北京英伦凯悦管理咨询有限公司 专业深耕 19 年,打造一站式认证咨询服务平台
联系人:付老师电话:010-8360-7858手机:130-2009-1712
联系人:简老师手机:137-1665-7566

ISO/IEC 27017:2015 云服务安全管理体系

ISO/IEC 27017:2015是专门针对云服务的信息安全控制措施实施指南,为云服务提供商和云服务客户提供额外的安全控制指导。该标准基于ISO/IEC 27002,针对云环境的特定风险,提供了额外的控制措施和实施指南。内容涵盖云服务关系中的角色识别、云服务协议中的安全考虑、云服务客户数据保护、虚拟机配置安全、云环境等。

标准信息

国际标准 ISO/IEC 27017:2015 国家标准
标准名称 Code of practice for information security controls based on ISO/IEC 27002 for cloud services 标准名称 云服务安全管理体系
发布机构 ISO/IEC 国际标准化组织与国际电工委员会 发布机构
发布日期 2015 年 11 月 发布日期

标准简介

ISO/IEC 27017:2015是专门针对云服务的信息安全控制措施实施指南,为云服务提供商和云服务客户提供额外的安全控制指导。该标准基于ISO/IEC 27002,针对云环境的特定风险,提供了额外的控制措施和实施指南。内容涵盖云服务关系中的角色识别、云服务协议中的安全考虑、云服务客户数据保护、虚拟机配置安全、云环境监控、云服务审计、云服务事件响应及云服务退出策略等。标准明确了云服务提供商和客户的共同责任模型,帮助双方清晰界定安全职责。该标准适用于提供或使用云服务的组织,通过实施可增强云服务的安全性,降低数据泄露和服务中断风险,满足客户对云服务安全的期望,提升云服务的市场竞争力。并为多租户环境治理、云上合规审计和客户信任建设提供明确依据。

标准目的

  • 保障云服务安全规范云服务提供商与云服务用户的安全管理行为,保护云环境中的信息资产,确保云服务的保密性、完整性和可用性
  • 防范云安全风险识别并管控云服务全流程中的安全风险(如数据泄露、云平台攻击、权限滥用),降低云安全事件发生率
  • 合规安全要求确保云服务安全管理活动符合国家网络安全、数据安全相关法律法规及国际云安全标准,规避合规风险
  • 提升云服务质量通过标准化的安全管控,提升云服务的稳定性与安全性,满足云服务用户对安全的需求,提升用户满意度
  • 规范云安全管理统一云服务安全管理流程与标准,明确云服务提供商与用户的安全职责,实现云安全标准化管理

适用范围

  • 行业覆盖适用于所有提供或使用云服务的组织,涵盖互联网、金融、科技、医疗、教育等全行业,包括云服务提供商、云服务用户
  • 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据云服务规模与复杂度灵活调整管控措施
  • 场景覆盖涵盖云平台部署、云服务运营、数据迁移、权限管理、安全审计、应急响应等全云服务场景
  • 管理覆盖覆盖云安全方针制定、风险评估、安全控制、绩效监测、内部审核、持续改进等全管理环节
  • 认证覆盖支持单一站点、多站点、集团化等不同组织架构的认证模式,满足云服务提供商与用户的安全认证需求

标准内容

  • 1 范围
  • 2 规范性引用文件
  • 3 术语和定义
  • 附录B 云计算信息安全风险参考文献

体系运行过程模型

阶段 ISO27017中的定义 在标准中的核心映射
P (策划)识别信息资产和风险,明确安全目标、适用控制和治理策略。第4章、5章、6章(上下文、领导作用、风险策划)
D (实施)落地安全控制、职责分工、运行流程与监控机制。第7章、8章(支持与运行)及控制域实施
C (检查)通过监控、审计、评审验证控制有效性并识别差距。第9章(监视测量、内审、管理评审)
A (处置)处理安全事件和不符合,更新风险评估与控制措施。第10章(不符合、纠正和持续改进)

ISO27017 标准解读

  • 暂无对应标准解读,欢迎联系我们获取专项方案。

认证咨询流程

初次获证要求

  • 合规性证明需持有法律地位证明文件(如营业执照)
  • 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
  • 成立周期公司成立超过3个月
  • 运行周期体系运行超过3个月
  • 体系要求依据ISO27017标准建立符合的云服务安全管理体系
  • 运行要求有健全的云服务安全管理体系运行证据
  • 内审管评必须有一次完整的内审和管理评审
  • 现场审核通过一二阶段现场审核,并完成不符合整改

证书维护要求

  • 证书有效期云服务安全管理体系证书是三年有效期
  • 监督审核云服务安全管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
  • 再认证审核云服务安全管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
  • 变更审核当组织的云服务安全管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
  • 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
  • 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理

实施 ISO27017 的价值

  • 风险可控识别信息资产风险并建立控制措施。
  • 合规治理满足数据安全与隐私合规要求。
  • 客户信任提升客户对平台与服务的安全信心。
  • 业务连续减少安全事件对业务运行的影响。
  • 治理能力形成跨部门协同的安全管理机制。
  • 持续防护通过监测审计持续提升防护能力。

与其他体系结合

常见问题及误区

  • Q1:只有云服务提供商才需要ISO27017认证,云用户无需关注?

    A:不是,云用户可将ISO27017作为选择云服务提供商的重要依据,云服务提供商通过认证,代表其云服务安全管理符合国际标准,同时云用户也可参考标准规范自身云使用行为。

  • Q2:ISO27017就是ISO27001在云服务领域的简单套用,无专属要求?

    A:不是,体系在ISO27001基础上,增加了云服务专属的安全要求,如云架构安全、多租户隔离、云服务供应商管理等,更贴合云服务的业务特点。

  • Q3:建立ISO27017体系就是保障云服务的网络安全,其他无需管控?

    A:不是,体系覆盖云服务全流程的安全管理,包括云平台搭建、资源部署、客户数据保护、运营维护、应急处置等,网络安全只是其中一部分。

  • Q4:私有云环境相对安全,没必要建立ISO27017体系?

    A:不是,私有云同样存在架构漏洞、数据泄露、权限管控不当等风险,体系可指导组织规范私有云的安全管理,提升私有云的安全保障能力。

  • Q5:通过ISO27017认证,云服务就不会发生安全事件?

    A:不是,认证是对云服务安全管理体系的有效性认可,而云安全风险是动态变化的(如新型网络攻击),体系要求持续识别新风险、更新安全措施。

认证及咨询费用

费用影响因素占比

组织地理位置(及多个办公场所)15%

一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。

组织人员数量20%

人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。

组织业务范围10%

业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。

选择认证机构25%

不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。

咨询质量要求25%

资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。

认证周期要求10%

加急周期会带来额外资源协调成本,常规周期通常更具费用优势。

最终费用,请联系我们

服务业绩

中国电子系统技术有限公司

中国电子系统技术有限公司
中电云计算技术有限公司

中电云计算技术有限公司
医渡云(北京)技术有限公司

医渡云(北京)技术有限公司
北京数字认证股份有限公司

北京数字认证股份有限公司
易华录信息技术股份有限公司

易华录信息技术股份有限公司