ISO27017申请材料及条件

随着信息基础设施的迭代和云技术的应用，云服务具有灵活性、连续性和可扩展性等优势，使企业的数字化转型和走向云的需求越来越迫切。然而，由于对信息安全的担忧，许多企业仍然对云服务的安全性感到担忧。

2015年，随着国际标准ISO 27017云服务信息安全管理系统(CSSMS)的正式发布，云服务的安全性得到了保障。本标准是基于ISMS ISO 27001信息安全管理系统的增强版，主要适用于云服务提供商和云服务客户。

如果你的组织是一个云服务提供商，或者正在考虑将你的业务转移到云上，那么 ISO 27017认证将有效地保护你的数据，减少数据泄露和违反法律法规的风险和负面影响，并增强客户对企业的信任。

关于CSSMS

CSSMS是基于ISMS扩展的管理系统，它对ISMS附录A扩展有两个要求:

一是在原有的ISMS 标准的附录A 中114 控制相关条款进行延展了40-50％的要求，并且可以分为云服务企业客户、云服务内容提供方和两者重要组成的供应链管理三种不同情况，将控制技术要求更具体化；

第二个是在 ISMS 标准附录 A 中的114个控制条款中增加了7个特定的云服务控制条款。

一般情况下，ISMS证书的有效期为三年，企业在申请和实施CSSMS认证前必须通过该认证。还有一点要记住，如果申请的CSSMS认证范围大于组织的ISMS认证范围，那么在CSSMS审核之前，必须安排对其ISMS的特别扩展审核。

需提供的资料

当该组织的信息安全管理系统(ISMS-RRB-SMS)认证机构 BCCis 为 BCC 时，必须提供以下信息:

1)基本信息(营业执照、行政许可(如有)、临时场所清单等。);

2） 有效的ISMS 认证技术证书或ISMS 认证企业申请；

3） 云服务信息安全管理体系方针和目标；

4） 支持云服务信息安全管理体系的规程和控制措施；

5)风险评估报告(包括风险评估方法的说明) ;

6） 残余风险报告；

7） 风险处置计划；

8） 适用性声明；

9)适用法律法规清单；

10)在申请管理体系认证时申报机密性和敏感信息资料表;

11）《管理体系认证申请书》中的信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/业务连续性管理体系认证客户基本信息。

当组织的ISMS发证机构不是BCC时，除上述材料外，还需同时提交组织ISMS的申请材料:

1） 信息安全管理体系方针和目标；

2） 支持信息安全管理体系的规程和控制措施；

3） 信息安全风险评估报告（含风险评估方法的描述）；

4） 信息安全残余风险报告；

5） 信息安全风险处置计划；

6） 信息安全管理体系适用性声明；

7） 信息安全管理体系适用的法律法规的标准的清单；