认证是全球首个针对企业数据安全治理的管理体系认证，代表了数据治理安全的国际通行要求。数据治理安全是全球新兴的安全理念，包含企业数据资产的安全管理、数据使用的安全管控、数据治理的安全稽核等。数据治理安全体系是一种动态安全体系，面向的是支持业务系统的数据，数据是能够流转、使用的、共享的，并从治理和技术两个视角看数据服务及技术生命周期，进行安全等级的区划。

什么叫数据治理？

数据治理包含管理和保护公司数据资产所需的人员，流程和技术，以保证，正确，完整，可信赖，安全和可发现的数据。

二、数据治理标准的主要内容

ISO/IEC38505-1标准定义了ISO/IEC 38500《组织的信息技术治理》（以下称ISO/IEC 38500）在数据治理中的应用，提出了数据治理的意义、原则、模型和特征，并明确了数据治理的任务、实施导则和应用，包含：

1、明确了数据治理的意义、治理主体的职责、数据治理的监督机制；

2、在ISO/IEC 38500的基础上，进1步明确数据治理的“E（评估）-D（指导）-M（监督）方法论；

3、提出了数据采集、存储、报告、决策、发布、处置相关的治理任务；

4、明确怎样将ISO/IEC 38500所定义的“责任、战略、获取、绩效、合规、人员行为六大原则应用到数据治理中；

5、提出了ISO/IEC 38500治理模型的应用方法；

6、提出基于“价值、风险和约束数据特性的治理导则；

7、提出了数据责任矩阵表以及应用方法。

ISO/IEC38505-1的正式发布，代表着由我国提出的数据治理理念和方法论在国际上已达成共识，是中国对国际标准的重要贡献。ITSS分委会国际标准工作组将继续全面推进国际标准的研制、应用实践和落地。

数据治理责任图包含收集、存储、报告、决策、发布和处置几个活动。组织通过收集来获取数据，经过存储、报告、决策再到收集形成反馈循环，以确保数据适合不同场景的必须，这样能够促进组织改进数据收集过程，同时提升企业的业务决策效率。对于不同业务类型的组织，数据治理责任图从治理的视角标识出治理主体必须关注的主题。

三、数据治理的目标

数据治理的目标是建立标准化，集成，保护和存储公司数据的方法，职责集和流程。组织的主要目标应该是：

1、降低风险

2、建立数据使用内部规则

3、实施合规要求

4、改善内部和外部沟通

5、增加数据价值

6、方便数据管理

7、降低成本

8、通过风险管理和优化来协助确保公司的持续生存。

四、数据治理认证的益处

1、高效运营

2、从根本上解决数据质量问题

3、规范和共享的必须

4、风险管理的需求

5、管理创新必须

6、业务流程和资源配置的优化，能够提高业务管理能力；

7、避免出了问题再补漏，数据管理部门和生产部门相互推脱责任。

高质量的数据是分析挖掘的基础，有助于改善决策能力，做出正确的决策，发现更多商业机会。