13173616688
业务推荐
ISO27017云服务信息安全管理体系

ISO27017云服务信息安全管理体系

基于ISO/IEC 27002的云服务信息安全控制的实用规则
ISO/IEC 27017是什么?
ISO/IEC 27017简称“云服务信息安全认证”。
ISO/IEC 27017是有关《信息技术 - 安全技术 – 基于ISO/IEC 27002的云服务信息安全控制的实施规程》的国际标准。该标准提供了适用于提供和使用云服务的信息安全控制指南,包括如下方面:
① ISO/IEC 27002标准中有关控制的附加实施指南。
② 带有具体涉及云服务实施指南的附加控制。

ISO/IEC 27017的适用性
ISO27017认证适用于云服务提供商和云服务客户。
ISO27017与ISO27k系列标准之间的关系
ISO27017是基于ISO27001的增强版本,旨在为云服务提供商和云服务客户提供增强的控制能力,从而有助于让云服务与传统信息系统一样安全可靠。
ISO/IEC 27017标准阐明了云服务提供商和云服务客户双方在帮助确保云服务安全可靠方面所扮演的角色和所承担的责任。
ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云服务的指导方针,而且还介绍了7个全新的云服务控制措施,以解决以下问题:
- 负责云服务提供商和云客户之间关系的人是谁
- 当合同终止时,资产的移除/归还
- 客户虚拟环境的保护和分离
- 虚拟机配置
- 与云环境相关的管理操作和程序
- 云客户监控云中活动
- 虚拟和云网络环境的对接 

ISO27017和ISO27018都是基于ISO27002标准,并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。两个标准都是基于ISO27001延伸。
ISO 27017提出比较多的改变安全控制。
ISO 27018则是提出比较多新增安全控制。
ISO27001因为是基础的规范,所以在进行ISO27017 or ISO27018之前,必须先经过基本的ISO27001认证。
基于ISO27001认证基础下,可增加的认证包括:
ISO27017: 云端对于个人隐私数据的产生、储存、管理、通知、消除、加密、传输等处理;
ISO27018 : 如果公司预计提供云服务,相关云端维运的安全控制措施;
ISO27040 : 网络空间安全,针对提供互联网服务的企业;
ISO27032 : 规划、设计、记录和实施数据存储安全性,为组织如何定义适当的风险缓解水平提供详细的技术指导,是管理数据存储安全的最高执行性标准之一。其存储安全性适用于存储信息的保护(安全性)以及通过与存储相关的通信链路传输的信息安全。
从客户服务来看,ISO27001是业内最基础的信息安全认证,容易得到大众客户的认可。
从信息安全来看,ISO27017 / ISO27018 / ISO27040 / ISO27032更侧重于细分领域的安全管控措施。

ISO/IEC 27017认证收益
1)增强外部信任 —— 让您的客户和利益相关者对其个人数据和信息的安全性更加放心;
2)提高竞争优势 —— 通过最大限度地保护个人信息,让您从竞争对手中脱颖而出;
3)保护品牌声誉 —— 降低因数据泄露引发的负面宣传风险;
4)降低风险 —— 确保风险被识别,并采取控制措施来管理或降低风险;
5)防止罚款 —— 确保遵守当地法规,减少数据泄露的罚款风险;
6)助力企业发展 —— 提供覆盖不同国家/地区的通用准则,为在全球范围内开展业务和获得作为首选供应商的机会提供便利性。

标领科技可提供如下服务:
1)提供基于国际最新标准的中文译著,其中多数为业内首发版,包括:
《ISO22301:2019 业务连续性管理体系 要求》
《ISO27701:2019 隐私信息管理体系》
《ISO27018:2019 公有云中的个人身份信息(PII)保护实施规则》
《ISO27032:2012 网络空间安全指南》
《ISO27040:2015 信息技术-安全技术-存储安全》
《ISO29100:2011 隐私框架》
《ISO29134:2017 隐私影响评估指南》
《ISO29151:2017 个人身份信息保护实践指南》
2)由AICF亚洲智能计算基金会授信的《GDPR符合性评估报告》
3)ISO27018/ISO27701/ISO29151 标准简介/内审员培训
4)ISO27018/27701/ISO29151 隐私原则解读
获取详细报价
  • 准备资料每年2场经典的精益公开课程。每场为期2天
  • 咨询指导咨询师上门讲解,解答认证疑惑
  • 整理申报咨询师编写材料,讲解审核要点
  • 全程陪审专家陪审指导,不符合项纠正
  • 出证无忧出证寄送督促,专家认证规划
1.公司简介
2.公司营业执照
3.其他相关资质(如ISO27001信息安全管理体系认证、软件著作权、专利、商标许可等)
4.公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)
5.公司现有的业务流程
6.公司现有的IT方面的管理制度
ISO27701与各标准之间是什么样的关系?
a) ISO27701是ISO27001和ISO27002在隐私方面的扩展。
b) ISO27002为ISO27001提供风险处置具体的控制目标和控制措施。
c) ISO29100、ISO27018、ISO29151均为隐私方面的标准,有不同的侧重点,与ISO27701互为补充。
d) ISO27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。

证书有效期、年审机制?
与其他ISO体系一样,证书有效期为三年,每年需进行一次年审

ISO27701的认证需要以先通过ISO27001认证为前提吗? 
不需要!ISO27701是独立的可以认证的标准依据,任何组织均可以直接申请认证。有ISO27001认证会对ISO27701的体系落地有帮助,但不是前置条件。

扩展支持服务

  • 售后保障服务 1.杭州标领建立了PMO工作组,项目经理负责制,专人负责项目进度、交付物、满意度等质量活动;
    2.项目实施过程中对咨询顾问的任何不满,均可通过公司电话和微信进行投诉;
    3.项目交付验收后提供后续证书维护和到期提醒事项;
    4.签约客户终身提供最新政策动态和及时的标准升级转版资讯。
  • 工具支持提供 可提供ITSM运维管理工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用工具PIID表、WORKBOOK、项目管理工具 Project,Visual Project、知识库管理 SVN等解决方案。
  • 知识中心 1.通过咨询顾问和客服可获取提供各类业务相关的标准库、知识库、文件库;
    2.已签约客户将不定期收到相关认证咨询行业的简讯(EMAIL方式)。
  • 培训学习 杭州标领每年不定期举办培训公开课,已签约客户可以享受优惠折扣和部分免费名额。
  • 呼叫服务 1.公司400电话和客服QQ,7×12小时不间断服务,任何请求、咨询、建议、投诉均可随时反馈;
    2.“在线咨询”向所有客户实时开放,用户可以通过各类IM工具向指定咨询师垂询业务知识;
    3.邮件系统24小时开放,邮件回复不超过24小时;