1. Trang chủ
  2. Blog - Tin tức
  3. Tư vấn chứng nhận ISO 27017 Kiểm soát bảo mật cho dịch vụ đám mây

Tư vấn chứng nhận ISO 27017 Kiểm soát bảo mật cho dịch vụ đám mây

Đăng bỏi: MKT

Tab: ISO 27018, Iso 27018 là gì, ISO 27001, ISO 27001 2013, Iso 27001 là gì, Chứng nhận ISO 27001, ISO 27017 Iso 27017 là gì ISO 27017 ISO 27017 2015 Iso 27001 là gì Chứng nhận ISO 27017,

ISO / IEC 27017: 2015 là quy tắc thực hành bảo mật thông tin cho các dịch vụ đám mây. Đây là phần mở rộng của ISO / IEC 27001: 2013 và ISO / IEC 27002, đồng thời cung cấp các biện pháp kiểm soát bảo mật bổ sung cho các nhà cung cấp dịch vụ đám mây và cho khách hàng dịch vụ đám mây. Một tổ chức thực hiện tiêu chuẩn sẽ chọn các biện pháp kiểm soát có liên quan cho hoàn cảnh của họ.

ISO 27017 - Information security in cloud computing - DQS Global
Là một phần mở rộng của ISO 27002, ISO 27017 cung cấp hướng dẫn về 33 27002 điều khiển, cũng như cung cấp một số kiểm soát bổ sung:

  1. Vai trò và trách nhiệm chung giữa nhà cung cấp dịch vụ đám mây và khách hàng
  2. Loại bỏ và trả lại tài sản của khách hàng dịch vụ đám mây khi hợp đồng đã bị chấm dứt
  3. Phân tách trong môi trường máy tính ảo
  4. Làm an toàn các máy ảo
  5. Ghi lại các quy trình hoạt động quan trọng
  6. Cho phép khách hàng dịch vụ đám mây có thể giám sát các hoạt động có liên quan trong đám mây
  7. Sự liên kết của quản lý bảo mật cho cả mạng ảo và mạng vật lý

Giúp bạn với:

  1. Niềm tin của khách hàng
  2. Danh tiếng thương hiệu
  3. Lợi thế cạnh tranh
  4. Giảm vi phạm dữ liệu
  5. Tiếp tục bảo mật
  6. Đáp ứng tuân thủ
  7. Quản lý rủi ro
  8. Cải thiện bảo mật
  9. Mua sắm hoặc đấu thầu hiệu quả

Tại sao thực hiện ISO 27017?

Làm cho khách hàng cảm thấy an toàn về việc dữ liệu của họ được lưu trữ trên đám mây là rất quan trọng. Có tiêu chuẩn ISO/IEC 27017 cho phép một khuôn khổ tiêu chuẩn hóa quốc tế có thể giúp giảm nguy cơ vi phạm dữ liệu và xây dựng lòng tin của khách hàng bằng cách thể hiện cam kết của bạn đối với bảo mật thông tin. Tiêu chuẩn cũng đưa ra hướng dẫn cho khách hàng dịch vụ đám mây về những gì họ nên muốn từ máy chủ dịch vụ đám mây của họ.

Top Cloud Security Standards to Leverage for Your Business.

Tiêu chuẩn bao gồm một loạt các chủ đề như quyền sở hữu tài sản, loại bỏ và trả lại tài sản khi hợp đồng khách hàng đã bị chấm dứt, bảo vệ và tách môi trường ảo của khách hàng và hơn thế nữa. Với nguy cơ vi phạm dữ liệu đám mây ngày càng tăng, điều quan trọng hơn bao giờ hết là phải biết bạn và tổ chức của bạn đang làm nhiều nhất để thử và giảm thiểu những rủi ro này với tư cách là nhà cung cấp dịch vụ đám mây và / hoặc khách hàng dịch vụ đám mây.


Vì ISO 27017 được xây dựng từ nền tảng của khuôn khổ ISO 27001 và ISO 27002, chứng nhận cho thấy sự tuân thủ quốc tế và giúp tổ chức của bạn cho cả nhà cung cấp dịch vụ đám mây và khách hàng dịch vụ đám mây chống lại rủi ro trong đám mây.

ISC có thể giúp bạn như thế nào

Với nhiều kinh nghiệm cung cấp các chứng chỉ hệ thống quản lý được công nhận, ISC là nơi lý tưởng để hợp tác với bạn để đáp ứng các yêu cầu của các bên liên quan và vượt quá mong đợi của ngành.

Ủy ban kỹ thuật và các mối quan hệ trong ngành. ISC tham gia rất nhiều vào nhiều ủy ban ngành và nhóm viết tiêu chuẩn, giúp chúng tôi duy trì nhận thức sâu sắc về những thay đổi trong ngành.

Chuyển giao kiến thức hỗ trợ chiến lược tổ chức của khách hàng. ISC cam kết đảm bảo nhận thức của khách hàng về những thay đổi trong chiến lược, quy định và yêu cầu tiêu chuẩn của ngành có thể ảnh hưởng đến cách tiếp cận hệ thống quản lý của bạn.

Nếu bạn quan tâm đến việc hiểu làm thế nào ISC có thể hỗ trợ bạn đạt được chứng nhận theo ISO 27017, vui lòng liên hệ với nhóm bán hàng của chúng tôi.

Email: van.pham@iscvietnam.net van.pham@tcivietnam.com

Hotline: 0933096426

Các bước để chứng nhận

  1. Bước 1

Hoàn thành Mẫu yêu cầu báo giá để chúng tôi có thể hiểu công ty và yêu cầu của bạn. Bạn có thể làm điều này bằng cách hoàn thành báo giá nhanh trực tuyến hoặc biểu mẫu yêu cầu báo giá chính thức trực tuyến. Chúng tôi sẽ sử dụng thông tin này để xác định chính xác phạm vi đánh giá của bạn và cung cấp cho bạn đề xuất chứng nhận.

  1. Bước 2

Khi bạn đã đồng ý với đề xuất của mình, chúng tôi sẽ liên hệ với bạn để đặt lịch đánh giá với Kiểm toán viên ISC. Đánh giá này bao gồm hai chuyến thăm bắt buộc tạo thành Đánh giá chứng nhận ban đầu. Xin lưu ý rằng bạn phải có khả năng chứng minh rằng hệ thống quản lý của bạn đã hoạt động đầy đủ trong tối thiểu ba tháng và đã được xem xét quản lý và toàn bộ chu kỳ kiểm toán nội bộ.

  1. Bước 3

Sau khi đánh giá hai giai đoạn thành công, một quyết định chứng nhận được đưa ra và nếu tích cực, thì chứng nhận theo tiêu chuẩn bắt buộc sẽ được ISC ban hành. Bạn sẽ nhận được cả bản sao cứng và mềm của chứng chỉ. Chứng nhận có giá trị trong ba năm và được duy trì thông qua chương trình đánh giá giám sát hàng năm và đánh giá chứng nhận lại ba năm một lần.

 

QUY TRÌNH CỦA CHÚNG TÔI

Với sự giúp đỡ và chuyên môn của đội ngũ của chúng tôi tại ISC, bạn không cần phải bối rối bởi các quy trình để có được chứng nhận cho hệ thống quản lý của bạn. Là nhà cung cấp dịch vụ chứng nhận, đào tạo và hỗ trợ hàng đầu, chúng tôi đã cấp hơn 10.000 chứng chỉ cho các doanh nghiệp tại hơn 90 quốc gia trên toàn cầu.

Từ chất lượng hệ thống quản lý của bạn đến các tiêu chuẩn quản lý sức khỏe và sự an toàn của người lao động, chứng chỉ ISO là một số tiêu chuẩn rõ ràng nhất của một doanh nghiệp nghiêm túc trong việc duy trì sản phẩm chất lượng cao cũng như môi trường làm việc an toàn và hiệu quả. Thêm vào đó, đối với các ngành công nghiệp chuyên biệt - như ô tô, viễn thông, hàng không vũ trụ và thực phẩm - có thêm các chứng nhận phù hợp cụ thể với yêu cầu của từng ngành.

Quá trình chứng nhận hệ thống quản lý rất đơn giản và thường tuân theo một quy trình chung phù hợp với các tiêu chuẩn hệ thống quản lý ISO. Một danh sách các tiêu chuẩn tuân thủ cùng một quy trình chung, sử dụng Phụ lục SL làm hướng dẫn; là:

  1. ISO 9001 – Hệ thống quản lý chất lượng
  2. ISO 14001 - Quản lý môi trường
  3. ISO 45001 – An toàn & Sức khỏe nghề nghiệp
  4. ISO 50001 – Quản lý năng lượng
  5. ISO 27001- Bảo mật thông tin
  6. ISO 22301- Quản lý kinh doanh liên tục
  7. Và hơn thế nữa

Có những khác biệt nhỏ đối với các tiêu chuẩn cụ thể như AS9100 (tiêu chuẩn quản lý chất lượng hàng không vũ trụ) và IATF 16949 (tiêu chuẩn quản lý chất lượng ô tô), mà chúng tôi sẽ sẵn lòng giải thích trong hành trình ứng dụng của bạn.

Quy trình chứng nhận ISO

Chứng nhận ISO từ ISC tuân thủ các bước sau:

  1. Nộp đơn đăng ký
  2. Đánh giá hồ sơ
  3. Đánh giá chứng nhận ban đầu
  4. Giai đoạn 1
  5. Giai đoạn 2
  6. Chứng nhận

Để giúp bạn hiểu rõ hơn về quy trình chứng nhận ISO, mỗi bước được mô tả chi tiết bên dưới.

Nộp đơn đăng ký

Bạn sẽ cần điền vào mẫu đơn đăng ký (còn được gọi tại ISC là Mẫu yêu cầu báo giá) để ISC hiểu công ty của bạn, mức độ phức tạp và yêu cầu. Bạn có thể làm điều này bằng cách hoàn thành mẫu yêu cầu báo giá của chúng tôi. Chúng tôi sẽ sử dụng thông tin này để xác định chính xác phạm vi đánh giá và cung cấp cho bạn đề xuất chứng nhận.

Đánh giá hồ sơ

Khi bạn đã đồng ý với đề xuất của mình, các đánh giá của bạn sẽ được đặt trước với Giám định viên ISC. Đánh giá này bao gồm hai chuyến thăm bắt buộc tạo thành Đánh giá chứng nhận ban đầu. Xin lưu ý rằng bạn phải có khả năng chứng minh hệ thống quản lý của bạn đã hoạt động đầy đủ trong tối thiểu ba tháng và đã được xem xét quản lý và toàn bộ chu kỳ kiểm toán nội bộ. *Lưu ý: có thể có các yêu cầu bổ sung đối với một số tiêu chuẩn kỹ thuật hơn - chúng tôi sẽ tư vấn cho bạn những yêu cầu này.

Đánh giá chứng nhận ban đầu — Giai đoạn 1

Mục đích của đánh giá này là để xác nhận rằng tổ chức của bạn đã sẵn sàng để đánh giá đầy đủ. Đánh giá này sẽ diễn ra tại trung tâm hệ thống quản lý của bạn (thường là trụ sở chính) và sẽ là một đánh giá xem xét tài liệu.


Trong quá trình đánh giá giai đoạn 1, giám định viên của bạn sẽ:

  1. Xác nhận tính chính xác của thông tin mà bạn đã gửi trong quá trình đăng ký
  2. Xác nhận rằng hệ thống quản lý phù hợp với các yêu cầu của tiêu chuẩn
  3. Xác nhận trạng thái triển khai (các) hệ thống quản lý của bạn
  4. Xác nhận phạm vi chứng nhận
  5. xác minh việc đánh giá tuân thủ pháp luật

Kết quả của đánh giá giai đoạn 1 sẽ là:

  1. một báo cáo xác định bất kỳ lĩnh vực quan tâm nào (AOC), nếu không được giải quyết, có thể được nêu ra là không phù hợp trong đánh giá giai đoạn 2
  2. Lịch trình của chuyến thăm đánh giá giai đoạn 2
  3. Kế hoạch đánh giá cho đánh giá giai đoạn 2

Đánh giá chứng nhận ban đầu — Giai đoạn 2

Mục đích của đánh giá này là để xác nhận rằng hệ thống quản lý hoàn toàn phù hợp với các yêu cầu của tiêu chuẩn được lựa chọn trong thực tế. Nếu bạn thực hiện công việc trang web hoặc có nhiều hơn một địa điểm mà bạn muốn trong phạm vi chứng nhận của bạn thì người đánh giá của bạn cũng sẽ cần phải kiểm tra các hoạt động / địa điểm này.

Trong quá trình đánh giá giai đoạn 2, giám định viên của bạn sẽ:

  1. Ghi lại cách hệ thống tuân thủ tiêu chuẩn bằng cách sử dụng bằng chứng khách quan
  2. Thực hiện đánh giá mẫu các quy trình và hoạt động được xác định trong phạm vi chứng nhận
  3. Ghé thăm bất kỳ địa điểm từ xa, địa điểm bổ sung hoặc hoạt động từ xa nào để đánh giá hiệu quả của hệ thống quản lý bên ngoài trang web
  4. Báo cáo bất kỳ sự không phù hợp hoặc cơ hội cải thiện nào
  5. Lập kế hoạch giám sát và thống nhất ngày cho chuyến thăm giám sát hàng năm đầu tiên

Nếu người đánh giá xác định bất kỳ sự không phù hợp chính nào, chứng nhận không thể được cấp cho đến khi hành động khắc phục được thực hiện và xác minh. Các yêu cầu công nhận quy định rằng nếu điều này không được hoàn thành trong vòng 6 tháng, thì chứng nhận không thể được khuyến nghị nếu không có đánh giá giai đoạn 2 tiếp theo.


Cụ thể đối với ISMS, yêu cầu này mở rộng đến bất kỳ sự không phù hợp nào liên quan đến kiểm toán nội bộ hoặc quy trình xem xét quản lý. Chứng nhận có thể không được cấp cho ISO 27001 cho đến khi có đủ bằng chứng để chứng minh rằng các thỏa thuận đánh giá quản lý và đánh giá ISMS nội bộ đã được thực hiện, có hiệu quả và sẽ được duy trì.

Chứng nhận

Sau khi đánh giá hai giai đoạn thành công, nó được xác định xem các hoạt động và quy trình của bạn có đáp ứng phạm vi chứng nhận bắt buộc trong tiêu chuẩn hoặc tiêu chuẩn hiện hành hay không. Do đó, một quyết định chứng nhận được đưa ra và nếu tích cực, chứng nhận theo tiêu chuẩn bắt buộc sẽ được ISC cấp. Bạn sẽ nhận được một bản sao cứng và mềm của chứng nhận. Bản sao đó sẽ cho phép bạn chia sẻ chứng nhận của mình với các bên thứ ba để chứng minh các tiêu chuẩn cao mà tổ chức của bạn tuân thủ.


Chứng nhận có giá trị trong ba năm và được duy trì thông qua chương trình đánh giá giám sát hàng năm và đánh giá chứng nhận lại ba năm một lần.

Chứng nhận có giá trị trong bao lâu?

Sau khi đạt được chứng nhận, một chứng chỉ sẽ được cấp có giá trị trong 3 năm. Điều này được duy trì thông qua đánh giá giám sát hàng năm (đánh giá một phần) và đánh giá chứng nhận lại 3 năm (đánh giá toàn bộ hệ thống).

Đánh giá giám sát được thực hiện hàng năm để đảm bảo rằng việc tuân thủ (các) Tiêu chuẩn đã chọn được duy trì trong suốt chu kỳ chứng nhận ba năm.

Tần suất và thời gian giám sát phụ thuộc vào các yếu tố bao gồm:

  1. Quy mô và cơ cấu tổ chức
  2. Sự phức tạp và rủi ro của các hoạt động
  3. Số lượng tiêu chuẩn hệ thống quản lý bao gồm trong phạm vi chứng nhận
  4. Số lượng địa điểm được liệt kê trong phạm vi chứng nhận

Trong quá trình kiểm tra giám sát, bạn phải chứng minh sự cải tiến liên tục. Đây là một yêu cầu cơ bản của tất cả các tiêu chuẩn ISO và là điều mà ISC là một đại sứ quan tâm.

Điều gì xảy ra nếu doanh nghiệp của bạn thay đổi trong thời gian này?

Đừng lo lắng - chúng tôi đã quen với việc các tổ chức thuộc mọi hình dạng và quy mô thay đổi thường xuyên bao gồm các địa điểm và hoạt động bổ sung, tăng hoặc giảm số lượng nhân viên. Chúng tôi có thể cung cấp cho bạn tất cả các tùy chọn để thay đổi và điều chỉnh phạm vi / tiêu chuẩn / hệ thống quản lý cho phù hợp với yêu cầu kinh doanh của bạn - chúng tôi chỉ cần bạn trung thực với chúng tôi và cho chúng tôi biết nếu có bất cứ điều gì thay đổi càng sớm càng tốt.

Phương pháp tiếp cận hợp tác hợp tác của chúng tôi để chứng nhận được thiết kế để cho phép chương trình chứng nhận của bạn phù hợp với yêu cầu kinh doanh của bạn - chứ không phải ngược lại!

Sự tham gia của ISC là gì? Tại sao nên thuê một nhà tư vấn?

Mặc dù đúng là nhiều công ty có được chứng chỉ ISO một cách độc lập, nhưng có nhiều tình huống trong đó có một nhà tư vấn chứng nhận ISO có kinh nghiệm có thể làm giảm sự nhầm lẫn và sự chậm trễ kéo dài mà bạn có thể không muốn giải quyết.

Khác với các tổ chức chứng nhận đủ điều kiện - như ISC - các chuyên gia tư vấn chứng nhận chuyên nghiệp có thể giúp bạn đánh giá các quy trình hiện tại của mình và hướng dẫn bạn trong các lĩnh vực có thể có vấn đề cần được giải quyết trước khi chứng nhận có thể được trao. Mặc dù việc thuê một nhà tư vấn rõ ràng không phải là một yêu cầu đối với chứng nhận ISO, nhưng nó đóng vai trò như một nguồn lực bổ sung và đảm bảo rằng quá trình chứng nhận của bạn sẽ đạt được thành công.

Để biết thêm thông tin và giúp tìm nhà tư vấn phù hợp với mục đích của bạn, chỉ cần liên hệ với chúng tôi ngay bây giờ.

Hotline: 0933096426

Email: van.pham@iscvietnam.net van.pham@tcivietnam.com

Thực hiện bước tiếp theo để được chứng nhận

Tại ISC, chúng tôi có nhiều thập kỷ kinh nghiệm giúp các công ty như của bạn có được chứng nhận mà họ cần để chứng minh sự cống hiến của họ đối với chất lượng, dịch vụ và hiệu suất tổng thể vượt trội. Với các tiêu chuẩn liên tục được công bố và xem xét, cũng như hàng ngàn yêu cầu đi kèm với chúng, bạn sẽ muốn có một đối tác chứng nhận cập nhật từng chi tiết cuối cùng.

Nếu bạn đã sẵn sàng thực hiện bước tiếp theo trong hành trình chứng nhận của mình, tất cả những gì bạn phải làm là liên hệ với chúng tôi và một trong những người quản lý chứng nhận chuyên gia của chúng tôi sẽ sớm liên hệ.

Bạn có câu hỏi nào không?

Nếu bạn có bất kỳ câu hỏi nào về quy trình chứng nhận, hãy gọi cho chúng tôi theo số 0933.096.426 hoặc điền vào biểu mẫu liên hệ ngắn gọn của chúng tôi và chúng tôi sẽ sẵn lòng giải thích thêm về quy trình.

Hotline: 0933 09 6426 - 0931796188

Email: van.pham@iscvietnam.net  - van.pham@tcivietnam.com