4.5　国际安全合规认证

4.5.1　ISO 27001

ISO 27001是国际上广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和相应的控制措施，有效保证了组织信息安全管理体系的持续运行。

信息安全管理要求的ISO/IEC 27001原为英国BS 7799标准，由英国标准协会（BSI）于1995年2月提出，1995年5月修订。英国标准协会在1999年再次修订了该标准。BS 7799分为两部分：BS 7799-1《信息安全管理实施细则》、BS 7799-2《信息安全管理系统规范》。第一部分为信息安全管理提供建议，供负责在其组织中启动、实施或维护安全的人员使用；第二部分描述了建立、实施和记录信息安全管理系统（ISMS）的要求，并提供了需求组织应执行安全控制的要求。

该标准的主要内容有：ISO/IEC 17799—2000（BS 7799-1）提出了信息安全管理建议，供组织内负责发起、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理实践提供了公共基础，并为组织之间的交互提供了信任。

该标准规定，“信息是一种资产，与其他重要的商业资产一样”。它对一个组织很有价值，需要得到适当的保护。信息安全防范信息的各种威胁，保证业务的连续性，降低企业损失风险，最大限度地提高投资回报和商机。

4.5.2　ISO 20000

ISO 20000是一个面向组织的IT服务管理标准。其目的是为建立、实施、操作、监控、审查、维护和改进IT服务管理系统（ITSM）提供一个模型。IT服务管理系统的建立已成为各组织，特别是金融机构、电信、高新技术产业管理运营风险不可或缺的重要机制。ISO 20000允许IT经理有一个管理IT服务的参考框架，并且良好的IT管理水平可以通过认证来证明。

ISO 20000标准通过“IT服务标准化”来管理IT问题，即对IT问题进行分类，识别问题的内部联系，然后根据服务水平协议进行规划、实施和监控，并强调与客户的沟通。该标准还关注系统的能力、管理水平、财务预算、软件控制及系统变更时所需的分配。

4.5.3　CSA-STAR

CSA-STAR认证是由英国标准协会和国际云安全联盟（CSA）共同发起的一个全新且有针对性的国际专业认证项目，主要用来应对与云安全相关的问题。

云安全国际认证（CSA-STAR）以ISO/IEC 27001认证为基础，结合云安全控制矩阵CCM的要求，采用BSI提供的成熟度模型和评估方法，与所有提供和使用云计算的组织及利益相关者进行沟通；从五个维度进行监控和测量，全面评估组织的云安全管理和技术能力，最后给出独立的第三方外部审计结论。