Nachweis für Informationssicherheit von Cloud Diensten
Informationssicherheits-Leitfaden für Cloud Computing
Aufbau von cloud-spezifischen Informationssicherheitskontrollen
Identifizierung von Sicherheitsaspekten
Nachweis einer sicheren Datenübertragung

Informationen zur Norm ISO 27017
ISO 27017 basiert auf der bekannten Norm für Informationssicherheits-Managementsysteme ISO 27001 und ergänzt diese um Sicherheitsaspekte für Cloud Computing. Daher ist eine Zertifizierung nach ISO 27001 auch die Voraussetzung für eine Erweiterung nach ISO 27017.
Die aktuelle Norm wurde im November 2021 vom Deutschen Institut für Normung (DIN) unter folgendem Titel veröffentlicht und löste damit die Vorgängerversion ISO 27017:2015 ab.
DIN EN ISO/IEC 27017:2021-11 – Informationstechnik – Sicherheitsverfahren – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste (ISO/IEC 27017:2015); Deutsche Fassung EN ISO/IEC 27017:2021.
Aus dem Inhalt:
1 Anwendungsbereich
2 Normative Verweisungen
3 Begriffe und Abkürzungen
4 Für den Cloud-Sektor spezifische Konzepte
5 Informationssicherheitsrichtlinien
6 Organisation der Informationssicherheit
7 Personalsicherheit
8 Verwaltung der Werte
9 Zugangssteuerung
10 Kryptographie
11 Physische und umgebungsbezogene Sicherheit
12 Betriebssicherheit
13 Kommunikationssicherheit
14 Anschaffung, Entwicklung und Instandhaltung von Systemen
15 Lieferantenbeziehungen
16 Handhabung von Informationssicherheitsvorfällen
17 Informationssicherheitsaspekte beim Business Continuity Management
18 Compliance
Anhang A Erweiterungssatz von Maßnahmen für Cloud-Dienste
Anhang B Verweisungen zum Informationssicherheitsrisiko im Zusammenhang mit Cloud Computing
DIN EN ISO/IEC 27017 ist beim Beuth Verlag in deutscher Sprache erhältlich.

Warum ist eine Zertifizierung nach ISO 27017 sinnvoll?
Werden die Normanforderungen eingehalten, können Anbieter und Kunde davon ausgehen, dass alle wichtigen Punkte in Bezug auf die Informationssicherheit bei dem jeweiligen Service auch berücksichtigt werden.

Welche Vorteile bietet der Anwendungsleitfaden ISO 27017?
ISO 27017:2021 sorgt durch ein Analyseraster und den gezielten Austausch von Informationen für eine Standardisierung der Beziehungen zwischen Cloud Kunden und Cloud Service-Providern und erleichtert so das Management der Geschäftsbeziehung.

Wer darf eine Zertifizierung nach ISO 27017 durchführen?

Wie läuft eine ISO 27017 Zertifizierung ab?
Eine Zertifizierung Ihres Unternehmens wird auf der Basis der internationalen Norm DIN EN ISO/IEC 27001 für ein Informationssicherheits-Managementsystem in Umsetzung von DIN EN ISO/IEC 27017:2021 vorgenommen. Sind alle Normanforderungen umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess.
Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer ISO 27017 Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.
Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.
Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der erfüllen. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.
Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie eine entsprechende Konformitätsbescheinigung. Die Gültigkeitsdauer der Konformitätsbescheinigung ist direkt gekoppelt an die Gültigkeit des zu Grunde liegenden ISO 27001 Zertifikats.
Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Audit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.
Die Konformitätsbescheinigung ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird eine neue Konformitätsbescheinigung ausgestellt.

Was kostet eine ISO 27017 Zertifizierung?

Das können Sie von uns erwarten
- Expertise und Zulassungen für alle maßgeblichen Standards
- Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
- Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
ISO 27001 – Controls im neuen Anhang A
Lesen Sie jetzt das kostenfreie Whitepaper von Markus Jegelka, DQS-Normexperte und Produktmanager für ISMS.