IEC 27017 云服务信息安全控制规范认证简介

1、背景介绍

在当今互联网时代潮流中，组织为提升响应速度、降低运营成本、保持创新、高效的组织文化，推动了云服务的广泛应用。随着云服务需求的日益增加，对于云服务的规范管理需求进一步增强。云服务有助于组织应对断电、断网、物理设备损坏、自然灾害等对于数据、设备、组织正常运营的威胁。但是云服务客户的重要数据、重要信息处于云服务供应商环境下的风险仍然大量存在，云服务供需双方在服务中的各自职责仍然不明确，组织对采用云服务的信任度不高。没有得到社会广泛认可的统一判定标准是造成这些问题的主要原因。

ISO 27001系列标准可以帮助客户解决其中一些担忧，然而新标准——ISO/IEC 27017《信息技术 -- 安全技术 -- 基于ISO/IEC 27002的云服务信息安全控制的实用规则》， 则能够更进一步解决问题， 使潜在云客户更加安全放心地使用。

ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用，为云服务提供商和云服务客户提供加强控制。

2、标准简介

ISO/IEC 27017是保护云服务安全的国际标准，于2015年12月15日正式发布，该标准是专门针对云计算服务的信息安全控制措施实用标准，为云服务行业提供了基于ISO/IEC 27002的指南，与ISO/IEC 27001标准配合使用，将有效加强对云服务提供商及云服务客户的管理能力。

ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针，而且还介绍了7个全新云控制以解决以下问题：

1)     负责云服务提供商和云客户之间关系的人是谁；

2)     当合同终止时，资产的移除/归还；

3)     客户虚拟环境的保护和分离；

4)     虚拟机配置；

5)     与云环境相关的管理操作和程序；

6)     云客户监控云中活动；

7)     虚拟和云网络环境的对接。

3、实施意义

Ø  提升客户信任度：让您的客户对您实施的保护措施及其数据安全性消除疑虑。

Ø  提升竞争力：展示您的企业在保护数据方面所达到的专业水平。

Ø  提升合规性降低风险：降低违规泄露数据的可能性，确保遵守相应法规。

Ø  促进发展：为企业开展多地区业务和赢得首选供应商机会提供强有力的佐证。

Ø  自我证明：表明企业在信息系统安全、数据中心安全、信息安全管理等方面拥有业内一流的云安全服务能力。

4、适用范围及申请条件

本标准适用于为企业提供云服务（SaaS、IaaS、SaaS）的云服务供应商及采用云服务的云客户。

具有中经科环颁发的ISO/IEC 27001体系认证证书。