随着信息基础设施的迭代和云原生技术的应用,云服务以其所具备的灵活性、连续性以及可扩展性等诸多优势,促使企业数字化转型和上云需求日渐迫切。但出于对信息安全的担忧,许多企业还是对云服务的安全性顾虑重重。
2015年,随着ISO 27017云服务信息安全管理体系(英文缩写:CSSMS)这个国际标准正式发布,云服务的安全性有了保障。该标准是基于ISO 27001信息安全管理体系(英文缩写:ISMS)的增强版本,主要适用于云服务提供商和云服务客户。
如果您的组织是云服务提供商,或考虑将您的业务转移到云端,那通过ISO27017认证,将有效地保护相关数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。
关于CSSMS
CSSMS 是基于ISMS 扩展的管理体系,CSSMS 这对ISMS 附录A 扩展的要求有两个方面:
一是在原有的ISMS 标准的附录A 中114 控制条款延展了40-50%的要求,并且分为云服务客户、云服务提供方和两者组成的供应链三种情况,将控制要求更具体化;
二是在ISMS 标准附录A 中的114 个控制条款基础上,增加了7 个特定的云服务控制条款。
通常情况下ISO27017证书的有效期为三年,企业在申请和实施CSSMS认证之前,必须先通过ISMS认证。还有一点要记住,如果申请的CSSMS认证范围大于组织的ISMS的认证范围,则超出的认证范围必须先安排对其ISMS实施专项扩大审核后,再实施CSSMS的审核。
业务范围分类
需提供的资料
组织的信息安全管理体系(ISMS)发证机构为BCC 时,需提供以下资料:
1) 基本资料(营业执照、行政许可(如有)、临时场所清单等);
2) 有效的ISMS 认证证书或ISMS 认证申请;
3) 云服务信息安全管理体系方针和目标;
4) 支持云服务信息安全管理体系的规程和控制措施;
5) 风险评估报告(含风险评估方法的描述);
6) 残余风险报告;
7) 风险处置计划;
8) 适用性声明;
9) 适用的法律法规的标准的清单;
10)《管理体系认证申请书》中的保密和敏感信息声明表;
11)《管理体系认证申请书》中的信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/业务连续性管理体系认证客户基本信息。
组织的ISMS发证机构非BCC 时,除需提交上述资料外,还需同步提交组织ISMS的申请资料:
1) 信息安全管理体系方针和目标;
2) 支持信息安全管理体系的规程和控制措施;
3) 信息安全风险评估报告(含风险评估方法的描述);
4) 信息安全残余风险报告;
5) 信息安全风险处置计划;
6) 信息安全管理体系适用性声明;
7) 信息安全管理体系适用的法律法规的标准的清单;
作为一家大型国际机构,BCC在信息安全领域拥有完善的服务体系和丰富的服务经验,为用户及合作伙伴提升数据整合与互联管理水平,提供更加全面的保障及服务。BCC可以提供的信息类业务包括:
ISO 20000 信息技术服务管理体系
ISO 27001 信息安全管理体系
ISO 27701 隐私信息管理体系
ISO 27017 云服务信息安全管理体系
ISO 27018 公有云个人可识别信息安全管理体系
ISO 29151 个人可识别信息保护管理体系
ISO 22301 业务连续性管理体系
| 留言与评论(共有 0 条评论) “” |
