它是什么
ISO/IEC 27017 是一套实践准则,在 ISO/IEC 27002 的基础上扩展了云专属的安全建议,面向提供方与客户双方,澄清共担责任与虚拟化加固。它与 ISO 27001 ISMS 并行实施,消除您与云服务商之间“谁负责保护什么”的模糊地带。
谁须遵守
云服务提供商(SaaS、PaaS、IaaS)以及大型云用户,其客户在单纯的 ISO 27001 证书之外还要求云专属的保障。
IntelligenceX 如何提供帮助
对照 27017 附加云控制措施进行差距评估
共担责任矩阵设计
并入 ISMS 与适用性声明
审核支持(在 ISO 27001 审核中一并评估)
云配置与虚拟化加固审查
面向客户、用于安全问卷的共担责任文档
差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪
常见问题
不会单独颁发。27017 作为您 ISO 27001 认证范围的扩展加以评估,并在您的证书和审核报告中加以引用。
27017 涵盖云安全控制措施;27018 涵盖公有云中个人数据的保护。大多数提供方会将两者一并实施。
如果您已经运行 ISO 27001 ISMS,27017 只是一个增量层:我们评估附加的云控制措施、记录共担责任模型,并将其并入您的适用性声明。这通常只为项目增加数周,并在同一次审核中一并评估。