什么是 ISO/IEC 27017 ？

安全是云客户担忧的一大问题,云有着出色的灵活性和可拓展性,但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视客户数据。

 ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供了加强控制。ISO/IEC 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。

ISO/IEC 27017标准不仅提供了基于ISO/IEC 27002标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施。

通过ISO27017的认证，可以有效地保护数据，降低数据泄露以及违反法律法规带来的风险和负面影响，增强客户对企业的信任。

ISO/EC27017旨在帮助推荐和实施基于云的组织的密件。这不仅与将信息存储在云中的组织有关，还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。该标准建立在ISO27002标标准的基础上，允许添加特定的控件以满足云组织及其Zui终用户的需求。

1、它提供了有关谁负责云服务提供商和云客户之间的责任的明确说明；

2、合同终止时的资产清算/归还；

3、保护和分离客户的虚拟环境；

4、虚拟机配置；

5、与云环境相关的管理操作和过程；

6、云端客户对云端活动的监控；

7、虚拟和云网络环境对齐。

通过ISO27017的认证，可以有效地保护数据，降低数据泄露以及违反法律法规带来的风险和负面影响，增强客户对企业的信任。ISO27001因为是Zui基础的规范，在进行ISO27017之前，必须先经过基本的ISO27001认证。ISO27017认证也有可能会与ISO27001认证审核一并进行。

1、提升信任度：让您的客户和利益相关者对其数据和信息的安全性更加放心。

2、竞争优势：到位的强大控制措施可以有效的保护数据。

3、企业发展：提供不同国家/地区的通用指南，使其在全球开展业务变得更加容易。

4、品牌声誉：降低因数据泄露引发的负面宣传风险。

5、防止罚款：确保遵守当地法规，降低对数据泄露的罚款风险。

1、按照ISO/IEC27017:2015云服务信息安全管理体系标准要求建立体系框架；

2、体系建立后，需要运行一段时间，Zui少三个月，产生三个月的运行记录；

3、向认证机构递交审核申请；

4、认证机构评估费用和正式审核时间；

5、认证机构将进行第一阶段审核；

6、认证机构将进行第二阶段审核，通过现场审核为企业出具审核报告并给出建议；

7、如果能顺利完成审核，在确定清楚认证范围后，发放ISO/IEC27017:2015云服务信息安全管理体系认证证书。

8、在满足持续审核情况下，三年有效。