ISO/IEC 27017 的特点

  1. 它提供了有关谁负责云服务提供商和云客户之间的责任的明确说明;
  2. 合同终止时的资产清算/归还;
  3. 保护和分离客户的虚拟环境;
  4. 虚拟机配置;
  5. 与云环境相关的管理操作和过程;
  6. 云端客户对云端活动的监控;
  7. 虚拟和云网络环境对齐。

ISO/IEC 27017 的重要性

云数据的安全至关重要,因为客户希望确保其存储在云中时数据的安全。

ISO/IEC 27017标准允许组织致力于长期目标。该组织将拥有一个国际标准化框架来建立其云安全。在所需求的内部化之后,组织将能够减少运营和声誉风险,并朝着可持续的未来努力。

该标准广泛涵盖了以下主题:资产所有权,CSP解散时的恢复措施,具有敏感信息的资产处置,数据的隔离和存储,虚拟和物理网络的安全管理调整等。

ISO/IEC 27017 云服务信息安全管理体系企业认证 文件包中提交资料:

 

CSSMS现场审核完成后需要提交的资料如下:

  1. 按照BCC erp审核文件包24号“文件清单”中要求提交适用的资料(与ISMS一致)。 
  2. 在BCC erp 审核文件包25号“其他文件”中提交: 

公司资质;

体系文件(一级和二级文件,至少包含SOA文件和程序文件);

  • 包含CSSMS特殊要求的信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告);
  • 适用CSSMS要求的法律法规清单;
  • 支持云服务信息安全管理体系的规程和控制措施;
  • 风险评估报告(含风险评估方法的描述);
  • 残余风险报告;
  • 风险处置计划。