一、業(yè)務(wù)背景

在******范圍內(nèi)，組織越來越意識到云計(jì)算所帶來的商業(yè)價(jià)值，并正在采取步驟向云過渡。 平穩(wěn)的過渡需要對收益和所涉及的挑戰(zhàn)有透徹的了解。

云計(jì)算的主要挑戰(zhàn)之一是如何解決計(jì)劃采用它的企業(yè)和實(shí)施它的云服務(wù)提供商（CSP）的安全和隱私問題。有價(jià)值的企業(yè)數(shù)據(jù)將駐留在企業(yè)防火墻之外的事實(shí)引起了人們的嚴(yán)重關(guān)注。即使僅攻擊一個(gè)站點(diǎn)，對云基礎(chǔ)架構(gòu)的黑客攻擊和各種網(wǎng)絡(luò)攻擊也會產(chǎn)生多米諾骨牌效應(yīng)，并影響多個(gè)客戶端。

隨著全球云技術(shù)的使用持續(xù)增長，企業(yè)必須從戰(zhàn)略上考慮存儲受保護(hù)信息的風(fēng)險(xiǎn)，并探索可行的安全選項(xiàng)以保護(hù)其信息系統(tǒng)。

尋求以結(jié)構(gòu)化且可靠的方式使用云安全的組織可以從ISO/IEC 27017：2015（Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services ）標(biāo)準(zhǔn)中受益匪淺。 ISO/IEC 27017是為云服務(wù)提供商和用戶開發(fā)的標(biāo)準(zhǔn)，用于保護(hù)基于云的環(huán)境并******程度降低安全事件的潛在風(fēng)險(xiǎn)。

二、業(yè)務(wù)介紹

ISO27017認(rèn)證適用于云服務(wù)提供商和云服務(wù)客戶，ISO/IEC 27017旨在幫助推薦和實(shí)施基于云的組織的控件。這不僅與將信息存儲在云中的組織有關(guān)，而且還與向可能擁有敏感信息的其他公司提供基于云的服務(wù)的提供商有關(guān)。 該標(biāo)準(zhǔn)建立在ISO/IEC27002標(biāo)準(zhǔn)的基礎(chǔ)上，但是允許添加特定的控件以滿足云組織及其***終用戶的需求。

ISO/IEC 27017標(biāo)準(zhǔn)與ISO/IEC 27001系列標(biāo)準(zhǔn)配合使用，為云服務(wù)提供商和云服務(wù)客戶提供加強(qiáng)控制。與許多其他技術(shù)相關(guān)標(biāo)準(zhǔn)不同的是，ISO/IEC 27017標(biāo)準(zhǔn)闡明了雙方在幫助確保云服務(wù)如同認(rèn)證信息管理系統(tǒng)中所包含的其他數(shù)據(jù)那般安全可靠方面所扮演的角色和所承擔(dān)的責(zé)任。

三、實(shí)施該業(yè)務(wù)的價(jià)值 

ISO/IEC 27017標(biāo)準(zhǔn)建立在ISO/IEC 27001信息安全管理體系框架和ISO/IEC 27002作為******實(shí)踐控制設(shè)置的堅(jiān)實(shí)基礎(chǔ)之上。通過ISO/IEC 27017標(biāo)準(zhǔn)認(rèn)證，即證明其遵守國際公認(rèn)的******實(shí)踐，在云和更廣泛的運(yùn)營層面構(gòu)建組織的生存力。通過ISO/IEC 27017標(biāo)準(zhǔn)認(rèn)證的益處包括不限于：提升信任，讓組織的客戶和利益相關(guān)者對其數(shù)據(jù)和信息的安全性更加放心；通過對數(shù)據(jù)保護(hù)的穩(wěn)健控制展示競爭優(yōu)勢；降低因數(shù)據(jù)泄露引發(fā)的負(fù)面宣傳風(fēng)險(xiǎn)提升品牌聲譽(yù)；確保遵守當(dāng)?shù)胤ㄒ?guī)，降低對數(shù)據(jù)泄露的罰款風(fēng)險(xiǎn)；提供覆蓋不同國家的通用指導(dǎo)方針，為在全球范圍內(nèi)開展業(yè)務(wù)和獲得作為******供應(yīng)商的機(jī)會提供便利性，企業(yè)獲得發(fā)展。

四、業(yè)務(wù)流程

ISO27017是基于ISO27001的增強(qiáng)版本，旨在為云服務(wù)提供商和云服務(wù)客戶提供增強(qiáng)的控制能力，從而有助于讓云服務(wù)與傳統(tǒng)信息系統(tǒng)一樣安全可靠。申請認(rèn)證的組織組織應(yīng)已建立符合ISO/IEC 27001：2013標(biāo)準(zhǔn)要求的管理體系，在申請認(rèn)證之前應(yīng)完成內(nèi)部審核和管理評審，并保證體系有效、充分運(yùn)行三個(gè)月以上，并且按照ISO27017的指南建立了相關(guān)控制措施。  

組織應(yīng)向賽西認(rèn)證提供管理體系運(yùn)行的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認(rèn)證范圍、地址及人員分布等情況，賽西認(rèn)證將以抽樣的方式對多現(xiàn)場進(jìn)行審核；

認(rèn)證分兩個(gè)階段進(jìn)行：******階段審核，主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性；第二階段審核，主要對體系的符合性和有效性進(jìn)行評價(jià)，作出現(xiàn)場審核的推薦結(jié)論；

證書有效期3年，獲得認(rèn)證后每年進(jìn)行一次監(jiān)督。