ISO/IEC 27017-上海凯瑞克质量体系认证有限公司（Amtivo China）

首页 > 认证服务 > ISO/IEC 27017

ISO/IEC 27017

云服务信息安全管理体系

随着业务和数据在云端运行，组织需要明确在云环境中的安全责任并采用结构化的管理方式。ISO/IEC 27017 可帮助企业建立可审计的云安全管理框架，应对合作方审查、供应链要求和运营风险管理需求。

联络我们获得报价

联系我们

86-21-3101-7383
contact@amtivocn.com 或者留下您的联系方式，我们的专家会在
一个工作日内联系您。

提交

ISO/IEC 27701 认证概述

ISO/IEC 27017 由国际标准化组织（ISO）和国际电工委员会（IEC）联合制定，旨在为云服务提供者和云服务使用者明确安全控制要求，指导双方在云端环境中建立一致、透明、可审计的安全管理实践，从而降低因共享责任模型带来的风险。

该标准建立在 ISO/IEC 27001 信息安全管理体系的基础之上，在既有的信息安全要求之上补充了专用于云环境的安全控制内容，使组织能够在云端场景中采用结构化的管理方式。
它特别关注云环境中常见的安全问题，例如：
企业与云服务商分别负责什么？
云端账号、权限、日志如何更安全？
多租户环境中数据如何避免相互影响？

通过这些要求，ISO/IEC 27017 帮助企业在使用云服务时建立更加清晰、可靠、可执行的管理方式。

联络我们

ISO/IEC 27017 重点应用场景

在线平台及云服务使用场景
适用于运营大量用户账号、数据访问和业务交互的企业，如 SaaS、PaaS、IaaS 服务提供方。ISO/IEC 27017 为云端的数据处理和管理活动提供制度支持，使云上业务活动保持清晰、规范和可审计。
隐私敏感行业的数据处理需求
科技、互联网、制造、零售、物流等行业在推进数字化过程中，越来越依赖云服务。ISO/IEC 27017 为组织在云端的系统部署、流程运行和信息管理提供结构化方法，支持关键业务在云环境中的稳定运行。
跨境业务或大客户合作要求
面对海外客户、国际品牌或供应链伙伴提出的云安全审查需求，ISO/IEC 27017 可作为通用的管理框架，协助企业在合作中展现云安全管理能力，保持透明度与可信度，促进合作关系的建立与延续。
推进数据治理与运营管理的组织
适用于正在建设或优化云安全管理体系的企业，为权限管理、日志记录、数据隔离等关键控制点提供制度基础。通过体系化方法支持组织在云环境中形成一致的管理方式，服务于未来的治理建设与长期发展。

Amtivo 凯瑞克的优势

覆盖信息安全与隐私领域的专业能力
Amtivo 凯瑞克在信息安全与隐私管理体系认证积累了丰富的经验，为 ISO/IEC 27017 的审核奠定了扎实基础。
跨行业经验沉淀
Amtivo 凯瑞克深耕认证超过20年，服务覆盖科技、互联网、制造、新能源、供应链等多个行业，能够在审核中针对不同业务特性进行专业判定。
了解云环境的审核团队
团队熟悉云架构与行业实际运行方式，理解业务场景，在审核过程中保持沟通顺畅。
国际化视野
Amtivo 在多个国家和地区开展业务，熟悉不同市场的业务模式、合规要求和运营方式。对于有海外客户、跨境合作或出口需求的企业，具备国际经验的认证机构能够更好地契合全球供应链的要求和预期。

联络我们

申请流程

步骤一

了解需求
了解企业相关体系的需求及其应用场景。
步骤二

报价及申请
根据企业具体情况提供报价，收集企业的申请表及相关资质文件。
步骤三

申请及合同评审
对企业的信息进行核实及审批，并确认专业类别、所需的审核天数、安排专业的审核员。
步骤四

一阶段审核
对企业的资质范围及认证信息进行确认，确定是否具备二阶段审核的条件。

步骤五

二阶段审核
对企业的资质范围及认证信息进行确认，确定是否具备二阶段审核的条件。 
注：如一阶段审核开具了不符合，必须整改且验证通过后才可以进行二阶段审核；如二阶段审核开具了不符合，必须整改且验证通过后才可以进入以下环节。
步骤六

报告评定及发证
通过报告评定及作出认证决定后，组织将获得相应体系认证证书。
步骤七

年度审核
每年进行一次审核，确保组织持续符合相应体系标准要求；三年到期进行再认证审核，以更新保持有效周期。
说明

上海凯瑞克质量体系认证有限公司（Amtivo China）完成评定能力范围内的ISO9001/14001/45001及其他体系关键活动包括合同评审、报告评定和认证决定（如项目超出评定能力范围由Amtivo UK/Amtivo US完成）

ISO/IEC 27017 常见问题

ISO/IEC 27017 与 ISO/IEC 27001 有什么关系？
ISO/IEC 27017 是用于云服务场景的信息安全控制指南，作为 ISO/IEC 27001 的扩展控制内容，为企业在云环境中落实信息安全要求提供补充指引。该标准并非独立的管理体系，认证审核需基于 ISO/IEC 27001 运行情况展开
ISO/IEC 27017 可以独立实施或单独认证吗？
不可以。ISO/IEC 27017 的实施与审核依赖 ISO/IEC 27001 的管理框架，不能作为独立体系进行认证。组织需在取得 ISO/IEC 27001 认证后，才能开展 ISO/IEC 27017 的相关审核活动。
云服务提供者（CSP）和云服务使用者（Cloud Customer）在 ISO/IEC 27017 中承担什么角色？
ISO/IEC 27017 明确了云服务提供者和云服务使用者在信息安全控制中的职责范围，包括访问管理、日志活动、数据处理方式等要求。在实际业务中，组织可能同时承担 PaaS、SaaS 或内部云环境管理等多重角色，因此管理体系需要覆盖两类角色对应的控制要求。

编号查询证书

ISO/IEC 27017

云服务信息安全管理体系

联系我们

ISO/IEC 27701 认证概述

认证为企业带来的收益

ISO/IEC 27017 重点应用场景

在线平台及云服务使用场景

隐私敏感行业的数据处理需求

跨境业务或大客户合作要求

推进数据治理与运营管理的组织

Amtivo 凯瑞克的优势

覆盖信息安全与隐私领域的专业能力

跨行业经验沉淀

了解云环境的审核团队

国际化视野

申请流程

步骤一

了解需求

步骤二

报价及申请

步骤三

申请及合同评审

步骤四

一阶段审核

步骤五

二阶段审核

步骤六

报告评定及发证

步骤七

年度审核

说明

ISO/IEC 27017 常见问题

ISO/IEC 27017 与 ISO/IEC 27001 有什么关系？

ISO/IEC 27017 可以独立实施或单独认证吗？

云服务提供者（CSP）和云服务使用者（Cloud Customer）在 ISO/IEC 27017 中承担什么角色？

联系我们 获得您定制的审核方案及报价

联系我们

管理体系认证

数字化与新兴技术

环境与环保认证

重点行业体系认证

企业信息

联系我们
获得您定制的审核方案及报价