ISO/IEC27017標準建立在ISO/IEC27001云服務信息管理體系框架和ISO/IEC27002作為實踐控制設置的堅實基礎之上。通過獲得ISO 27017認證，云服務提供商可以證明其采取了適當?shù)男畔⒋胧?，符合國際標準，并符合客戶的需求和期望。同時，客戶也可以通過查看認證證書，確認云服務提供商的信息水平，從而更加放心地使用云服務。

涵蓋領(lǐng)域

1、云服務提供商的策略和控制;

2、云服務提供商的運營管理，包括供應鏈、合同管理、服務備份和恢復等;

3、客戶數(shù)據(jù)和應用程序的性，包括隱私保護、網(wǎng)絡、身份驗證和訪問控制等。

適用范圍

ISO27017云服務信息管理體系認證適用于云服務提供商和云服務客戶。

ISO27017旨在幫助推薦和實施基于云的組織的密件。這不僅與將信息存儲在云中的組織有關(guān)，而且還與向可能擁有敏感信息的其他公司提供基于云的服務的提供商有關(guān)。

以下企業(yè)適合做此類認證：1、以信息為生命線的行業(yè)：2、金融行業(yè)：銀行、保險、證券、基金、期貨等3、通信行業(yè)：電信、網(wǎng)通、移動、聯(lián)通等4、其他行業(yè)：外貿(mào)、進出口、HR、獵頭、會計師事務所等5、對信息技術(shù)依賴度高的行業(yè)：6、鋼鐵、半導體、物流7、電力、能源8、外包(ITO或BPO)：IT、軟件、電信IDC、呼叫中心、數(shù)據(jù)錄入、數(shù)據(jù)處理加工等9、工藝技術(shù)要求高、競爭對手渴望得到的： 10、醫(yī)藥、精細化工11、研究機構(gòu)等

認證條件

1、申報企業(yè)主體需具有合法的法律地位(如營業(yè)執(zhí)照);申報企業(yè)沒有受到工商行政處罰或所受行政處罰已全部執(zhí)行完畢并提供有效證據(jù)。

2、申報企業(yè)有固定的的辦公場地和與申報類別匹配的業(yè)務，能接受認證機構(gòu)現(xiàn)場審核。

3、ISO27017認證是在ISO27001信息管理體系的基礎上建立、實施和擴展的，ISO27001是ISO27017認證的基礎和前提條件。申請ISO27017認證的組織應已經(jīng)建立信息管理體系，且通過了ISO27001認證或準備同時申請ISO27001認證。

4、申請的ISO27017認證范圍不能大于組織的ISO27001覆蓋范圍，超出的認證范圍必須先安排對其ISO27001實施專項擴大審核后，再安排ISO27017的審核。

所需材料

1) 基本資料(營業(yè)執(zhí)照、行政許可(如有)、臨時場所清單等);

2) 有效的ISMS 認證證書或ISMS 認證申請;

3) 云服務信息管理體系方針和目標;

4) 支持云服務信息管理體系的規(guī)程和控制措施;

5) 風險評估報告(含風險評估方法的描述);

6) 殘余風險報告;

7) 風險處置計劃;

8) 適用性聲明;

9) 適用的法律法規(guī)的標準的清單;

10)《管理體系認證申請書》中的保密和敏感信息聲明表;

11)《管理體系認證申請書》中的信息管理體系/云服務信息管理體系/云服務信息管理體系/云服務信息管理體系/業(yè)務連續(xù)性管理體系認證客戶基本信息等。

認證流程

1、建立云服務信息管理體系，并通過企業(yè)內(nèi)審和管理評審;

2、向認證機構(gòu)提交認證申請書、手冊、程序文件等資料;

3、認證機構(gòu)受理后，安排審核員進行現(xiàn)場審核;

4、審核結(jié)束，一般會進行不符合項的整改，整改完成通過后，頒發(fā)證書。證書有效期三年，每年需年審以保持證書。