ISO/IEC 27017 是針對云服務(wù)信息安全的國際標(biāo)準(zhǔn)，基于 ISO/IEC 27001（信息安全管理體系）和 ISO/IEC 27002（安全控制實(shí)踐），專門補(bǔ)充了云服務(wù)特有的安全控制要求，旨在規(guī)范云服務(wù)提供商（CSP）與云服務(wù)客戶（CSC）的安全責(zé)任劃分，保障云環(huán)境中的數(shù)據(jù)和服務(wù)安全。

主要適用于云服務(wù)提供商（CSP）：如 AWS、阿里云、微軟 Azure 等，規(guī)范其服務(wù)設(shè)計(jì)、運(yùn)營的安全責(zé)任。
云服務(wù)客戶（CSC）：使用云服務(wù)的組織（如企業(yè)、政府），指導(dǎo)其選擇、使用云服務(wù)時(shí)的安全管理。

必備條件：
   基礎(chǔ)前提： 已通過 ISO 27001 認(rèn)證，且體系覆蓋云服務(wù)范圍（IaaS/PaaS/SaaS）。
   核心控制落地： 落實(shí) 14 項(xiàng)云專屬措施，重點(diǎn)包括多租戶隔離、數(shù)據(jù)駐留合規(guī)、服務(wù)終止數(shù)據(jù)處理、責(zé)任劃分（合同明確 CSP 與 CSC 分工）。
   文檔與運(yùn)行：  有云服務(wù)安全策略、供應(yīng)商管理程序等文件；體系至少運(yùn)行 3 個(gè)月，完成內(nèi)部審核和管理評審。
   合規(guī)要求：  符合數(shù)據(jù)保護(hù)、跨境傳輸?shù)确ㄒ?guī)，責(zé)任劃分清晰可追溯。

資料清單：
   基礎(chǔ)資料：ISO 27001 認(rèn)證證書、云服務(wù)業(yè)務(wù)范圍說明（明確 IaaS/PaaS/SaaS 類型）。
      云服務(wù)專項(xiàng)文件：
      ·    云服務(wù)安全策略、責(zé)任劃分協(xié)議（CSP 與 CSC 權(quán)責(zé)合同）；
         ·    多租戶隔離、數(shù)據(jù)駐留 / 跨境、服務(wù)終止數(shù)據(jù)處理等控制措施文檔。
   運(yùn)行記錄： 云環(huán)境監(jiān)控日志、客戶數(shù)據(jù)處理記錄、安全事件響應(yīng)記錄。
   審核資料： 云服務(wù)相關(guān)內(nèi)部審核報(bào)告（含整改記錄）、管理評審報(bào)告。

服務(wù)流程：
           前期準(zhǔn)備；
           體系擴(kuò)展設(shè)計(jì)；
           文件編制；
           實(shí)施與運(yùn)行；
           內(nèi)部審核與評審；
           認(rèn)證審核；

預(yù)計(jì)完成時(shí)間：
  通常在 3-6 個(gè)月左右，具體時(shí)間會因企業(yè)規(guī)模、管理基礎(chǔ)以及認(rèn)證機(jī)構(gòu)的安排等因素有所不同。管理基礎(chǔ)好、規(guī)模小的企業(yè)可能 3 個(gè)月左右完成認(rèn)證，而規(guī)模較大、信息系統(tǒng)復(fù)雜的企業(yè)，可能需要 6 個(gè)月甚至更長時(shí)間。


證書樣本：