Definition und Zweck

Der Zweck von ISO/IEC 27017 besteht darin, eine sicherere Cloud-Computing-Umgebung zu schaffen, indem Sicherheitsbewährte Verfahren für Cloud-Dienstanbieter und Nutzer angeboten werden. Diese Praktiken sollen potenzielle Risiken, die mit dem Cloud-Dienstleistungsmodell verbunden sind, mindern und die Vertraulichkeit, Integrität und Verfügbarkeit von Daten schützen.

Gremium

ISO/IEC 27017 wird von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und veröffentlicht.

Letzte Aktualisierung

ISO/IEC 27017 ist auf alle Arten und Größen von Organisationen anwendbar, einschließlich öffentlicher und privater Unternehmen, staatlicher Stellen und gemeinnütziger Organisationen, die Cloud-Dienste nutzen oder Cloud-Plattformen bereitstellen.

Gilt für

ISO/IEC 27005 gilt für alle Organisationen, unabhängig von Größe, Typ oder Art, die Risiken innerhalb des Rahmens eines ISMS systematisch managen möchten. Sie ist relevant für Organisationen, die Informationssicherheitsrisiken verwalten, sei es im privaten, gemeinnützigen oder staatlichen Bereich.

Kontrollen und Anforderungen

Der Standard bietet eine Reihe von cloud-spezifischen Kontrollen zusätzlich zu denen in ISO/IEC 27002 und enthält Folgendes:

• Gemeinsame Rollen und Verantwortlichkeiten: Die Aufteilung der Informationssicherheitsverantwortlichkeiten zwischen dem Cloud-Dienstanbieter und dem Kunden.
• Entfernen/Rückgabe von Ressourcen: Prozesse zur Rückgabe oder Zerstörung von Kundenressourcen nach Beendigung des Dienstvertrags.
• Schutz von virtuellen Maschinen: Richtlinien zur sicheren Einrichtung und zum Schutz von virtuellen Maschinen.
• Überwachung von Cloud-Diensten: Anforderungen zur Überwachung der Wirksamkeit der Cloudsicherheitsdienste.
• Ausrichtung an Cloud-Sicherheitsprinzipien: Sicherstellung, dass Cloud-Dienste mit anerkannten Sicherheitsprinzipien für Risikobewertung und -behandlung übereinstimmen.

Bitte beachten Sie die offizielle ISO/IEC 27017:2015-Dokumentation für Details zu Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

Audits involve an evaluation of an organization's cloud services and operations against the ISO/IEC 27017 guidance, which can be conducted internally or by third-party auditors. The frequency of audits will depend on the organization's risk assessment results, the level of change within the cloud services or organization, or regulatory requirements. Often, these are conducted annually.

The duration of an ISO/IEC 27017 audit varies based on the size and complexity of the cloud services being used or provided, the number of services in scope, and the maturity of the organization's security practices.