Bewijs van informatiebeveiliging in clouddiensten

ISO/IEC 27017 is een internationaal erkende norm voor de beveiliging van clouddiensten en is gericht op alle leveranciers van clouddiensten. Het ondersteunt dus de implementatie van cloud-specifieke informatiebeveiligingsmaatregelen. De norm is afgestemd op de implementatieaanbevelingen uit ISO/IEC 27002 en past dus naadloos in een IT-beveiligingsmanagementsysteem volgens ISO/IEC 27001.

Informatiebeveiligingsrichtlijnen voor cloud computing

Opbouwen van cloud-specifieke informatiebeveiligingsmaatregelen

Identificatie van beveiligingsaspecten

Bewijs van veilige gegevensoverdracht

Beschreibung Standard/Regelwerk
Loading...

Informatie over de ISO 27017-norm

De vereisten van ISO 27017 zijn specifiek toegesneden op leveranciers van clouddiensten. Voor elk gebied van de overkoepelende ISO 27001-norm voor informatiebeveiliging worden potentiële cloudspecifieke beveiligingsaspecten geschetst. Met deze methodologie kunt u deze beveiligingseisen sneller identificeren en integreren in uw beveiligingsmanagementsysteem.

ISO 27017 is gebaseerd op de bekende ISO 27001-norm voor managementsystemen voor informatiebeveiliging en voegt hieraan beveiligingsaspecten voor cloud computing toe. Daarom is certificering volgens ISO 27001 ook een voorwaarde voor een uitbreiding naar ISO 27017.

De huidige norm is in 2021 door ISO herzien en bevestigd.

ISO/IEC 27017:2015 - Informatietechnologie - Beveiligingstechnieken - Gedragscode voor informatiebeveiligingscontroles gebaseerd op ISO/IEC 27002 voor clouddiensten.

Uit de inhoud:

1 Toepassingsgebied

2 Normatieve referenties

3 Termen en afkortingen

4 Begrippen die specifiek zijn voor de cloudsector

5 Richtlijnen voor informatiebeveiliging

6 Organisatie van informatiebeveiliging

7 Persoonsbeveiliging

8 Vermogensbeheer

9 Toegangscontrole

10 Cryptografie

11 Fysieke beveiliging en beveiliging van de omgeving

12 Operationele beveiliging

13 Communicatiebeveiliging

14 Aankoop, ontwikkeling en onderhoud van systemen

15 Relaties met leveranciers

16 Behandeling van incidenten op het gebied van informatiebeveiliging

17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

18 Naleving

Bijlage A Uitbreidingsset van maatregelen voor cloud-diensten.

Bijlage B Verwijzingen naar risico's voor informatiebeveiliging in de context van cloud computing

ISO/IEC 27017 is beschikbaar op de ISO-website.

Meer tonen
Minder tonen
Mehrwert
Loading...

Waarom is certificering volgens ISO 27017 nuttig?

ISO 27017 benadrukt het belang van communicatie tussen bedrijven van welke aard dan ook en hun klanten om geschikte beveiligingsmanagementprocessen te ontwikkelen. Daarnaast specificeert ISO 27017 de relatie tussen afnemers van clouddiensten en aanbieders van clouddiensten. Het beschrijft in detail wat klanten kunnen verwachten van hun provider en welke informatie providers zelf klaar moeten hebben staan voor klanten. ISO 27017 heeft dus niet alleen betrekking op de aanbieders van clouddiensten zelf, maar op de beveiliging van de cloud als geheel.

Als aan de eisen van de norm wordt voldaan, kunnen aanbieders en afnemers ervan uitgaan dat alle belangrijke punten met betrekking tot informatiebeveiliging ook in acht worden genomen voor de betreffende dienst.

Meer tonen
Minder tonen
Prozessorientierung
Loading...

Wat zijn de voordelen van de ISO 27017-richtlijn?

De internationale norm voor de beveiliging van clouddiensten kan cloudaanbieders helpen bij het identificeren van belangrijke beveiligingsaspecten om een geschikte partner te kiezen. IT-besluitvormers willen vaak meer flexibiliteit en de mogelijkheid om de optimale cloudaanbieder te selecteren voor elke use case. Als gevolg hiervan evolueert de levering van IT-diensten van een keten naar een netwerk. De commerciële en technische relaties vermenigvuldigen zich en dit leidt op zijn beurt tot een heel nieuw niveau van complexiteit.

ISO 27017:2015 standaardiseert de relaties tussen cloud-klanten en cloud-dienstverleners door middel van een analyserooster en de gerichte uitwisseling van informatie, waardoor het eenvoudiger wordt om de zakelijke relatie te beheren.

Meer tonen
Minder tonen
Wer darf zertifizieren
Loading...

Wie mag certificeren volgens ISO 27017?

Om een managementsysteem voor informatiebeveiliging te mogen certificeren, moet de betreffende certificeringsinstantie zelf geaccrediteerd zijn volgens ISO/IEC 17021 en ISO/IEC 27006. DQS is geaccrediteerd door onder andere de Deutsche Akkreditierungsstelle GmbH (DAkkS) en is daarom bevoegd om audits en certificeringen uit te voeren volgens zowel ISO/IEC 27001 als ISO/IEC 27017.

Business28.png
Loading...

Hoe verloopt een ISO 27017-certificering?

Uw bedrijf wordt gecertificeerd op basis van de internationale norm ISO/IEC 27001 voor een managementsysteem voor informatiebeveiliging bij de implementatie van ISO/IEC 27017:2015. Zodra alle normeisen zijn geïmplementeerd, kunt u uw managementsysteem laten certificeren. U doorloopt bij DQS een certificeringsproces dat uit meerdere stappen bestaat.

In de eerste stap bespreekt u met ons uw bedrijf, uw huidige informatiebeveiliging en de doelstellingen van ISO 27017-certificering. Op basis van deze gesprekken ontvangt u een individuele offerte die is afgestemd op de behoeften van uw bedrijf.

Vooral voor grotere certificeringsprojecten is een planningsbijeenkomst een waardevolle gelegenheid om uw auditor te leren kennen en om een individueel auditprogramma te ontwikkelen voor alle betrokken gebieden en locaties. Een pre-audit biedt ook de mogelijkheid om het potentieel voor verbetering en de sterke punten van uw managementsysteem op voorhand te identificeren. Beide diensten zijn optioneel.

De certificatieaudit begint met een systeemanalyse (auditfase 1) en de evaluatie van uw documentatie, de doelstellingen, de resultaten van uw managementbeoordeling, de evaluatie van het toepassingsgebied en de interne audits. In dit proces bepalen wij of uw managementsysteem voldoende ontwikkeld is en klaar is voor certificatie.

In de volgende stap (systeemaudit fase 2) beoordeelt uw auditor ter plaatse de doeltreffendheid van alle managementprocessen en of u aan alle eisen van de richtlijn voldoet. De resultaten worden tijdens een slotvergadering gepresenteerd en indien nodig worden plannen voor concrete maatregelen overeengekomen.

Na de certificatieaudit worden de resultaten geëvalueerd door de onafhankelijke certificatie-instelling van DQS. U ontvangt een auditrapport met de auditresultaten. Als aan alle normeisen is voldaan, ontvangt u een bijbehorend certificaat van overeenstemming. De geldigheidsduur van het certificaat van conformiteit is direct gekoppeld aan de geldigheidsduur van het onderliggende ISO 27001-certificaat.

Om ervoor te zorgen dat uw bedrijf ook na de audit aan alle belangrijke eisen blijft voldoen, voeren wij jaarlijks periodieke audits uit. Op deze manier wordt de voortdurende verbetering van uw managementsysteem voor informatiebeveiliging en uw bedrijfsprocessen vakkundig begeleid.

Het certificaat van conformiteit is maximaal drie jaar geldig. Her-certificering wordt tijdig voor het verstrijken van de geldigheidsduur uitgevoerd om te waarborgen dat voortdurend aan de toepasselijke standaardeisen van de IT-beveiligingscatalogus wordt voldaan. Bij naleving wordt een nieuw certificaat van conformiteit afgegeven.

Banking13.png
Loading...

Wat kost een ISO 27017-certificering?

Aangezien elk bedrijf andere voorwaarden en individuele vereisten heeft voor een beheersysteem, kunnen de kosten voor de audit en certificering volgens ISO 27017 op basis van ISO 27001 niet als een vast bedrag worden gegeven. Neemt u alstublieft contact met ons op: wij maken graag een offerte op maat voor u op basis van een objectieve beoordeling en uw vereisten.

Business2.png
Loading...

Wat u van ons kunt verwachten

  • Meer dan 35 jaar ervaring in de certificering van managementsystemen en -processen
  • In de sector ervaren auditors en experts met een sterke domeinkennis
  • Inzichten die toegevoegde waarde bieden aan uw bedrijf
  • Certificaten met internationale erkenning
  • Expertise en accreditaties voor alle relevante normen
  • Persoonlijke, vlotte ondersteuning door onze specialisten - regionaal, nationaal en internationaal
  • Individuele aanbiedingen met flexibele contractvoorwaarden en geen verborgen kosten
Meer tonen
Minder tonen
Loading...

Vraag een offerte aan

Uw lokale contactpersoon

Wij maken graag een offerte op maat voor de ISO 27017-certificering.