ISO/IEC 27017
ISO/IEC 27017 bietet Leitlinien zu den Aspekten der Informationssicherheit beim Cloud Computing und empfiehlt Informationssicherheitskontrollen für Cloud-Dienstanbieter und Kunden. Es baut auf den bestehenden Kontrollen in ISO/IEC 27002 auf und enthält zusätzliche Implementierungshinweise, die speziell auf Cloud-Dienste zugeschnitten sind.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Der Zweck von ISO/IEC 27017 besteht darin, eine sicherere Cloud-Computing-Umgebung zu schaffen, indem Sicherheitsbewährte Verfahren für Cloud-Dienstanbieter und Nutzer angeboten werden. Diese Praktiken sollen potenzielle Risiken, die mit dem Cloud-Dienstleistungsmodell verbunden sind, mindern und die Vertraulichkeit, Integrität und Verfügbarkeit von Daten schützen.
Gremium
ISO/IEC 27017 wird von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und veröffentlicht.
Letzte Aktualisierung
ISO/IEC 27017 ist auf alle Arten und Größen von Organisationen anwendbar, einschließlich öffentlicher und privater Unternehmen, staatlicher Stellen und gemeinnütziger Organisationen, die Cloud-Dienste nutzen oder Cloud-Plattformen bereitstellen.
Gilt für
ISO/IEC 27005 gilt für alle Organisationen, unabhängig von Größe, Typ oder Art, die Risiken innerhalb des Rahmens eines ISMS systematisch managen möchten. Sie ist relevant für Organisationen, die Informationssicherheitsrisiken verwalten, sei es im privaten, gemeinnützigen oder staatlichen Bereich.
Kontrollen und Anforderungen
Der Standard bietet eine Reihe von cloud-spezifischen Kontrollen zusätzlich zu denen in ISO/IEC 27002 und enthält Folgendes:
- Gemeinsame Rollen und Verantwortlichkeiten: Die Aufteilung der Informationssicherheitsverantwortlichkeiten zwischen dem Cloud-Dienstanbieter und dem Kunden.
- Entfernen/Rückgabe von Ressourcen: Prozesse zur Rückgabe oder Zerstörung von Kundenressourcen nach Beendigung des Dienstvertrags.
- Schutz von virtuellen Maschinen: Richtlinien zur sicheren Einrichtung und zum Schutz von virtuellen Maschinen.
- Überwachung von Cloud-Diensten: Anforderungen zur Überwachung der Wirksamkeit der Cloudsicherheitsdienste.
- Ausrichtung an Cloud-Sicherheitsprinzipien: Sicherstellung, dass Cloud-Dienste mit anerkannten Sicherheitsprinzipien für Risikobewertung und -behandlung übereinstimmen.
Bitte beachten Sie die offizielle ISO/IEC 27017:2015-Dokumentation für Details zu Kontrollen und Anforderungen.
Audit-Typ, Häufigkeit und Dauer
Audits involve an evaluation of an organization's cloud services and operations against the ISO/IEC 27017 guidance, which can be conducted internally or by third-party auditors. The frequency of audits will depend on the organization's risk assessment results, the level of change within the cloud services or organization, or regulatory requirements. Often, these are conducted annually.
The duration of an ISO/IEC 27017 audit varies based on the size and complexity of the cloud services being used or provided, the number of services in scope, and the maturity of the organization's security practices.