ISO 27017 – Information security in cloud computing I DQS

클라우드 서비스의 정보 보안 증명

ISO/IEC 27017은 클라우드 서비스 보안을 위해 국제적으로 인정된 표준이며 모든 클라우드 서비스 제공자를 대상으로 합니다. 따라서 클라우드 관련 정보 보안 조치의 구현을 지원합니다. 이 표준은 ISO/IEC 27002의 구현 권장 사항과 조정되므로 ISO/IEC 27001에 따른 IT 보안 관리 시스템에 완벽하게 맞습니다.

클라우드 컴퓨팅을 위한 정보 보안 지침

클라우드별 정보 보안 제어 구축

보안 측면 식별

안전한 데이터 전송 증명

ISO 27017 표준에 대한 정보

ISO 27017의 요구 사항은 클라우드 서비스 제공업체를 위해 특별히 조정되었습니다. 가장 중요한 ISO 27001 정보 보안 표준의 각 영역에 대해 잠재적인 클라우드 보안 세부 사항이 설명되어 있습니다. 이 방법론을 사용하면 이러한 보안 요구 사항을 보다 빠르게 식별하고 보안 관리 시스템에 통합할 수 있습니다.

ISO 27017은 정보 보안 관리 시스템에 대한 잘 알려진 ISO 27001 표준을 기반으로 하며 클라우드 컴퓨팅에 대한 보안 측면을 추가합니다. 따라서 ISO 27001 인증은 ISO 27017 확장을 위한 전제 조건이기도 합니다.

현재 표준은 2021년에 ISO에서 검토 및 확인되었습니다.

ISO/IEC 27017:2015 - 정보 기술 - 보안 기술 - 클라우드 서비스에 대한 ISO/IEC 27002 기반 정보 보안 제어에 대한 실행 강령

컨텐츠:

1 범위

2 규범적 참조

3 용어 및 약어

4 클라우드 부문에 특정한 개념

5 정보 보안 지침

6 정보보안 조직

7 개인 보안

8 자산관리

9 액세스 제어

10 암호화

11 물리적 및 환경적 보안

12 운영 보안

13 통신보안

14 시스템의 획득, 개발 및 유지보수

15 공급업체 관계

16 정보보안사고처리

17 비즈니스 연속성 관리의 정보 보안 측면

18 규정 준수

부록 A 클라우드 서비스에 대한 확장 측정 세트.

부록 B 클라우드 컴퓨팅의 맥락에서 정보 보안 위험에 대한 참조

ISO/IEC 27017은 ISO 웹사이트에서 사용할 수 있습니다.

적게 표시

ISO 27017 인증이 유용한 이유는 무엇입니까?

ISO 27017은 적절한 보안 관리 프로세스를 개발하기 위해 모든 종류의 회사와 고객 간의 의사 소통의 중요성을 강조합니다. 또한 ISO 27017은 클라우드 서비스 고객과 클라우드 서비스 공급자 간의 관계를 지정합니다. 여기에는 고객이 공급자에게 기대할 수 있는 것과 정보 공급자가 고객을 위해 준비해야 하는 내용이 자세히 설명되어 있습니다. 따라서 ISO 27017은 클라우드 서비스 제공자 자체뿐만 아니라 클라우드 전체의 보안과도 관련이 있습니다.

표준의 요구 사항이 충족되면 공급자와 고객은 정보 보안과 관련된 모든 중요한 사항도 해당 서비스에 대해 고려된다고 가정할 수 있습니다.

적게 표시

ISO 27017 가이드라인의 이점은 무엇입니까?

클라우드 서비스 보안에 대한 국제 표준은 클라우드 제공자가 적절한 파트너를 선택하기 위해 중요한 보안 측면을 식별하는 데 도움이 될 수 있습니다. IT 의사 결정권자는 더 많은 유연성을 원하고 각 사용 사례에 대해 최적의 클라우드 공급자를 선택할 수 있기를 원합니다. 이에 따라 IT 서비스 제공은 체인에서 네트워크로 진화하고 있다. 상업 및 기술 관계가 증가하고 이는 차례로 완전히 새로운 수준의 복잡성으로 이어집니다.

ISO 27017:2015는 분석 그리드와 대상 정보 교환을 통해 클라우드 고객과 클라우드 서비스 제공업체 간의 관계를 표준화하여 비즈니스 관계를 더 쉽게 관리할 수 있도록 합니다.

적게 표시

누가 ISO 27017 인증을 받을 수 있습니까?

정보 보안 관리 시스템을 인증하려면 해당 인증 기관 자체가 ISO/IEC 17021 및 ISO/IEC 27006에 대한 인증을 받아야 합니다. DQS는 DAkkS(Deutsche Akkreditierungsstelle GmbH) 및 기타 기관의 인증을 받았으므로 감사를 수행할 권한이 있습니다. 및 ISO/IEC 27001 및 ISO/IEC 27017에 따른 인증.

ISO 27017 인증은 어떻게 진행되나요?

귀사는 ISO/IEC 27017:2015 구현의 정보 보안 관리 시스템에 대해 국제 표준 ISO/IEC 27001에 따라 인증을 받습니다. 모든 표준 요구 사항이 구현되면 관리 시스템을 인증받을 수 있습니다. DQS에서 다단계 인증 프로세스를 거치게 됩니다.

첫 번째 단계에서는 회사, 현재 정보 보안 및 ISO 27017 인증 목표에 대해 논의합니다. 이러한 논의를 바탕으로 귀사의 요구 사항에 맞는 개별 제안을 받게 됩니다.

특히 대규모 인증 프로젝트의 경우 계획 회의는 심사원을 알게 될 뿐만 아니라 관련된 모든 영역 및 위치에 대한 개별 심사 프로그램을 개발할 수 있는 귀중한 기회입니다. 사전 심사는 또한 개선 가능성과 관리 시스템의 강점을 사전에 식별할 수 있는 기회를 제공합니다. 두 서비스 모두 선택 사항입니다.

인증 심사는 시스템 분석(심사 1단계)과 문서 평가, 목표, 경영 평가 결과, 범위 검토 및 내부 심사로 시작됩니다. 이 과정에서 우리는 귀사의 경영 시스템이 충분히 개발되고 인증을 받을 준비가 되었는지 확인합니다.

다음 단계(시스템 심사 단계 2)에서 현장 심사원은 모든 관리 프로세스의 효율성과 귀하가 모든 요구 사항을 충족하는지 여부를 평가합니다. 최종 회의에서 결과를 발표하고, 필요한 경우 구체적인 방안을 협의합니다.

인증 심사 후 DQS의 독립 인증 기관에서 결과를 평가합니다. 감사 결과를 문서화한 심사 보고서를 받게 됩니다. 모든 표준 요구 사항이 충족되면 해당하는 적합성 인증서를 받게 됩니다. 적합성 인증서의 유효 기간은 기본 ISO 27001 인증서의 유효 기간과 직접적인 관련이 있습니다.

심사 후에도 귀사가 모든 중요한 요구 사항을 계속 충족할 수 있도록 당사는 매년 사후 심사를 실시합니다. 이러한 방식으로 정보 보안 관리 시스템 및 비즈니스 프로세스의 지속적인 개선이 유능하게 수반됩니다.

적합성 인증서는 최대 3년 동안 유효합니다. 갱신은 IT 보안 카탈로그의 해당 표준 요구 사항을 지속적으로 준수할 수 있도록 만료되기 전에 적절한 시기에 수행됩니다. 준수 시 새 적합성 인증서가 발급됩니다.