ISOIEC27017云计算管理体系认证规则.PDF

编号：BMS-SC-035 ISO/IEC 27017 云计算管理体系认证规则 版本：A 发行日期 ISO/IEC 27017 云计算管理体系认证规则 目录 1. 标准简介 2. 适用范围 3. 认证基本原则 4. 对认证人员的要求 5. 申请和合同评审程序 6．审核准备 7. 初次认证审核 8. 审核实现 9．认证决定 10. 暂停、撤销和取消 11. 受理申诉和投诉 12. 认证记录管理 附录 A 云计算管理体系认证人天计算表 必维认证（北京）有限公司 1 编号：BMS-SC-035 ISO/IEC 27017 云计算管理体系认证规则 版本：A 发行日期 1 标准简介 ISO/IEC 27017 国际标准适用于为如下云服务的提供和使用给出了信息安全控制 的要求。 --ISO/IEC 27002 规定相关控制的额外实施要求 --与云服务相关的额外控制和实施要求 2 适用范围 2.1 本规则用于规范必维认证（北京）有限公司（以下简称“必维”）对申请认证 和获证的各类组织按照 ISO/IEC 27017 《基于 ISO/IEC 27002 信息安全控制的云服务- 实施要求》建立的云服务信息安全管理体系的认证活动。 2.2 本规则旨在遵守认证认可相关法律法规及国家技术标准，对云服务信息安全 管理体系认证实施过程作出具体规定，确保必维对认证过程的管理和相应责任。 2.3 本规则是对必维从事云服务信息安全管理体系认证活动的基本要求，公司各 部门从事该项认证活动应当遵守本规则。 3 认证基本原则 3.1 公正性：保持公正，是提供第三方认证的必要条件。公司通过合同评审、技 术评审、审核准备和实现等过程控制，确保审核过程是公正的、客观的，为认证过程 和证书提供社会公信力。 3.2 能力：能力是指经证实的应用知识和技能的本领。公司通过审核人员管理机 制，保障的人员能力是提供可建立信心的认证审核的必要条件。 3.3 责任：公司基于合理抽样、足够的客观证据基础上进行审核和评价，并在 此基础上做出认证决定。 3.4 开放性：为确保诚信性与可信性，公司采用透明运营的方式，公布有关云服 务信息安全管理体系认证审核过程和状态的适宜、及时的信息，或提供获取上述信息 必维认证（北京）有限公司 2 编号：BMS-SC-035 ISO/IEC 27017 云计算管理体系认证规则 版本：A 发行日期 的公开渠道。 3.5 保密性：公司采取措施对任何关于客户的专有重要敏感信息予以保密，但 对于享有获取充分评价认证审核符合性所需的信息的特别权利是必不可少的。 3.6 对投诉的回应：公司依据《投诉和申诉流程》，对投诉和申诉进行调查和适 当处理。 4 对认证人员的要求 为了确保审核能力，公司基于 ISO 19011 的要求，对云服务信息安全管理体系审核 员、主任审核员、技术专家进行资格审批和管理。成为审核员，需要满足以下条件要 求： 4.1 职业素养的要求 审核人员应具备以下职业素养： 1）独立性：保持独立性和客观性，不带偏见，无利益冲突。