2020年10月29日,云服務(wù)信息安全管理體系認(rèn)證闡明云服務(wù)供應(yīng)商(CSP)和云服務(wù)客戶在數(shù)據(jù)安全方面所扮演的角色和所承擔(dān)的責(zé)任,并可以就使用云服務(wù)的數(shù)據(jù)安保措施進(jìn)行合格認(rèn)定,以降低因數(shù)據(jù)泄露及違反法律法規(guī)帶來(lái)的風(fēng)險(xiǎn)和負(fù)面影響。該認(rèn)證與信息安全管理體系認(rèn)證配合使用。
ISO/IEC 27017是基于ISO/IEC 27001的增強(qiáng)版本,旨在為云服務(wù)提供商和云服務(wù)客戶提供增強(qiáng)的控制能力,從而有助于讓云服務(wù)與傳統(tǒng)信息系統(tǒng)一樣安全可靠。ISO/IEC 27017標(biāo)準(zhǔn)不僅提供了ISO/IEC 27002標(biāo)準(zhǔn)中37個(gè)控制基于云端的指導(dǎo)方針,而且還包含7個(gè)全新云控制以解決以下問(wèn)題:1負(fù)責(zé)云服務(wù)提供商和云客戶之間關(guān)系的人是誰(shuí)
2當(dāng)合同終止時(shí),資產(chǎn)的移除/歸還
3客戶虛擬環(huán)境的保護(hù)和分離
4虛擬機(jī)配置
5與云環(huán)境相關(guān)的管理操作和程序
6云客戶監(jiān)控云中活動(dòng)
7虛擬和云網(wǎng)絡(luò)環(huán)境的對(duì)接
實(shí)施云服務(wù)信息安全管理體系認(rèn)證將有利于:
1驅(qū)使他人對(duì)您企業(yè)的信任感——讓您的客戶和利益相關(guān)者對(duì)其數(shù)據(jù)和信息的安全性更加放心。
2提供競(jìng)爭(zhēng)優(yōu)勢(shì)——展示對(duì)數(shù)據(jù)保護(hù)的穩(wěn)健控制。
3保護(hù)品牌聲譽(yù)——降低因數(shù)據(jù)泄露引發(fā)的負(fù)面宣傳風(fēng)險(xiǎn)。
4助力企業(yè)發(fā)展——提供覆蓋不同國(guó)家的通用指導(dǎo)方針,為在全球范圍內(nèi)開(kāi)展業(yè)務(wù)和獲得作為首選供應(yīng)商的機(jī)會(huì)提供便利性。
申請(qǐng)?jiān)品?wù)信息安全管理體系認(rèn)證需要什么條件?
1、企業(yè)根據(jù)云服務(wù)情況,對(duì)信息安全的風(fēng)險(xiǎn)進(jìn)行評(píng)估并決定選取ISO/IEC 27017標(biāo)準(zhǔn)中的相關(guān)控制措施之后,形成信息安全適用性聲明文件。
2、實(shí)施適用性聲明中的控制措施;
3、自我評(píng)價(jià)實(shí)施控制措施的效果.
4、 改進(jìn)發(fā)現(xiàn)的信息安全問(wèn)題點(diǎn)。