ISO/IEC 27017:2024 云服务信息安全管理标准详解

ISO/IEC 27017:2024 是国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的最新版云服务信息安全专项标准，作为 ISO/IEC 27001 信息安全管理体系的云场景核心扩展，于 2024 年 10 月正式发布，全面替代 2015 版ISO。该标准基于 ISO/IEC 27002:2022 控制框架，专为云服务提供商（CSP）与云服务客户（CSC）设计，核心是明确云安全责任共担模型，解决多租户、虚拟化、数据跨境、服务外包等云特有安全风险，是全球云服务安全合规的权威依据，全文约 2000 字。

一、标准适用行业与范围

ISO/IEC 27017:2024适用于所有提供或使用云服务的组织，覆盖全部云服务模式（IaaS/PaaS/SaaS）与部署模式（公有云 / 私有云 / 混合云 / 社区云），不限规模与行业。

（一）核心适用主体

1. 云服务提供商（CSP）

• IaaS 基础设施服务商：云服务器、云存储、数据中心、网络服务提供商（如阿里云、腾讯云）。

• PaaS 平台服务商：开发平台、数据库服务、中间件、容器服务提供商。

• SaaS 应用服务商：企业协作、CRM、HR、ERP、办公软件、电子签约、医疗云服务商。

• 云安全与托管服务商：云备份、灾备、安全托管、运维外包服务商。

2. 云服务客户（CSC）

• 金融行业：银行、保险、证券、支付机构，处理客户账户、交易、征信等敏感数据。

• 医疗健康：医院、体检机构、医疗平台，管理电子病历、患者信息、诊疗数据。

• 政务与公共事业：政府部门、事业单位、公共服务平台，涉及公民信息、政务数据。

• 互联网与科技企业：电商、社交、教育、物流平台，存储海量用户注册、行为、交易数据。

• 制造与零售：数字化转型企业，核心业务系统、供应链、客户数据上云。

3. 云生态第三方云代理商、系统集成商、分包处理商、云安全服务商，需与主责任方同步满足安全要求。

（二）非适用范围

纯本地 IT 环境、非云服务的传统数据中心、不涉及云服务的内部管理体系。

二、标准核心内容（2024 版关键升级）

2024 版深度适配 ISO/IEC 27002:2022 新架构，在通用控制基础上，补充37 项云场景扩展指南 + 7 项云专属控制措施，核心围绕责任共担、云原生安全、全生命周期管控。

（一）核心定位与原则

• 非独立体系：必须依托 ISO 27001，为云安全专项扩展，认证需与 ISO 27001 一体化实施。

• 核心原则：责任清晰、最小权限、租户隔离、数据可控、透明审计、持续合规。

• 核心价值：首次全球统一云安全责任边界，消除 "责任真空" 与 "重叠管控"。

（二）云安全责任共担模型（核心）

标准按 IaaS/PaaS/SaaS 明确 CSP 与 CSC 责任，是云安全管理的核心框架：

• IaaS：CSP 负责物理 / 网络 / 虚拟化 / 基础设施安全；CSC 负责 OS、中间件、应用、数据、权限、业务安全。

• PaaS：CSP 负责基础设施 + 平台 + 数据库安全；CSC 负责应用、数据、用户访问、业务逻辑安全。

• SaaS：CSP 负责全栈安全（基础设施 + 平台 + 应用）；CSC 负责用户权限、数据配置、业务合规、访问管理。

（三）四大核心控制模块

1. 组织与责任控制（云专属）

• 建立云安全方针，明确 CSP/CSC 职责，签订云安全服务协议（SLA）。

• 云风险评估：识别多租户、虚拟化、跨境、分包、API 接口、远程运维特有风险。

• 供应链安全：分包商资质审核、安全管控、审计、责任追溯。

2. 云技术与环境控制（核心）

• 虚拟化与多租户隔离：虚拟机 / 容器强隔离、Hypervisor 安全、租户数据加密隔离、镜像安全。

• 数据全生命周期安全：传输加密（TLS 1.3）、存储加密（AES-256）、防篡改、权限最小化、日志全审计。

• 服务终止与资产处置：数据彻底删除 / 销毁、介质清零、客户数据返还、无残留。

• 云监控与事件响应：7×24 小时监控、异常告警、泄露响应、客户通知、SLA 保障。

3. 人员与访问控制

• 云团队背景审查、保密协议、专项安全培训、权限最小化、双重审批。

• 第三方人员（外包 / 分包）同等管控，离职立即回收权限。

4. 合规与审计控制

• 云日志留存≥1 年，支持客户审计、合规证据提供、跨境数据合规。

• 对齐全球法规（GDPR、个保法、网络安全法），满足行业监管要求。

（四）2024 版 7 项云专属新增控制

1. 云安全责任界定：书面明确 CSP/CSC 安全职责与边界。

2. 服务终止资产移除：数据彻底删除、介质处置、无残留。

3. 虚拟环境隔离：多租户强隔离、虚拟化安全、防越权访问。

4. 云服务管理流程：云运维、变更、监控、事件响应标准化。

5. 云供应链安全：分包商安全管控、风险评估、审计。

6. 云业务连续性：跨区域灾备、故障切换、恢复 SLA。

7. 云审计与透明度：客户审计权限、日志开放、合规报告。

三、ISO/IEC 27017:2024 认证流程

认证必须依托 ISO 27001，为 "ISO 27001+27017" 一体化认证，全球通用、有效期 3 年，全流程 3-5 个月。

（一）前期准备（1-2 个月）

1. 先决条件：已建立 ISO 27001 体系并有效运行≥3 个月，完成内审与管理评审。

2. 差距分析：对照 27017 标准，识别云安全薄弱点（责任划分、租户隔离、数据处置、分包管控）。

3. 体系整合：在 ISO 27001 基础上，新增云安全控制文件（责任手册、SLA 模板、云风险评估、数据处置、分包管理、事件响应）。

4. 运行验证：体系试运行≥3 个月，完成云风险评估、租户隔离测试、泄露演练、分包商审计，留存完整记录。

5. 申请提交：选择 CNAS/IAF 认可机构，提交营业执照、ISO 27001 证书、云业务范围、体系文件、内审管评报告。

（二）审核阶段

• **阶段（1-2 天）：文件审核 + 现场初审，确认云安全体系合规性、责任界定清晰度、准备度。

• 第二阶段（3-7 天）：全流程现场验证（租户隔离、数据加密、权限管控、日志审计、分包管理、服务终止处置、事件响应）。

• 不符合项整改：一般项 1 个月、严重项 2 个月内完成，验证通过后发证。

（三）获证后维护

• 监督审核：每年 1 次，核查云安全体系持续有效性。

• 再认证：3 年到期前复评，通过后延续证书有效期。

四、标准核心价值

ISO/IEC 27017:2024 是云安全合规的国际通行证：统一云安全责任、消除合规盲区、降低泄露与监管风险、强化客户信任、支撑跨境云业务、提升市场竞争力，是云服务商与云客户构建安全可信云生态的必备标准