85 % der Organisationen werden bis Ende 2024 mindestens einen Cloud-Sicherheitsvorfall erleben.

Cloud-Umgebungen sind besonders anfällig für Cybersecurity-Vorfälle und Datenverstöße aufgrund einer Kombination aus komplexen Konfigurationen, Unklarheiten bei der gemeinsamen Verantwortung, Zugriffssteuerungsherausforderungen, unsicheren APIs, Risiken der Datenexposition, menschlichen Fehlern und gezielten Angriffen.

ISO 27017 bietet einen umfassenden Rahmen, der Organisationen hilft, spezifische Sicherheitspraktiken zum Schutz von Cloud-Umgebungen vor diesen komplexen Bedrohungen umzusetzen. Durch die Annahme dieses Rahmens können Organisationen systematisch die Sicherheitsherausforderungen des Cloud-Computing angehen und somit eine robuste und zuverlässige Cloud-Sicherheitsposition gewährleisten.

In diesem Artikel werden wir die wichtigsten Aspekte der ISO 27017-Compliance, deren Vorteile, Kontrollanforderungen, deren Beziehung zu ISO 27001 und die Schritte zur Zertifizierung erkunden.

Was ist ISO/IEC 27017:2015?

ISO/IEC 27017:2015 ist eine Informationssicherheitsnorm für Cloud-Dienste. Sie baut auf dem weithin anerkannten Rahmen ISO/IEC 27002 auf, der allgemeine Informationssicherheitskontrollen beschreibt und diese speziell auf Cloud-Computing-Umgebungen anpasst.

ISO/IEC 27017:2015 konzentriert sich auf:

1. Spezifische Cloud-Kontrollen: Es bietet spezifische Anleitungen zur Implementierung von Informationssicherheitskontrollen für Cloud-Dienstanbieter (CSP) und/oder Cloud-Dienstkunden (CSC).
2. Verstärkte Sicherheitsmaßnahmen: Es enthält zusätzliche Sicherheitsmaßnahmen, die auf die einzigartigen Risiken und Herausforderungen des Cloud-Computings abzielen, wie z. B. Datenisolierung, Sicherheit virtueller Maschinen und Verwaltung von Cloud-Diensten.
3. Komplementär zu ISO 27001: Obwohl sich ISO 27017 auf spezifische Cloud-Kontrollen konzentriert, ist es so konzipiert, dass es in Verbindung mit ISO 27001 verwendet wird, das den allgemeinen Rahmen für ein Informationssicherheitsmanagementsystem (ISMS) bietet.

Implementierungsleitlinien: Es bietet praktische Anleitungen, wie diese Kontrollen effektiv implementiert und verwaltet werden können, um die Sicherheit von Cloud-Diensten und -Daten zu gewährleisten.

ISO 27017 vs. ISO 27001/ISO 27002: Wie die Normen miteinander verbunden sind

ISO 27017, ISO 27001 und ISO 27002 sind alle Teil der ISO/IEC 27000-Standardreihe, die sich auf das Informationssicherheitsmanagement konzentriert. Jeder Standard hat eine spezifische Rolle und einen spezifischen Zweck und ergänzt sich gegenseitig, um einen umfassenden Ansatz für die Informationssicherheit zu bieten.

ISO 27001 ist der Hauptstandard, der die Anforderungen für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) definiert. Es bietet einen systematischen Ansatz zum Schutz sensibler Informationen durch Menschen, Prozesse, Technologien und Risikomanagement. Organisationen können ein externes Audit durch eine akkreditierte Zertifizierungsstelle durchführen lassen, um die ISO 27001-Zertifizierung zu erhalten.

ISO 27002 ist ein ergänzendes Leitlinienframework zu ISO 27001, das die Sicherheitskontrollen detailliert, die Organisationen implementieren können, um ihr ISMS entsprechend ihren spezifischen Bedürfnissen und Risikobewertungen aufzubauen, zu warten und kontinuierlich zu verbessern.

ISO 27017 basiert ebenfalls auf ISO 27001 und bietet zusätzliche Kontrollen und Leitlinien, die speziell für Cloud-Computing-Umgebungen gelten. Organisationen, die ein ISMS auf der Grundlage von ISO 27001 aufbauen und/oder pflegen, können ISO 27017 verwenden, um wirksame Cloud-Sicherheitskontrollen sicherzustellen.

Durch die Integration von ISO/IEC 27017 in ISO 27001 können Organisationen eine starke Sicherheitsposition gewährleisten, die eine umfassende Abdeckung der Informationssicherheitskontrollen, einschließlich derjenigen, die speziell für Cloud-Dienste gelten, bietet.

Sollte Ihre Organisation ISO 27017 umsetzen?

Die Einhaltung von ISO 27017 ist weder verpflichtend noch gesetzlich vorgeschrieben. Viele Organisationen entscheiden sich jedoch aufgrund der damit verbundenen Vorteile für die Umsetzung von ISO 27017, darunter:

• Verbesserte Cybersicherheit für Cloud-Infrastrukturen: Die Umsetzung von Cloud-spezifischen Kontrollen hilft Organisationen, sensible Informationen vor Cloud-bezogenen Bedrohungen und Schwachstellen zu schützen.
• Verbessertes Risikomanagement für Cloud-spezifische Bedrohungen: ISO 27017 bietet einen strukturierten Ansatz zur Identifizierung, Bewertung und Minderung von Risiken, die speziell mit Cloud-Computing verbunden sind.
• Erhöhtes Vertrauen und Glaubwürdigkeit: Die Einhaltung von ISO 27017 zeigt Kunden, Partnern und Stakeholdern, dass die Organisation bewährte Verfahren in der Cloud-Sicherheit befolgt, was Vertrauen, Zuversicht und Loyalität stärkt.
• Abgleich mit bestehenden Normen und regulatorischen Anforderungen: Da es die ISO 27001 ergänzt, können sich Organisationen auf ihr bestehendes ISMS stützen und ihre Sicherheitsmaßnahmen für Cloud-Dienste verbessern. Obwohl es keine Konformität garantiert, hilft die ISO 27017 Organisationen dabei, viele gesetzliche und regulatorische Anforderungen im Zusammenhang mit dem Schutz von Daten in der Cloud zu erfüllen.
• Wettbewerbsdifferenzierung: Die ISO 27017-Zertifizierung kann eine wertvolle Wettbewerbsdifferenzierung bieten, indem sie das Engagement der Organisation für die besten Praktiken der Cloud-Datensicherheit hervorhebt.
• Betriebliche Effizienz: Standardisierte Sicherheitskontrollen und -prozesse können zu effizienteren Operationen und weniger Sicherheitsvorfällen führen. Eine Kultur der kontinuierlichen Verbesserung der Cloud-Sicherheitspraktiken hilft Organisationen auch dabei, proaktiv zu sein und neuen Bedrohungen und Schwachstellen einen Schritt voraus zu bleiben.

Ob Ihre Organisation von der ISO 27017-Konformität profitieren würde, hängt letztendlich von Ihren aktuellen Cloud-Sicherheitspraktiken, Ihren geschäftlichen Anforderungen und den Anforderungen Ihrer Kunden ab.

Hier sind einige Fragen, die Sie sich stellen können, um zu entscheiden, ob die ISO 27017-Konformität eine kluge Wahl für Ihre Organisation ist:

• Ist Ihre Organisation stark auf Cloud-Dienste für ihre kritischen Operationen und Datenspeicherung angewiesen? Plant Ihre Organisation, die Nutzung von Cloud-Diensten auszuweiten, und möchten Sie sicherstellen, dass robuste Sicherheitspraktiken von Anfang an in Kraft sind?
• Wenn Sie mehrere Cloud-Dienstanbieter nutzen, ist es notwendig, bei allen standardisierte Sicherheitspraktiken zu haben?
• Haben Sie bereits Datenschutzverletzungen oder Sicherheitsvorfälle im Zusammenhang mit Cloud-Diensten erlebt oder befürchten Sie diese? Haben Sie einen strukturierten Ansatz für das Management von Cloud-spezifischen Risiken?
• Gibt es gesetzliche, regulatorische oder industrielle Standards, die spezifische Sicherheitsmaßnahmen für Cloud-Dienste vorschreiben oder empfehlen? Arbeiten Sie in einer stark regulierten Branche (z. B. Finanzen, Gesundheit) mit strengen Anforderungen an den Datenschutz?
• Erwarten oder bevorzugen Ihre Kunden oder Partner, dass Cloud-Dienstanbieter anerkannte Sicherheitsstandards wie ISO 27017 einhalten? Könnte die ISO 27017-Konformität Ihre Glaubwürdigkeit verbessern und mehr Kunden anziehen, indem sie Ihr Engagement für die Cloud-Sicherheit zeigt?
• Haben Sie die Ressourcen und das Fachwissen, um die ISO 27017-Konformität zu implementieren und aufrechtzuerhalten?
• Sind Sie bereits ISO 27001-konform und möchten Ihr ISMS so erweitern, dass es spezifische Cloud-Kontrollen abdeckt?

Wenn Ihre Antworten eine signifikante Abhängigkeit von Cloud-Diensten, einen Bedarf an sichereren Cloud-Sicherheitspraktiken, eine Nachfrage der Kunden nach Sicherheitsgarantien oder regulatorischen Druck anzeigen, dann wäre es wahrscheinlich von Vorteil für Ihre Organisation, die ISO 27017-Konformität anzustreben.

Organisationen, die von der ISO 27017 profitieren

1. Cloud-Service-Anbieter (CSP): Organisationen, die Cloud-Dienste (IaaS, PaaS, SaaS) anbieten und sicherstellen wollen, dass sie internationalen Informationssicherheitsstandards entsprechen. CSPs, die ihr Engagement für die Sicherheit der Kundendaten demonstrieren und Cloud-spezifische Risiken effektiv verwalten möchten.
2. Cloud-Service-Kunden (CSC): Organisationen, die Cloud-Dienste nutzen und sicherstellen wollen, dass ihre Dienstleister den besten Praktiken der Informationssicherheit entsprechen. CSCs, die ihre eigenen Verantwortlichkeiten im gemeinsamen Sicherheitsmodell des Cloud-Computings managen müssen.
3. Organisationen, die in die Cloud migrieren : Unternehmen, die ihre Betriebsabläufe oder Daten in die Cloud verlagern und robuste Sicherheitspraktiken etablieren möchten, die für Cloud-Umgebungen geeignet sind.
4. Stark regulierte Branchen : Sektoren mit strengen Anforderungen an den Datenschutz und die Datensicherheit (z.B. Finanzen, Gesundheitswesen, Regierung), die regulatorischen Standards entsprechen und vertrauliche Informationen schützen müssen.

Anforderungen und Kontrollen nach ISO 27017

Die Anforderungen der ISO 27017 basieren auf den Kontrollgruppen, die von der ISO 27002 festgelegt wurden, und verbessern diese Kontrollen mit zusätzlichen Implementierungsrichtlinien, die für Cloud-Dienste geeignet sind. Im Folgenden sind einige Beispiele für Kontrollziele der ISO 27017 aufgeführt.

1. Organisatorische Kontrollen

Geteilte Rollen und Verantwortlichkeiten in der Cloud-Computing-Umgebung

• Kontrollziel : Klar definieren und dokumentieren der geteilten Rollen und Verantwortlichkeiten der Cloud-Service-Provider (CSP) und der Cloud-Service-Kunden (CSC). Sicherstellen, dass alle Parteien ihre jeweiligen Verantwortlichkeiten für die Implementierung und Aufrechterhaltung von Sicherheitskontrollen verstehen.

2. Vermögensverwaltung

Entfernung und Rückgabe von Ressourcen des Cloud-Service-Kunden

• Kontrollziel : Etablieren von Verfahren zur Entfernung und Rückgabe der Ressourcen der CSC bei Beendigung eines Clouddienstes. Sicherstellen der sicheren und vollständigen Rückgabe oder Löschung der Daten und Ressourcen der Kunden.

Schutz und Trennung der virtuellen Umgebung des Kunden

• Kontrollziel : Mechanismen einrichten zum Schutz und zur Isolierung der virtuellen Umgebungen der CSC voneinander. Unbefugten Zugriff verhindern und die Datenisolierung zwischen verschiedenen Kunden, die eine gemeinsame Infrastruktur nutzen, sicherstellen.

Überwachung der Aktivitäten durch den Cloud-Kunden

• Kontrollziel : Implementieren von erweiterten Protokollierungs- und Überwachungsmechanismen, die spezifisch für Cloud-Umgebungen sind, um relevante Sicherheitsereignisse zu erfassen und zu analysieren. Sicherstellen, dass Protokolle vor Manipulation und unbefugtem Zugriff geschützt sind. Sicherstellen, dass die Aktivitäten der Clouddienste protokolliert und überwacht werden, um Sicherheitsvorfälle effektiv zu erkennen und darauf zu reagieren.

Der ISO 27017 Zertifizierungsprozess

Der Prozess der ISO/IEC 27017-Zertifizierung spiegelt eng den ISO 27001-Zertifizierungsprozess wider, einschließlich der Umsetzung von Kontrollen, der Vorbereitung auf das Audit, den Audits der Phase 1 und Phase 2 sowie dem dreijährigen Lebenszyklus des Zertifikats. Darüber hinaus ist ISO 27017 eine Erweiterung von ISO 27001, daher muss eine Organisation, die nach ISO 27017 zertifiziert werden möchte, entweder bereits nach ISO 27001 zertifiziert sein oder sich gleichzeitig für ISO 27001 und 27017 zertifizieren lassen.

Lassen Sie uns einen detaillierten Überblick über den Prozess werfen:

Schritt 1: Lückenanalyse

Der erste Schritt zur Erreichung der ISO 27017-Konformität besteht darin, Ihre aktuellen Cloud-Sicherheitspraktiken mit den ISO 27017-Anforderungen zu vergleichen und festzustellen, ob Lücken bestehen.

Identifizieren Sie Bereiche, in denen Ihre Praktiken nicht den Anforderungen der Norm entsprechen, und entwickeln Sie dann einen Minderungsplan zur Behebung der festgestellten Lücken. Stellen Sie sicher, dass Sie Zeitpläne, erforderliche Ressourcen und Personen, die für die Umsetzung verantwortlich sind, spezifizieren.

Schritt 2: Umsetzung von Kontrollen

Als nächstes ist es an der Zeit, die spezifischen Cloud-Kontrollen umzusetzen. Stellen Sie sicher, dass CSPs und CSCs ihre jeweiligen Verantwortlichkeiten verstehen und erfüllen.

Erstellen oder aktualisieren Sie die Dokumentation, um die implementierten Kontrollen zu reflektieren, einschließlich Richtlinien und Verfahren, und stellen Sie sicher, dass die Dokumente den entsprechenden Stakeholdern zugänglich sind.

Falls erforderlich, organisieren Sie Schulungssitzungen für das Personal, um das Bewusstsein für die Bedeutung der Cloud-Sicherheit, die spezifischen Cloud-Sicherheitsrisiken, denen sich das Unternehmen gegenübersieht, und die spezifisch implementierten Richtlinien und Prozesse zu schärfen, um sicherzustellen, dass das Personal seine Rollen und Verantwortlichkeiten versteht.

Schritt 3: Internes Audit

Sobald Sie die Kontrollen implementiert und die Lücken in Ihrer Konformitätshaltung geschlossen haben, führen Sie ein internes Audit durch, um die Wirksamkeit der implementierten Kontrollen zu bestimmen. Bewerten Sie die Wirksamkeit Ihrer Cloud-Sicherheitskontrollen in der Praxis und dokumentieren Sie alle Korrekturmaßnahmen.

Präsentieren Sie die Ergebnisse des Audits der Geschäftsleitung, um zu zeigen, dass das Unternehmensmanagement bereit ist, die notwendige Unterstützung für die ISO 27017-Konformität bereitzustellen.

Schritt 4: Zertifizierungsaudits

Jetzt, da Sie bereit für ein externes Zertifizierungsaudit sind, müssen Sie eine akkreditierte Zertifizierungsstelle auswählen, um die Überprüfung durchzuführen. Wählen Sie eine anerkannte und erfahrende Zertifizierungsstelle, die mit ISO 27017 vertraut ist.

Ähnlich wie bei ISO 27001 ist das initiale ISO-Zertifizierungsaudit selbst in zwei Phasen unterteilt.

Audit der Phase 1 (Vorbewertung):

Die Zertifizierungsstelle führt ein vorläufiges Audit durch, um Ihre Dokumentation und Vorbereitung auf das vollständige Audit zu überprüfen. Alle in dieser Phase identifizierten Probleme müssen behoben werden, bevor mit dem Audit der Phase 2 fortgefahren werden kann.

Audit der Phase 2 (Zertifizierungsaudit):

Der Auditor führt eine umfassende Bewertung der Umsetzung und Wirksamkeit Ihrer Cloud-Sicherheitskontrollen durch. Diese Phase umfasst Interviews, Beobachtungen und Kontrolltests.

Wenn die Zertifizierungsstelle mit den Ergebnissen des Audits zufrieden ist, wird eine ISO/IEC 27017-Zertifizierung ausgestellt. Dieses Zertifikat ist in der Regel drei Jahre gültig, mit jährlichen Überwachungsaudits zwischen den Zertifizierungen, um eine kontinuierliche Konformität mit ISO 27017 sicherzustellen und jede identifizierte Nichtkonformität zu beheben.

Nach dem anfänglichen Zertifizierungsaudit folgt ein dreijähriger Zertifikatslebenszyklus. Sie können hier weitere Details zum ISO 27001-Zertifizierungsprozess finden.

Schritt 5. Kontinuierliche Verbesserung

Organisationen müssen ihre Cloud-Sicherheitspraktiken ständig überwachen und verbessern. Während dieser Zeit ist es wichtig sicherzustellen, dass alle Cloud-Sicherheitspraktiken effektiv und konform mit dem Standard bleiben und alle Änderungen an Systemen und Kontrollen vollständig dokumentiert werden.

Am Ende des dreijährigen Zertifizierungszeitraums ist ein Rezertifizierungsaudit erforderlich, um die ISO 27017-Zertifizierung zu erneuern.

Automatisieren Sie die ISO 27017-Konformität mit Secureframe

Die leistungsstarke Sicherheits- und Compliance-Automatisierungs-Plattform von Secureframe unterstützt Dutzende von Sicherheitsrahmenwerken, einschließlich ISO 27017, und macht es schneller und einfacher, die ISO 27017-Zertifizierung zu erhalten und eine solide Cloud-Sicherheitslage nachzuweisen.

• Integrieren Sie Secureframe mit Ihrem Technologiestack, um die Kontrollen schnell auf das ISO 27017-Rahmenwerk abzubilden, Ihr Konformitätsniveau zu bewerten und Schwachstellen in Ihrer Sicherheitslage zu identifizieren.
• Nutzen Sie künstliche Intelligenz, um Compliance-Prozesse wie Risikoabschätzungen und die Erstellung von Richtlinien zu automatisieren.
• Mehr als 200 tiefgehende Integrationen sammeln automatisch Auditsnachweise, um die Auditvorbereitung zu vereinfachen.
• Überwachen Sie kontinuierlich die Kontrollen, um die Konformität Jahr für Jahr zu bewerten und aufrechtzuerhalten.
• Profitieren Sie von dedizierter Unterstützung und maßgeschneiderter Anleitung durch Sicherheits- und Compliance-Experten in jeder Phase.

Erfahren Sie mehr darüber, wie unsere Plattform und unser Expertenteam Ihnen helfen können, die ISO 27017- und ISO 27001-Konformität zu erreichen, oder planen Sie eine Demo, um mit einem Produktspezialisten zu sprechen.