证书查询 公示文件 证书样本 联系我们 加入我们 邮箱地址 ERP登陆地址 中文 / EN
Search TUVHD
关闭 
  • 认证
  • 新闻
  • 服务
  • 培训
  • 行业
  • 客户
  • 关于
    • Search TUVHD
    首页 > 认证 > 管理体系认证
    认证项目

    产品检验、检测、认证、培训

    云服务信息安全管理体系

    ISO/IEC 27017:2015《信息技术 安全技术 基于 ISO/IEC 27002 的云服务信息安全控制实践准则》是专门针对云服务环境下信息安全管理的国际标准。该标准在 ISO/IEC 27002 的基础上,结合云服务的特性,为云服务提供商和云服务用户提供了一套全面的信息安全控制措施和指南。随着云计算技术的广泛应用,数据存储和处理逐渐向云端迁移,云服务面临的数据泄露、非法访问等安全风险日益凸显。此标准旨在帮助组织有效管理云服务中的信息安全风险,确保云环境下数据的保密性、完整性和可用性。

    价值与收益

    1. 增强数据安全保障:通过实施 ISO/IEC 27017:2015 标准中的控制措施,云服务提供商和用户能够更好地保护存储和处理在云端的数据,防止数据泄露、篡改和丢失,为数据安全提供坚实保障。
    2. 提升信任度:获得该认证表明企业在云服务信息安全管理方面达到国际认可的标准,有助于增强云服务用户、合作伙伴及监管机构对企业的信任,提升企业在市场中的声誉和竞争力。
    3. 符合法规要求:协助企业满足国内外关于数据保护、隐私和信息安全的法规要求,避免因不合规而面临的法律风险和处罚。
    4. 规范云服务管理:为云服务提供商提供明确的信息安全管理规范,促使其优化内部流程,提高服务质量和可靠性,同时也帮助云服务用户更好地评估和管理云服务供应商。
    5. 促进业务发展:在云计算市场竞争激烈的环境下,认证可作为企业的差异化优势,吸引更多客户选择其云服务,推动业务增长和拓展。

    认证范围

    1. 云服务提供商:包括提供基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)的各类企业,如阿里云、腾讯云、亚马逊云科技等。这些企业需要确保为用户提供安全可靠的云服务环境。
    2. 云服务用户:涉及各行各业依赖云服务进行业务运营的企业,如金融机构、电商企业、医疗保健机构、政府部门等。他们需要借助该标准评估云服务提供商的信息安全能力,保障自身数据在云端的安全。
    3. 云计算相关的上下游企业:如云计算设备供应商、云安全服务提供商等,也可通过遵循该标准提升自身在云生态系统中的信息安全水平,增强与其他企业的合作竞争力。

    申请认证的条件

    1. 企业资质:具有独立法人资格,在相关部门合法登记注册,经营范围涵盖云服务相关业务(对于云服务提供商)或使用云服务开展业务(对于云服务用户)。
    2. 体系建立与运行:依据 ISO/IEC 27017:2015 标准要求,建立云服务信息安全管理体系,并有效运行至少 3 个月。体系应包括文件化的信息安全政策、程序、操作指南以及相关记录,涵盖云服务信息安全管理的各个方面,如访问控制、数据保护、安全事件管理等。
    3. 内部审核与管理评审:完成至少一次内部审核,对云服务信息安全管理体系的运行情况进行全面检查,确保体系符合标准要求;开展管理评审,由管理层对体系的适宜性、充分性和有效性进行评估,提出改进方向和措施。
    4. 人员能力与培训:相关人员具备云服务信息安全管理的专业知识和技能,企业提供人员培训记录,证明员工接受了与 ISO/IEC 27017:2015 标准相关的培训,了解云服务信息安全管理的要求和流程。
    5. 合规记录:近一年内无重大信息安全事故,无因信息安全问题受到监管部门处罚或引发重大法律纠纷。

    申请认证需要的材料

    1. 企业基本材料
      • 营业执照副本:证明企业合法经营身份。
      • 组织架构图:展示企业的整体组织架构,明确与云服务信息安全管理相关的部门和岗位设置及职责。
    2. 云服务信息安全管理体系文件
      • 信息安全政策:阐述企业在云服务信息安全方面的总体方针、目标和承诺,明确信息安全管理的基本原则和方向。
      • 管理手册:详细描述云服务信息安全管理体系的范围、组织结构、职责分工以及体系运行的总体要求和流程,说明如何依据 ISO/IEC 27017:2015 标准实施各项控制措施。
      • 程序文件:包括云服务访问控制程序、数据分类与保护程序、安全事件响应程序、云服务供应商管理程序等,规定各项信息安全管理活动的具体流程、责任部门 / 人员以及控制要求。
      • 作业指导书:针对具体的信息安全操作,如加密操作指南、访问权限配置说明、数据备份与恢复操作流程等,提供详细的操作步骤和规范。
      • 记录文件:如访问日志、数据变更记录、安全事件记录、培训记录等,用于证明云服务信息安全管理体系的实际运行情况和有效性。
    3. 内部审核与管理评审材料
      • 内部审核计划、检查表、不符合报告及纠正措施记录:详细记录内部审核的策划、实施过程,发现的不符合项及对应的整改措施和验证结果,体现对体系运行情况的监督和改进。
      • 管理评审计划、输入资料(如体系运行报告、内外部审核结果、法规变化情况、云服务用户反馈等)、评审报告及改进措施计划:展示管理层对云服务信息安全管理体系的全面评审过程和决策,以及基于评审结果制定的改进措施和实施计划。
    4. 人员培训材料
      • 培训计划:明确培训目标、对象、内容、方式、时间安排等培训规划信息,确保相关人员能够系统学习云服务信息安全管理知识。
      • 培训教材:如 PPT、文档资料等用于员工培训的材料,内容涵盖 ISO/IEC 27017:2015 标准解读、云服务安全技术与管理方法等。
      • 签到表:记录参加培训人员的签到情况,确保培训覆盖所有与云服务信息安全管理相关的人员。
      • 考核记录:如试卷、考核报告等,用于评估员工对培训内容的掌握程度,证明培训效果。
    5. 合规证明材料
      • 相关监管部门出具的无重大信息安全违规行为证明(如有):由负责信息安全监管的政府部门开具的证明文件,证明企业在规定时间内无重大信息安全违规行为。
      • 企业自我声明及相关佐证材料:企业对近一年内无重大信息安全事故、无违规处罚和法律纠纷的声明,并提供内部自查报告、信息安全审计报告、云服务用户满意度调查等相关佐证材料。

    证书样本

  • 云服务信息安全管理体系认证证书

    • 相关认证项目

  • ISO9001 质量管理体系 >
  • ISO13485 医疗器械质量管理体系 >
  • ISO14001 环境管理体系 >
  • ISO50001 能源管理体系 >
  • ISO45001 职业健康安全管理体系 >
  • AS9100 航空航天质量管理体系 >
  • GB/T50430 工程建设施工企业质量管理体系 >
  • ISO/IEC27001 信息安全管理体系 >
  • GJB9001C 国军标质量管理体系 >
  • 重要产品追溯体系认证 >
  • 医药包装材料质量管理体系 >
  • 项目质量管理体系认证 >
  • 数据资产管理能力等级认证 >
  • 数据质量评估等级认证 >
  • 保密管理体系认证 >
  • 人工智能神经网络鲁棒性评估管理体系认证 >
  • 人工智能大数据架构管理体系认证 >
  • 人工智能系统框架管理体系认证 >
  • 网络空间安全管理体系认证 >
  • 关键信息基础设施保护管理体系认证 >
    • 【首页】  【返回】

    认证申请

    通过TUVHD的审核和认证,您将展现企业最佳实践、高效率和可持续发展的成果。

    版权所有:汉德认证检验股份有限公司(TUVHD)地址:中国•成都•锦江区东华正街42号四川广电国际大厦24楼(天府广场旁)

    电话:40008-99588 手机:13310062606 E-mail:AP-CEO@TUVHD.COM 蜀ICP备2021013546号-1 川公网安备51010402001715号