认证说明

■ ISO27017云服务信息安全管理体系认证

全球云服务市场快速增长，在个人和企业组织层面的云服务应用普及较快，在政府和公共设施场景中，云服务应用存在较大市场前景。云端技术驱动市场快速增长的同时，云服务的特性所产生的信息安全和数据安全隐患日益得到社会和监管部门的关注，无论是IaaS、PaaS还是SaaS，其云服务的合规性和可信任度成为客群的关键考量。

ISO 27017基于ISO27001和ISO27002为公共云服务提供商在信息安全控制上提供了国际实践指南，它为云服务提供商和云服务客户提供了基于云服务特点的信息安全控制的附加条款和特定要求，并重点阐明了云服务提供商和云服务客户双方在确保云服务安全可靠方面的角色和责任。

■ 作为国内IT领域的专业认证机构，ZOHOCERT为您提供一站式、全方位隐私信息管理提升服务

ㅡ ISO27017管理体系认证
ㅡ ISO27017专项评估和差距分析
ㅡ ISO27017标准解读培训
ㅡ ISO27017内审员培训

■ ISO 27017认证流程

1. 预评估（可选）
2. 提交认证申请
3. 签订认证合同
4. 认证现场审核
5. 颁发证书
6. 年度监督审核

■ ISO 27017认证的益处

ㅡ 保护您在云服务过程中的信息和数据安全
ㅡ 证明您云服务业务的合规性
ㅡ 为您的客户和合作伙伴传递您更好的信任
ㅡ 使您有更大机会获得更多订单业务和客户
ㅡ 提高您的可信度和商业形象，使您在云服务领域更具竞争力

■ 认证标准

ISO/IEC 27017:2015《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实用规则》

■ ZOHOCERT的特色和价值

ㅡ 深耕IT信息行业多年的专业服务机构。

ㅡ 拥有多位二十余年实践经验的资深学院派管理专家

ㅡ 国际化视野的高质量IT专家服务团队    

认证范围

认证用标准: ISO/IEC 27017，适用于作为云服务客户和云服务提供商的组织

认证方案

1 适用范围

本认证方案适用于上海中豪认证有限公司（以下简称：ZOHO）实施信息领域管理体系认证，满足第三方认证制度要求，作为提供认证服务的规范。必要时，在认证合同中补充相关的技术要求。

适用于本认证方案的信息领域管理体系认证目录和认证依据标准见附件1。本认证方案不适用于信息技术服务管理体系认证和信息安全管理体系认证，信息技术服务管理体系和信息安全管理体系认证方案见《信息技术服务管理体系和信息安全管理体系认证实施方案》。

本认证方案在认证双方签订合同时予以确认和采用。

2 认证模式

ZOHO 首先对受审核方的管理体系进行初次审核，经过评定，确认是否批准认证；通过认证之后，在认证证书的有效期内对获证客户的管理体系进行监督，确认是否持续满足认证要求。

3 认证过程流程图

4 认证申请的基本条件  

a.认证客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、社会团体登记证书、非企业法人登记证书、党政机关设立文件等，可独立申请认证；其他类型的客户，应由具备资格的单位代为申请；

b.国家、地方或行业有要求时，认证客户具有规定的行政认可文件,其申请认证范围应在法律地位文件和行政认可文件核准的范围内；

c.认证客户按相应的管理体系标准建立了文件化的管理体系，初次认证现场审核前已至少持续稳定运行了 3 个月，并承诺在证书有效期内，持续有效运行管理体系；

d.认证客户承诺遵守国家的法律、法规及其他要求,承诺始终遵守认证的有关规定，承担与认证有关的法律责任，并有义务协助认证监管部门的监督检查，对有关事项的询问和调查如实提供相关材料和信息；

e.认证客户未被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”或违反国家相关法规，虚报、瞒报获证所需信息的情况；

f.认证客户向 ZOHO说明对认证机构资质要求或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的法律法规要求，并说明是否存在因包含保密性或敏感性信息而不能提供给审核组核查的任何管理体系文件或记录的情况。

g.认证客户按照《中豪标志管理体系认证申请书》及相应附件的要求向ZOHO提交申请资料；

h.认证客户承诺获得 ZOHO认证后，按规定使用认证证书和认证标志和有关信息，不得擅自利用管理体系认证证书的文字、符号误导公众认为其产品或服务通过认证。按合同支付认证费用，并按规定接受监督；

i.认证客户承诺获得中豪认证后按照 ZOHO要求向ZOHO通报管理体系变更的信息和其他可能影响管理体系持续满足认证标准要求的能力的事宜的信息，一般包括：客户及相关方有重大投诉；所提供的产品和服务被执法监管部门列入“黑名单”；发生与管理体系相关的重大事故；相关情况发生变更（包括：法律地位、生产经营状况、组织机构或所有权变更、资质证书变更；法定代表人、最高管理者、管理者代表发生变更；服务的工作场所变更；管理体系覆盖的活动范围变更；管理体系和重要过程的重大变更等）；出现影响管理体系运行的其他重要情况；

j.认证审核期间，认证客户能够提供与拟认证范围相关的产品/服务/活动现场。

5 审核实施

5.1 审核准则

认证双方确认的审核依据如下：

a.认证依据标准（见附件 1）；

b.审核准则还包括受审核方所适用的程序、标准、法律法规、操作规范、合同要求或行业规范。

5.2 审核过程

5.2.1 初次认证审核

通常情况下，初次认证审核分两个阶段实施：第一阶段和第二阶段。

5.2.1.1 第一阶段审核

审核组结合受审核方的管理体系覆盖活动的专业特点，根据受审核方提供的管理体系文件、体系运作过程、运作场所和现场的具体情况、确认受审核方对标准的理解和实施的程度、对目标的实现具有重要影响的关键点、相关的法律法规要求的遵守情况以及管理体系范围，审核第二阶段审核所需资源的配置情况以及管理体系实施的程度能否证明其已为第二阶段审核做好准备，并与申请方商定第二阶段审核的细节，以确定第二阶段审核安排。

第一阶段审核的结果可能导致推迟或取消第二阶段审核。

5.2.1.2 第二阶段审核

审核组现场评价受审核方管理体系的实施情况，包括符合性和有效性。第二阶段审核至少包括以下方面：

a.与适用的管理体系标准和其他规范性文件的所有要求的符合情况；

b.依据关键绩效目标和指标，对绩效进行的监视、测量、报告和评审；

c.管理体系和绩效中与遵守法律有关的方面；

d.受审核方过程的运作控制；

e.管理职责的落实，包括针对方针的管理职责；

f.为实现总目标而建立的职能层次目标的策划和实现情况；

g.规范性要求、方针、绩效目标和指标、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现及结论之间的联系。

5.2.2 监督活动

5.2.2.1 监督活动的方式

ZOHO采用现场监督审核和日常监督（如关注国家有关部门发布的质量信息公报、关注获证客户相关方的信息、获证客户有关信息的日常跟踪、审查获证客户及其运作的说明、要求获证客户提供文件和记录等）相结合的方式。

5.2.2.2 获证后监督审核的内容

a.体系保持和任何变更情况（如资源、过程、组织结构、已识别的关键控制点等）；

b.顾客投诉的情况；

c.涉及变更的范围；

d.管理体系实施的有效性；

e.为持续改进而策划的活动的进展；

f.针对上次审核中确定的不符合所采取的措施和效果；

g.证书和标志的使用和（或）任何其他对认证资格的引用；

h.适当时，其他选定的范围。

获证客户应保存全部投诉记录，需要时提供给 ZOHO。ZOHO根据以上信息对获证客户管理体系进行再评价，确认其是否持续满足认证要求。对于监督审核合格的获证组织，作出保持其认证资格的决定；否则，将作出暂停或撤销等认证处置。

监督审核时，如认证客户没有按要求关闭不符合，将可能导致认证证书的暂停。

5.2.2.3 监督审核的频次

在证书有效期内，获证客户须接受监督审核，初次认证和再认证后的第一次监督审核应在自认证决定日期起 12 个月内进行，此后的监督审核应至少每个日历年（应进行再认证的年份除外）进行一次且与上一次监督审核的最长时间间隔不超过 15 个月。

获证客户因未在规定的时间内实施监督审核而暂停认证证书的，监督审核恢复后，下次审核时间应按原计划时间计算。

若发生下述情况则需增加监督频次，或安排提前较短时间通知的审核：

a.获证客户对管理体系进行了重大更改或发生重大问题；

b.有足够信息表明获证客户发生了组织机构、管理体系变更等影响到其认证基础的更改；

c.获证客户出现与管理体系相关的重大事故；

d.其他需要考虑的情况。

5.2.3 再认证

获证客户在证书有效期满前至少三个月，须提出再认证申请。再认证审核的目的是验证作为一个整体的组织管理体系全面的持续符合性和有效性，以及认证范围的持续相关性和适宜性。

在对获证客户的日常监督中，发现获证客户的出现严重影响管理体系运作的重大变更时，或对获证客户的投诉分析和其他信息表明获证客户不再满足认证要求时，将安排特殊审核或与获证客户商定提前安排再认证审核。再认证审核还需关注管理体系在认证周期内的绩效，包括调阅以前的监督审核报告。

对于多场所或结合审核的认证，再认证审核应确保现场审核具有足够的覆盖范围，以提供对管理体系认证的信任。

再认证时通常可不进行一阶段审核，但当获证客户的管理体系和获证客户的内外部运作环境有重大变化时，再认证审核活动可能需要有第一阶段审核。再认证审核时，认证客户应在当前认证证书到期前接受ZOHO审核，并对于审核组开具的不符合在规定的时间内按要求关闭。否则，因认证客户的原因导致ZOHO不能在原认证证书到期后 6 个月内作出认证决定的，再认证审核失效。

5.2.4 特殊审核

5.2.4.1 扩大认证范围审核

针对已获证的客户，ZOHO对扩大认证范围的申请进行评审，确定能否予以扩大的决定所需的审核活动，这一工作可与监督审核同时进行。

5.2.4.2 提前较短时间通知的审核

为调查投诉、对变更做出回应或对被暂停的认证客户进行追踪，需要在提前较短时间通知获证客户后对其进行的审核。

1.向获证客户说明并使其提前了解将在何种条件下进行此类审核；

2.指派具有丰富经验的审核员组成审核组。

5.3 现场审核活动实施

审核组在现场审核前与受审核方沟通，确认审核安排，说明首末次会议议程。审核组按照审核计划中日程安排实施审核，通过查阅受审核方的文件和记录、与过程和活动的岗位人员面谈、座谈、观察服务形成过程和活动等适当方法，抽样收集并验证有关的信息，必要时，进行技术测试，形成审核发现，确认审核情况。

在审核过程中，审核组及时与受审核方沟通，通报审核进程，确认审核证据，解决分歧。当审核发现表明不能达到审核目的时，应说明理由，商定后续措施。如果需要改变审核目的和范围或终止审核时，应经审核派出机构评审和批准后实施。

审核组长在现场审核结束前，与受审核方沟通现场审核的信息，请受审核方对发现的问题和不符合报告进行确认，并商定对不符合的后续措施的安排，确认审核结论。审核组编制审核报告并提交受审核方。

审核报告属 ZOHO所有，如果在审核后续活动中（含ZOHO进行认证决定期间）有所更改，ZOHO将重新向受审核方提供审核报告。请受审核方妥善保管审核报告、不符合报告及其纠正材料等相应材料。

认证收费

证书样本

认证标志