ISO27017申请材料及条件

随着信息基础设施的迭代和云技术的应用,云服务具有灵活性、连续性和可扩展性等优势,使企业的数字化转型和走向云的需求越来越迫切。然而,由于对信息安全的担忧,许多企业仍然对云服务的安全性感到担忧。

2015年,随着国际标准ISO 27017云服务信息安全管理系统(CSSMS)的正式发布,云服务的安全性得到了保障。本标准是基于ISMS ISO 27001信息安全管理系统的增强版,主要适用于云服务提供商和云服务客户。

如果你的组织是一个云服务提供商,或者正在考虑将你的业务转移到云上,那么 ISO 27017认证将有效地保护你的数据,减少数据泄露和违反法律法规的风险和负面影响,并增强客户对企业的信任。

关于CSSMS

CSSMS是基于ISMS扩展的管理系统,它对ISMS附录A扩展有两个要求:

一是在原有的ISMS 标准的附录A 中114 控制相关条款进行延展了40-50%的要求,并且可以分为云服务企业客户、云服务内容提供方和两者重要组成的供应链管理三种不同情况,将控制技术要求更具体化;

第二个是在 ISMS 标准附录 A 中的114个控制条款中增加了7个特定的云服务控制条款。

一般情况下,ISMS证书的有效期为三年,企业在申请和实施CSSMS认证前必须通过该认证。还有一点要记住,如果申请的CSSMS认证范围大于组织的ISMS认证范围,那么在CSSMS审核之前,必须安排对其ISMS的特别扩展审核。

需提供的资料

当该组织的信息安全管理系统(ISMS-RRB-SMS)认证机构 BCCis 为 BCC 时,必须提供以下信息:

1)基本信息(营业执照、行政许可(如有)、临时场所清单等。);

2) 有效的ISMS 认证技术证书或ISMS 认证企业申请;

3) 云服务信息安全管理体系方针和目标;

4) 支持云服务信息安全管理体系的规程和控制措施;

5)风险评估报告(包括风险评估方法的说明) ;

6) 残余风险报告;

7) 风险处置计划;

8) 适用性声明;

9)适用法律法规清单;

10)在申请管理体系认证时申报机密性和敏感信息资料表;

11)《管理体系认证申请书》中的信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/业务连续性管理体系认证客户基本信息。

当组织的ISMS发证机构不是BCC时,除上述材料外,还需同时提交组织ISMS的申请材料:

1) 信息安全管理体系方针和目标;

2) 支持信息安全管理体系的规程和控制措施;

3) 信息安全风险评估报告(含风险评估方法的描述);

4) 信息安全残余风险报告;

5) 信息安全风险处置计划;

6) 信息安全管理体系适用性声明;

7) 信息安全管理体系适用的法律法规的标准的清单;