iso-27017-zertifizierung-dqs-zwei experten schauen auf online cloud verbindungen weltweit

ISO 27017 Zertifizierung

Ihre Anfrage


Nachweis für Informationssicherheit von Cloud Diensten

ISO/IEC 27017 ist eine international anerkannte Norm zur Absicherung von Cloud Services und richtet sich an alle Anbieter von Cloud Dienstleistungen. Sie unterstützt damit die Implementierung cloudspezifischer Informationssicherheitsmaßnahmen. Die Norm ist abgestimmt mit den Umsetzungsempfehlungen aus ISO/IEC 27002 und fügt sich damit nahtlos in ein IT-Sicherheitsmanagementsystem nach ISO/IEC 27001 ein.

Informationssicherheits-Leitfaden für Cloud Computing

Aufbau von cloud-spezifischen Informationssicherheitskontrollen

Identifizierung von Sicherheitsaspekten

Nachweis einer sicheren Datenübertragung

Beschreibung Standard/Regelwerk

Informationen zur Norm ISO 27017

Die Anforderungen von ISO 27017 sind speziell auf die Anbieter von Cloud Diensten zugeschnitten. Für jeden Bereich der übergeordneten Norm ISO 27001 für Informationssicherheit werden mögliche Besonderheiten der Cloud-Sicherheit dargelegt. Durch diese Methodik können Sie diese Sicherheitsvorgaben schneller identifizieren und in Ihr Sicherheitsmanagementsystem integrieren.

ISO 27017 basiert auf der bekannten Norm für Informationssicherheits-Managementsysteme ISO 27001 und ergänzt diese um Sicherheitsaspekte für Cloud Computing. Daher ist eine Zertifizierung nach ISO 27001 auch die Voraussetzung für eine Erweiterung nach ISO 27017.

Die aktuelle Norm wurde im November 2021 vom Deutschen Institut für Normung (DIN) unter folgendem Titel veröffentlicht und löste damit die Vorgängerversion ISO 27017:2015 ab.

DIN EN ISO/IEC 27017:2021-11 – Informationstechnik – Sicherheitsverfahren – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste (ISO/IEC 27017:2015); Deutsche Fassung EN ISO/IEC 27017:2021.

Aus dem Inhalt:

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe und Abkürzungen

4 Für den Cloud-Sektor spezifische Konzepte

5 Informationssicherheitsrichtlinien

6 Organisation der Informationssicherheit

7 Personalsicherheit

8 Verwaltung der Werte

9 Zugangssteuerung

10 Kryptographie

11 Physische und umgebungsbezogene Sicherheit

12 Betriebssicherheit

13 Kommunikationssicherheit

14 Anschaffung, Entwicklung und Instandhaltung von Systemen

15 Lieferantenbeziehungen

16 Handhabung von Informationssicherheitsvorfällen

17 Informationssicherheitsaspekte beim Business Continuity Management

18 Compliance

Anhang A Erweiterungssatz von Maßnahmen für Cloud-Dienste

Anhang B Verweisungen zum Informationssicherheitsrisiko im Zusammenhang mit Cloud Computing

DIN EN ISO/IEC 27017 ist beim Beuth Verlag in deutscher Sprache erhältlich.

mehr anzeigen
weniger anzeigen
Mehrwert

Warum ist eine Zertifizierung nach ISO 27017 sinnvoll?

In ISO 27017 wird die Wichtigkeit der Kommunikation zwischen Unternehmen jedweder Art und ihren Kunden zur Erarbeitung geeigneter Security-Management-Prozesse betont. Darüber hinaus spezifiziert ISO 27017 die Beziehung zwischen Cloud Service-Kunden und Cloud Service-Anbietern. Es wird genau beschrieben, was Kunden von ihrem Anbieter erwarten können und was Anbieter selbst an Informationen für Kunden bereithalten sollten. So betrifft ISO 27017 nicht nur die Anbieter von Cloud Services selbst, sondern die Sicherheit der Cloud insgesamt.

Werden die Normanforderungen eingehalten, können Anbieter und Kunde davon ausgehen, dass alle wichtigen Punkte in Bezug auf die Informationssicherheit bei dem jeweiligen Service auch berücksichtigt werden.

mehr anzeigen
weniger anzeigen
Prozessorientierung

Welche Vorteile bietet der Anwendungsleitfaden ISO 27017?

Die internationale Norm für die Sicherheit von Cloud Dienstleistungen kann Cloud Anbietern dabei helfen, wichtige Sicherheitsaspekte zu identifizieren, um sich so für einen geeigneten Partner zu entscheiden. IT-Entscheider wünschen sich oft mehr Flexibilität und möchten für jeden Anwendungsfall den optimalen Cloud-Anbieter auswählen können. Die Bereitstellung von IT-Services entwickelt sich dadurch von einer Kette zu einem Netzwerk. Die kaufmännischen und technischen Beziehungen vervielfachen sich und das führt wiederum zu einer ganz neuen Komplexität. 

ISO 27017:2021 sorgt durch ein Analyseraster und den gezielten Austausch von Informationen für eine Standardisierung der Beziehungen zwischen Cloud Kunden und Cloud Service-Providern und erleichtert so das Management der Geschäftsbeziehung.

mehr anzeigen
weniger anzeigen
Wer darf zertifizieren

Wer darf eine Zertifizierung nach ISO 27017 durchführen?

Um ein Informationssicherheits-Managementsystem zu zertifizieren, muss die jeweilige Zertifizierungsstelle selbst nach ISO/IEC 17021 und ISO/IEC 27006 akkreditiert sein. Die DQS ist durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditiert und damit berechtigt, Audits und Zertifizierungen sowohl nach ISO/IEC 27001 als auch nach der Norm ISO/IEC 27017 durchzuführen.

Business28.png

Wie läuft eine ISO 27017 Zertifizierung ab?

Eine Zertifizierung Ihres Unternehmens wird auf der Basis der internationalen Norm DIN EN ISO/IEC 27001 für ein Informationssicherheits-Managementsystem in Umsetzung von DIN EN ISO/IEC 27017:2021 vorgenommen. Sind alle Normanforderungen umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess. 

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer ISO 27017 Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.

Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist. 

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der erfüllen. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.

Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie eine entsprechende Konformitätsbescheinigung. Die Gültigkeitsdauer der Konformitätsbescheinigung ist direkt gekoppelt an die Gültigkeit des zu Grunde liegenden ISO 27001 Zertifikats.

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Audit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.

Die Konformitätsbescheinigung ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird eine neue Konformitätsbescheinigung ausgestellt.

Banking13.png

Was kostet eine ISO 27017 Zertifizierung?

Da jedes Unternehmen andere Voraussetzungen mitbringt und individuelle Anforderungen an ein Managementsystem stellt, lassen sich die Kosten für das Audit und die Zertifizierung nach ISO 27017 auf Basis von ISO 27001 nicht pauschal angeben. Nehmen Sie Kontakt mit uns auf: Wir machen Ihnen auf der Basis einer objektiven Einschätzung und Ihrer Anforderungen gern ein maßgeschneidertes Angebot.

Business2.png

Das können Sie von uns erwarten

  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Branchenerfahrene Auditoren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Einblicke in Ihr Unternehmen
  • Zertifikate mit internationaler Akzeptanz
  • Expertise und Zulassungen für alle maßgeblichen Standards
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person

Angebotsanfrage

Ihr Ansprechpartner Philipp Tesar

„Gerne erstellen wir Ihnen ein maßgeschneidertes Angebot für die ISO 27017 Zertifizierung.“

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns