iso-27017-zertifizierung-dqs-zwei experten schauen auf online cloud verbindungen weltweit

ISO 27017 Zer­ti­fi­zie­rung

Ihre Anfrage


Nachweis für In­for­ma­ti­ons­si­cher­heit von Cloud Diensten

ISO/IEC 27017 ist eine in­ter­na­tio­nal an­er­kann­te Norm zur Ab­si­che­rung von Cloud Services und richtet sich an alle Anbieter von Cloud Dienst­leis­tun­gen. Sie unterstützt damit die Im­ple­men­tie­rung cloud­spe­zi­fi­scher Informationssicherheitsmaßnahmen. Die Norm ist ab­ge­stimmt mit den Um­set­zungs­emp­feh­lun­gen aus ISO/IEC 27002 und fügt sich damit nahtlos in ein IT-Si­cher­heits­ma­nage­ment­sys­tem nach ISO/IEC 27001 ein.

Informationssicherheits-Leitfaden für Cloud Computing

Aufbau von cloud-spezifischen Informationssicherheitskontrollen

Identifizierung von Sicherheitsaspekten

Nachweis einer sicheren Datenübertragung

Beschreibung Standard/Regelwerk

In­for­ma­tio­nen zur Norm ISO 27017

Die An­for­de­run­gen von ISO 27017 sind speziell auf die Anbieter von Cloud Diensten zu­ge­schnit­ten. Für jeden Bereich der übergeordneten Norm ISO 27001 für In­for­ma­ti­ons­si­cher­heit werden mögliche Be­son­der­hei­ten der Cloud-Si­cher­heit dar­ge­legt. Durch diese Methodik können Sie diese Si­cher­heits­vor­ga­ben schnel­ler iden­ti­fi­zie­ren und in Ihr Si­cher­heits­ma­nage­ment­sys­tem in­te­grie­ren.

ISO 27017 basiert auf der be­kann­ten Norm für In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­te­me ISO 27001 und ergänzt diese um Si­cher­heits­aspek­te für Cloud Com­pu­ting. Daher ist eine Zer­ti­fi­zie­rung nach ISO 27001 auch die Vor­aus­set­zung für eine Er­wei­te­rung nach ISO 27017.

Die aktuelle Norm wurde im November 2021 vom Deut­schen Institut für Normung (DIN) unter fol­gen­dem Titel veröffentlicht und löste damit die Vorgängerversion ISO 27017:2015 ab.

DIN EN ISO/IEC 27017:2021-11 – Informationstechnik – Sicherheitsverfahren – An­wen­dungs­leit­fa­den für Informationssicherheitsmaßnahmen ba­sie­rend auf ISO/IEC 27002 für Cloud Dienste (ISO/IEC 27017:2015); Deutsche Fassung EN ISO/IEC 27017:2021.

Aus dem In­halt:

1 An­wen­dungs­be­reich

2 Nor­ma­ti­ve Ver­wei­sun­gen

3 Begriffe und Abkürzungen

4 Für den Cloud-Sek­tor spe­zi­fi­sche Kon­zep­te

5 In­for­ma­ti­ons­si­cher­heits­richt­li­ni­en

6 Or­ga­ni­sa­ti­on der In­for­ma­ti­ons­si­cher­heit

7 Per­so­nal­si­cher­heit

8 Ver­wal­tung der Wer­te

9 Zu­gangs­steue­rung

10 Kryp­to­gra­phie

11 Phy­si­sche und um­ge­bungs­be­zo­ge­ne Si­cher­heit

12 Be­triebs­si­cher­heit

13 Kom­mu­ni­ka­ti­ons­si­cher­heit

14 An­schaf­fung, Ent­wick­lung und In­stand­hal­tung von Sys­te­men

15 Lie­fe­ran­ten­be­zie­hun­gen

16 Hand­ha­bung von Informationssicherheitsvorfällen

17 In­for­ma­ti­ons­si­cher­heits­aspek­te beim Business Con­ti­nui­ty Ma­nage­ment

18 Com­pli­ance

An­hang A Er­wei­te­rungs­satz von Maßnahmen für Cloud-Diens­te

An­hang B Ver­wei­sun­gen zum In­for­ma­ti­ons­si­cher­heits­ri­si­ko im Zu­sam­men­hang mit Cloud Com­pu­ting

DIN EN ISO/IEC 27017 ist beim Beuth Verlag in deut­scher Sprache erhältlich.

mehr anzeigen
weniger anzeigen
Mehrwert

Warum ist eine Zer­ti­fi­zie­rung nach ISO 27017 sinn­voll?

In ISO 27017 wird die Wich­tig­keit der Kom­mu­ni­ka­ti­on zwischen Un­ter­neh­men jedweder Art und ihren Kunden zur Er­ar­bei­tung ge­eig­ne­ter Se­cu­ri­ty-Ma­nage­ment-Pro­zes­se betont. Darüber hinaus spe­zi­fi­ziert ISO 27017 die Be­zie­hung zwischen Cloud Ser­vice-Kun­den und Cloud Ser­vice-An­bie­tern. Es wird genau be­schrie­ben, was Kunden von ihrem Anbieter erwarten können und was Anbieter selbst an In­for­ma­tio­nen für Kunden be­reit­hal­ten sollten. So betrifft ISO 27017 nicht nur die Anbieter von Cloud Services selbst, sondern die Si­cher­heit der Cloud ins­ge­samt.

Wer­den die Nor­m­an­for­de­run­gen ein­ge­hal­ten, können Anbieter und Kunde davon aus­ge­hen, dass alle wich­ti­gen Punkte in Bezug auf die In­for­ma­ti­ons­si­cher­heit bei dem je­wei­li­gen Service auch berücksichtigt wer­den.

mehr anzeigen
weniger anzeigen
Prozessorientierung

Welche Vorteile bietet der An­wen­dungs­leit­fa­den ISO 27017?

Die in­ter­na­tio­na­le Norm für die Si­cher­heit von Cloud Dienst­leis­tun­gen kann Cloud An­bie­tern dabei helfen, wichtige Si­cher­heits­aspek­te zu iden­ti­fi­zie­ren, um sich so für einen ge­eig­ne­ten Partner zu ent­schei­den. IT-Ent­schei­der wünschen sich oft mehr Flexibilität und möchten für jeden An­wen­dungs­fall den op­ti­ma­len Cloud-An­bie­ter auswählen können. Die Be­reit­stel­lung von IT-Ser­vices ent­wi­ckelt sich dadurch von einer Kette zu einem Netz­werk. Die kaufmännischen und tech­ni­schen Be­zie­hun­gen ver­viel­fa­chen sich und das führt wiederum zu einer ganz neuen Komplexität. 

ISO 27017:2021 sorgt durch ein Ana­ly­se­ras­ter und den ge­ziel­ten Aus­tausch von In­for­ma­tio­nen für eine Stan­dar­di­sie­rung der Be­zie­hun­gen zwischen Cloud Kunden und Cloud Ser­vice-Pro­vi­dern und er­leich­tert so das Ma­nage­ment der Geschäftsbeziehung.

mehr anzeigen
weniger anzeigen
Wer darf zertifizieren

Wer darf eine Zer­ti­fi­zie­rung nach ISO 27017 durch­füh­ren?

Um ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem zu zer­ti­fi­zie­ren, muss die je­wei­li­ge Zer­ti­fi­zie­rungs­stel­le selbst nach ISO/IEC 17021 und ISO/IEC 27006 ak­kre­di­tiert sein. Die DQS ist durch die Deutsche Ak­kre­di­tie­rungs­stel­le GmbH (DAkkS) ak­kre­di­tiert und damit be­rech­tigt, Audits und Zer­ti­fi­zie­run­gen sowohl nach ISO/IEC 27001 als auch nach der Norm ISO/IEC 27017 durchzuführen.

Business28.png

Wie läuft eine ISO 27017 Zer­ti­fi­zie­rung ab?

Eine Zertifizierung Ihres Unternehmens wird auf der Basis der internationalen Norm DIN EN ISO/IEC 27001 für ein Informationssicherheits-Managementsystem in Umsetzung von DIN EN ISO/IEC 27017:2021 vorgenommen. Sind alle Normanforderungen umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess. 

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer ISO 27017 Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.

Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist. 

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der erfüllen. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.

Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie eine entsprechende Konformitätsbescheinigung. Die Gültigkeitsdauer der Konformitätsbescheinigung ist direkt gekoppelt an die Gültigkeit des zu Grunde liegenden ISO 27001 Zertifikats.

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Audit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.

Die Konformitätsbescheinigung ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird eine neue Konformitätsbescheinigung ausgestellt.

Banking13.png

Was kostet eine ISO 27017 Zer­ti­fi­zie­rung?

Da jedes Un­ter­neh­men andere Vor­aus­set­zun­gen mit­bringt und in­di­vi­du­el­le An­for­de­run­gen an ein Ma­nage­ment­sys­tem stellt, lassen sich die Kosten für das Audit und die Zer­ti­fi­zie­rung nach ISO 27017 auf Basis von ISO 27001 nicht pauschal angeben. Nehmen Sie Kontakt mit uns auf: Wir machen Ihnen auf der Basis einer ob­jek­ti­ven Einschätzung und Ihrer An­for­de­run­gen gern ein maßgeschneidertes An­ge­bot.

Business2.png

Das können Sie von uns erwarten

  • Mehr als 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und Pro­zes­sen
  • Bran­chen­er­fah­re­ne Au­di­to­ren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Ein­bli­cke in Ihr Un­ter­neh­men
  • Zer­ti­fi­ka­te mit in­ter­na­tio­na­ler Ak­zep­tanz
  • Ex­per­ti­se und Zu­las­sun­gen für alle maßgeblichen Standards
  • Persönliche, rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kos­ten
mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

„Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für die ISO 27017 Zertifizierung.“

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns