认证:
管理体系认证/自愿性评估
认证基础:
国际标准ISO/IEC 27017
标准所有者:
ISO国际标准化组织
ISO/IEC 27017标准如何规定的?
ISO/IEC 27017标准定义了云服务组织的基于ISO/IEC 27002信息安全控制实施指南。
TÜV SÜD SOUTH ASIA PVT. LTD. 对ISO/IEC27017的“认证”和/或颁发的认证标志是什么?
- 客户已根据规定的标准(认证标准)提交自愿性评估。
- 只有在评估(审核)中没有发现任何与相关标准要求不一致的重大问题时,才会颁发证书和/或授权使用认证标志。
- 证书和/或认证标志具有有效期限。相关方可在证书数据库中查询各个证书的有效时限。
- 为了保持证书的有效性,证书持有者必须完成并成功通过年度监督评估(审核)。
- ISO/IEC 27017的证书应始终被视为与ISO/IEC 27001证书的有效性结合在一起。
如何进行评估/审核?
独立、合格的专家(审核员)依据以下审核技术来进行审核:
- 文件审查:
- 审查客户准备的体系文件记录。
- 评估组织的位置、场所的数量和特征状况。
- 审查客户的状况和对标准要求的理解。
- 收集、评估、核实有关范围、管理审查、流程和相互作用、组织目标、相关法定和监管方面、内部审计、业绩数据和相关风险的信息。
- 审查符合性评估/审计的资源分配,并与客户商定审核细节。
- 通过充分了解客户的管理体系和现场操作中可能出现的重要方面,确保策划得宜。
- 该审核应确定可能影响后续符合性评估/审核的问题。
- 现场审核:
- 在文件记录方面的体系有效性
- 严重问题和偏差的数量
- 投诉处理机制
- 管理层的承诺
- 完全不符合标准条款
- 关注到的偏差对控制效果的影响
哪些内容超出ISO/IEC 27017认证范围?
- 适用于所有管理体系认证: 本认证不构成产品认证。因此,认证不提供任何关于认证客户的产品或服务质量的直接声明。
- 认证依据 ISO/IEC 27017 并不意味着该公司生产的产品或提供的服务质量更高。
- 认证依据 ISO/IEC 27017 是云服务的信息安全控制定义的安全技术的关键目标,但是认证并不意味着公司的信息安全控制/信息/数据不会丢失、不会被非法篡改或在不适当的时候被非预期访问。
- 认证并不能确保公司为云服务的信息安全控制所采取的技术和组织措施没有错误运作。