ISO27017云服务安全管理体系介绍

发布：中祥认证

2025-06-18

2次

　　ISO27017是云服务信息安全管理体系，专门针对云计算服务的信息安全控制措施使用标准。该标准基于ISO/IEC 27001和27002，旨在为云服务提供商和云服务客户提供增强控制能力的依据，确保云服务与传统信息系统一样安全可靠。

　　ISO27017认证是什么?

　　ISO 27017云服务信息安全管理体系认证，是为云服务提供商(CSP)和云服务客户提供增强控制能力的依据，从而有助于让云服务与传统信息系统一样安全可靠。获得认证的企业，标志着其建立的安全控制措施满足云服务客户的信息安全要求，云服务信息安全管理水平处于云服务提供商前列。

　　ISO 27017标准允许组织致力于长期目标。该组织将拥有一个国际标准化框架来建立其云安全。在所需求的内部化之后，组织将能够减少运营和声誉风险，并朝着可持续的未来努力。

　　该标准广泛涵盖了以下主题：资产所有权、CSP解散时的恢复措施、具有敏感信息的资产处置、数据的隔离和存储、虚拟和物理网络的安全管理调整等。

　　ISO27017认证适用范围

　　1、以信息为生命线的行业;

　　2、金融行业：银行、保险、证券、基金、期货等;

　　3、通信行业：电信、网通、移动、联通等;

　　4、其他行业：外贸、进出口、HR、猎头、会计师事务所等;

　　5、对信息技术依赖度高的行业;

　　6、钢铁、半导体、物流;

　　7、电力、能源;

　　8、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入、数据处理加工等;

　　9、工艺技术要求高、竞争对手渴望得到的;

　　10、医药、精细化工;

　　11、研究机构等;

　　ISO27017认证标准核心内容

　　ISO/IEC 27017标准不仅提供了基于ISO/IEC 27001标准中多个控制措施的针对云服务的特殊要求，还介绍了7个全新的云服务控制措施以解决以下问题：

　　• 负责云服务提供商和云服务客户关系的人是谁

　　• 当合同终止时，资产的移除/归还

　　• 客户虚拟环境的保护和分离

　　• 虚拟机配置

　　• 与云环境相关的管理操作和程序

　　• 云服务客户监控云中活动

　　• 虚拟和云网络环境的对接

　　ISO/IEC 27017标准适用于所有类型和规模大小的组织，无论是自建的云服务还是通过购买所获得的云服务，以及云服务提供商本身，皆通过此标准的指引，强化所提供或者所使用的云服务的安全。