Zum Inhalt springen

ISO 27017 – entdeckt, erklärt

ISO 27017

Sicheres Cloud Computing gemäß ISO 27017

Die internationale Norm ISO 27017 enthält spezifische Anforderungen an die Informationssicherheit von Cloud-Diensten. Sie gibt Providern sowie Nutzern von Cloud-basierten Services einen effizienten Leitfaden an die Hand, um wirksame Informationssicherheitskontrolle zu implementieren.

Was ist die ISO 27017?

Die ISO/IEC 27017 ist ein internationaler Standard, der Richtlinien für Informationssicherheitskontrollen bietet, die speziell auf die Bereitstellung und Nutzung von Cloud-Diensten zugeschnitten sind.

Als Erweiterung des Standards ISO/IEC 27002 bietet ISO 27017 zusätzliche Kontrollen und Implementierungsanleitungen, um Cloud-spezifische Informationssicherheitsrisiken zu adressieren. Der Standard unterstützt sowohl Cloud Service Provider als auch Kunden dabei, eine sichere Cloud Computing-Umgebung zu gewährleisten.

Besonderheiten der ISO 27017

  • Bietet ein Rahmenwerk für die Implementierung robuster Sicherheitsmaßnahmen, die speziell auf Cloud-Dienste zugeschnitten sind
  • Adressiert Cloud-spezifische Sicherheitsprobleme und bietet zusätzliche Kontrollen, die in der ISO 27001 nicht abgedeckt sind
  • Enthält Best Practices für Cloud-Sicherheit und bietet einen strukturierten Ansatz zur Identifizierung, Bewertung und Verwaltung von Informationssicherheitsrisiken
  • Unterstützt Organisationen dabei, gesetzliche und regulatorische Anforderungen im Bereich Datenschutz und Privatsphäre zu erfüllen, was das Risiko von Strafen wegen Nichteinhaltung verringert

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Häufig gestellte Fragen (FAQ)

Was Sie über die ISO 27017 wissen müssen

Die Anforderungen von ISO 27017 sind speziell auf die Anbieter von Cloud-Diensten zugeschnitten. Für jeden Bereich der übergeordneten Norm ISO 27001 für Informationssicherheit werden mögliche Besonderheiten der Cloud-Sicherheit dargelegt. Durch diese Methodik können Sie diese Sicherheitsvorgaben schneller identifizieren und in Ihr Sicherheitsmanagementsystem integrieren.

ISO 27017 basiert auf der bekannten Norm für Informationssicherheitmanagementsysteme ISO 27001 und ergänzt diese um Sicherheitsaspekte für Cloud Computing. Daher ist eine Zertifizierung nach ISO 27001 auch die Voraussetzung für eine Erweiterung nach ISO 27017.

  • 1. Anwendungsbereich
  • 2. Normative Verweisungen
  • 3. Begriffe und Abkürzungen
  • 4. Für den Cloud-Sektor spezifische Konzepte
  • 5. Informationssicherheitsrichtlinien
  • 6. Organisation der Informationssicherheit
  • 7. Personalsicherheit
  • 8. Verwaltung der Werte
  • 9. Zugangssteuerung
  • 10. Kryptographie
  • 11. Physische & umgebungsbezogene Sicherheit
  • 12. Betriebssicherheit
  • 13. Kommunikationssicherheit
  • 14. Anschaffung, Entwicklung & Instandhaltung von Systemen
  • 15. Lieferantenbeziehungen
  • 16. Handhabung von Informationssicherheitsvorfällen
  • 17. Informationssicherheitsaspekte beim Business Continuity Management
  • 18. Compliance
  • Anhang A: Erweiterungssatz von Maßnahmen für Cloud-Dienste
  • Anhang B: Verweisungen zum Informationssicherheitsrisiko im Zusammenhang mit Cloud Computing

Da jedes Unternehmen andere Voraussetzungen mitbringt und auch die Anforderungen an ein Managementsystem variieren, kann die Frage nach den Kosten für eine ISO 27017 Zertifizierung nicht pauschal beantwortet werden.

Grundsätzlich ist die Anzahl der benötigten Tage für die beiden Zertifizierungsaudits maßgeblich. Während bei kleineren und mittleren Unternehmen in der Regel weniger Tage benötigt werden, sollten größere Unternehmen und Konzerne entsprechend mehr Zeit und Budget einplanen.

Gerne erstellen wir Ihnen ein individuelles Angebot.

Cloud-Service-Provider (CSPs): Cloud-Service-Provider können sich zertifizieren lassen, um zu demonstrieren, dass sie die empfohlenen Sicherheitspraktiken für Cloud-Dienste implementiert haben. Dies hilft ihnen, das Vertrauen ihrer Kunden zu stärken und sich im Markt zu differenzieren.

Unternehmen, die Cloud-Dienste nutzen: Auch Organisationen, die Cloud-Dienste in Anspruch nehmen, können sich zertifizieren lassen, um sicherzustellen, dass ihre Nutzung von Cloud-Diensten den Sicherheitsanforderungen entspricht und um ihre eigenen Sicherheitspraktiken zu validieren.

Das ISO 27017 Zertifikat hat eine Gültigkeit von maximal 3 Jahren.

Im ersten und zweiten Jahr nach erfolgreicher Zertifizierung ist jeweils ein Überwachungsaudit durchzuführen. Nach 3 Jahren erfolgt das Re-Zertifizierungsaudit, in dem überprüft wird, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin gegeben sind.

Da die ISO 27017 eine Erweiterung der ISO 27001 zum Thema Cloud darstellt, kann sie nur gemeinsam mit der ISO 27001 zertifiziert werden.

Notwendige Voraussetzung für die ISO 27017 Zertifizierung ist demnach ein bestehendes ISMS, das die Anforderungen der ISO 27001 erfüllt oder bereits nach dieser zertifiziert ist.

Sie verfügen bereits über ein ISO 27001 Zertifikat?

In diesem Fall wird Ihr bestehendes ISMS separat nach ISO 27017auditiert. Das daraus resultierende Zertifikat entspricht dann der Laufzeit Ihres ISO 27001 Zertifikates.

Ihr ISO 27001 Zertifikat läuft aus?

Hier bietet es sich an, die Audits für ISO 27001 und ISO 27017 zu synchronisieren.

Sie streben eine gemeinsame Zertifizierung nach ISO 27001 & ISO 27017 an?

Wenn Sie gleichzeitig mit ISO 27001 und ISO 27017 beginnen, werden die Audits für die beiden Standards aufeinander abgestimmt.

Noch nicht fündig geworden?

IT-Grundschutz
Informationssicherheit für KRITIS
Ein Mann steht in einem Rechenzentrum.
BSI C5
Eine Frau zeigt ein Blatt Papier von TÜVIT mit markiertem Text.
Informationssicherheitsmanagement (ISMS)
Eine Person signalisiert mit dem Zeigfinger am Mund Ruhe.
Daten & Datenschutz