ISO/IEC 27017云服务信息安全管理体系认证

最近几乎每一项市场调查都预测云服务的快速扩张。著名的信息和通信技术市场研究公司加特纳(Gartner)预测，云计算市场从2012年的1100亿美元增长到2017年的1310亿美元，整体增长了18.6%^[1]。思科全球云指数^[2] 预测IaaS和SaaS服务正分别以13%的复合年增长率和33%的复合年增长率快速成长。

现在差不多所有的个人和消费层面的应用均为云端应用。但是，在企业、政府和公共服务环境中云服务的采用依然不高。根据Ciphercloud研究，合规性（64%）和数据安全（32%）是云应用最大的两个挑战。

对用户而言，如果一个云服务提供商能提供安心和信心给到其用户，证明其云服务是可靠的、符合适用法规和合同要求的，并对其能采用最好的行业实践，那么该云服务提供商将成为用户的选择。在这种实际需求存在的背景下，ISO/IEC27017和ISO/IEC27018应运而生。

对云营运来讲，ISO/IEC27001:2013则是一个很好的标准，但云服务提供商希望看到更多的针对云的控制规范来帮助他们解决云的具体问题。ISO/IEC27017和ISO/IEC27018标准正是工业界在产生这些要求后结果的体现。

云服务提供商提供的传统服务级别协议(SLA)主要侧重于数据中心的绩效，如服务器和网络可用性、环境和物理安全问题，以及传统的服务，如备份和监控。云服务有其特定的关注点，它们通常不在服务级别和合同协议中提到。

《云服务信息安全-要求-基于ISO/IEC 27017: 2015》是SGS基于ISO/IEC 27017: 2015制定的对云服务信息安全标准。

该标准的主要价值在于建立清晰的信任边界：它通过标准化语言定义了云服务中的安全责任，减少了因责任模糊导致的安全漏洞或纠纷。对于提供商，它是证明安全能力的信任状；对于客户，它是进行安全评估和尽职调查的实用工具。如将云安全看作一份“共担责任模型”的合同，那么此标准就是这份合同中最关键的安全条款细则。

标准同时为云服务提供商（如IaaS、PaaS、SaaS厂商）和使用云服务的客户提出控制要求。作为云服务提供商，能向客户展示其云信息安全控制能力。对云服务客户，能帮助其协同云服务提供商管理其在云上信息资产的安全。

CNLPQP_ISCC_02 云服务信息安全管理体系认证 版本1.1

认证对象通过 ISO/IEC 27001 认证，提供或使用 IaaS、PaaS、SaaS 或云解决方案服务，申请本认证。

认证依据1：云服务信息安全-要求-基于ISO/IEC 27017: 2015

认证依据2：信息技术-安全技术-基于ISO/IEC27002的云服务信息安全控制操作规范

一、具体内容

步骤1 – 签订合同：SGS根据组织的规模及业务类型提供定制化的审核计划。

步骤2 – 预审核：SGS提供可选择的针对准备情况与薄弱环节的“预审”服务。

步骤3 – 正审第一阶段：对组织建立的文件化体系及其他重要体系进行评估，提出不符合项。

步骤4 – 正审第二阶段：现场审核，提出审核发现，审核合格后会签发证书。

步骤5 – 监督审核：根据合同，每半年或一年对体系和整改计划的实施进行监督审核。

步骤6 – 再认证：证书签发3年期满后，实施再认证审核。

二、图示

 凭借在信息安全管理领域的专业服务和丰富经验，SGS能将ISO/IEC27017和ISO/IEC27018规范要求与ISO/IEC27001认证要求进行有效结合，帮你向客户展示你自身的服务水平和能力，增强客户信心。

 在全球范围内，SGS拥有庞大的审核团队，其中大多数审核员拥有多标准资质。这一庞大的多技能审核员队伍意味着SGS能够同时在世界不同的地点，处理多标准审核。这能够加快合规保证过程，使您的项目无忧管理。

 作为国际公认的检验、鉴定、测试和认证机构，SGS在IT信息安全领域解决方案范围广泛，并致力于为各行业机构提供全方位管理提升服务。服务内容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培训、认证和审核相关服务。