ISO/IEC 27017 是針對云服務信息安全的國際標準，基于 ISO/IEC 27001（信息安全管理體系）和 ISO/IEC 27002（安全控制實踐），專門補充了云服務特有的安全控制要求，旨在規(guī)范云服務提供商（CSP）與云服務客戶（CSC）的安全責任劃分，保障云環(huán)境中的數(shù)據(jù)和服務安全。

主要適用于云服務提供商（CSP）：如 AWS、阿里云、微軟 Azure 等，規(guī)范其服務設計、運營的安全責任。
云服務客戶（CSC）：使用云服務的組織（如企業(yè)、政府），指導其選擇、使用云服務時的安全管理。

必備條件：
   基礎前提： 已通過 ISO 27001 認證，且體系覆蓋云服務范圍（IaaS/PaaS/SaaS）。
   核心控制落地： 落實 14 項云專屬措施，重點包括多租戶隔離、數(shù)據(jù)駐留合規(guī)、服務終止數(shù)據(jù)處理、責任劃分（合同明確 CSP 與 CSC 分工）。
   文檔與運行：  有云服務安全策略、供應商管理程序等文件；體系至少運行 3 個月，完成內(nèi)部審核和管理評審。
   合規(guī)要求：  符合數(shù)據(jù)保護、跨境傳輸?shù)确ㄒ?guī)，責任劃分清晰可追溯。

資料清單：
   基礎資料：ISO 27001 認證證書、云服務業(yè)務范圍說明（明確 IaaS/PaaS/SaaS 類型）。
      云服務專項文件：
      ·    云服務安全策略、責任劃分協(xié)議（CSP 與 CSC 權(quán)責合同）；
         ·    多租戶隔離、數(shù)據(jù)駐留 / 跨境、服務終止數(shù)據(jù)處理等控制措施文檔。
   運行記錄： 云環(huán)境監(jiān)控日志、客戶數(shù)據(jù)處理記錄、安全事件響應記錄。
   審核資料： 云服務相關內(nèi)部審核報告（含整改記錄）、管理評審報告。

服務流程：
           前期準備；
           體系擴展設計；
           文件編制；
           實施與運行；
           內(nèi)部審核與評審；
           認證審核；

預計完成時間：
  通常在 3-6 個月左右，具體時間會因企業(yè)規(guī)模、管理基礎以及認證機構(gòu)的安排等因素有所不同。管理基礎好、規(guī)模小的企業(yè)可能 3 個月左右完成認證，而規(guī)模較大、信息系統(tǒng)復雜的企業(yè)，可能需要 6 個月甚至更長時間。


證書樣本：