ISO/IEC 27017 是针对云服务信息安全的国际标准,基于 ISO/IEC 27001(信息安全管理体系)和 ISO/IEC 27002(安全控制实践),专门补充了云服务特有的安全控制要求,旨在规范云服务提供商(CSP)与云服务客户(CSC)的安全责任划分,保障云环境中的数据和服务安全。
主要适用于云服务提供商(CSP):如 AWS、阿里云、微软 Azure 等,规范其服务设计、运营的安全责任。
云服务客户(CSC):使用云服务的组织(如企业、政府),指导其选择、使用云服务时的安全管理。
必备条件:
基础前提: 已通过 ISO 27001 认证,且体系覆盖云服务范围(IaaS/PaaS/SaaS)。
核心控制落地: 落实 14 项云专属措施,重点包括多租户隔离、数据驻留合规、服务终止数据处理、责任划分(合同明确 CSP 与 CSC 分工)。
文档与运行: 有云服务安全策略、供应商管理程序等文件;体系至少运行 3 个月,完成内部审核和管理评审。
合规要求: 符合数据保护、跨境传输等法规,责任划分清晰可追溯。
资料清单:
基础资料:ISO 27001 认证证书、云服务业务范围说明(明确 IaaS/PaaS/SaaS 类型)。
云服务专项文件:
· 云服务安全策略、责任划分协议(CSP 与 CSC 权责合同);
· 多租户隔离、数据驻留 / 跨境、服务终止数据处理等控制措施文档。
运行记录: 云环境监控日志、客户数据处理记录、安全事件响应记录。
审核资料: 云服务相关内部审核报告(含整改记录)、管理评审报告。
服务流程:
前期准备;
体系扩展设计;
文件编制;
实施与运行;
内部审核与评审;
认证审核;
预计完成时间:
通常在 3-6 个月左右,具体时间会因企业规模、管理基础以及认证机构的安排等因素有所不同。管理基础好、规模小的企业可能 3 个月左右完成认证,而规模较大、信息系统复杂的企业,可能需要 6 个月甚至更长时间。
证书样本:
