ISO 27017 Beratung
Die ISO/IEC 27017 „Informationstechnik – Sicherheitsverfahren – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste“ ist ein international anerkannter Standard, der speziell für die Sicherheit von Cloud-Diensten entwickelt wurde. Er legt basierend auf der ISO 27001 und ISO 27002 Cloud-spezifische Maßnahmen fest und bietet somit einen Rahmen für das Sicherheitsmanagement von Informationen, die in der Cloud gespeichert, verarbeitet oder übertragen werden. Dieser Standard ist für alle Unternehmen und Organisationen relevant, die Cloud-Services anbieten, unabhängig von ihrer Größe, Branche oder den spezifischen Dienstleistungen, die sie bereitstellen. Er bietet aber auch eine Basis für Unternehmen und Organisationen, die intensiv Cloud-Dienste nutzen.
Ein zentraler Aspekt der ISO 27017 Beratung liegt auf der Anpassung und Erweiterung bestehender oder im Aufbau befindlicher Informationssicherheitsmanagementsysteme (ISMS) um Cloud-spezifische Sicherheitsmaßnahmen. Dies beinhaltet unter anderem Richtlinien für die Auswahl und den Einsatz von Cloud-Diensten, den Umgang mit Cloud-Daten und die Sicherstellung der Datenintegrität und -vertraulichkeit in der Cloud. Besondere Aufmerksamkeit gilt dabei den Aspekten des geteilten Verantwortungsmodells in der Cloud, bei dem sowohl Anbieter als auch Nutzer bestimmte Sicherheitsaufgaben übernehmen.
Die Beratung umfasst folgende Schritte zur Implementierung und Verbesserung der Cloud-Sicherheit:
- Identifikation von Informationen und Daten, die in der Cloud gespeichert oder verarbeitet werden sollen.
- Bewertung der spezifischen Risiken für diese Informationen im Cloud-Kontext, einschließlich der Risiken, die sich aus dem geteilten Verantwortungsmodell ergeben.
- Festlegung von Cloud-spezifischen Sicherheitsmaßnahmen und -prozessen, um die identifizierten Risiken zu adressieren und zu minimieren.
- Implementierung der festgelegten Maßnahmen und Prozesse, angepasst an die spezifischen Bedürfnisse und Anforderungen der Organisation und der bereitgestellten bzw. genutzten Cloud-Services.
- Regelmäßige Überprüfung und Anpassung der Cloud-Sicherheitsmaßnahmen, um auf Veränderungen in der Bedrohungslandschaft reagieren zu können.
