ISO/IEC 27017

ISO/IEC 27017 to standard bezpieczeństwa opracowany dla dostawców usług w chmurze i użytkowników w celu stworzenia bezpieczniejszego środowiska opartego na chmurze i zmniejszenia ryzyka problemów z bezpieczeństwem. Został opublikowany przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC) w ramach wspólnego podkomitetu ISO i IEC, ISO/IEC JTC 1/SC 27 . Jest częścią rodziny norm ISO/IEC 27000 , norm, które zawierają zalecenia dotyczące najlepszych praktyk w zakresie zarządzania bezpieczeństwem informacji. Norma ta została zbudowana na podstawie normy ISO/IEC 27002 , sugerując dodatkowe kontrole bezpieczeństwa dla chmury, które nie zostały w pełni zdefiniowane w normie ISO/IEC 27002.

Niniejsza Norma Międzynarodowa zawiera wytyczne wspierające wdrażanie środków kontroli bezpieczeństwa informacji dla klientów usług w chmurze, którzy wdrażają te środki kontroli, oraz dostawców usług w chmurze w celu wsparcia wdrażania tych środków kontroli. Wybór odpowiednich środków kontroli bezpieczeństwa informacji i zastosowanie dostarczonych wskazówek dotyczących wdrażania będzie zależeć od oceny ryzyka i wszelkich wymogów prawnych, umownych, regulacyjnych lub innych specyficznych dla sektora chmury obliczeniowej wymogów w zakresie bezpieczeństwa informacji.

Co zapewnia norma?

ISO/IEC 27017 zawiera wytyczne dotyczące kontroli bezpieczeństwa informacji mających zastosowanie do korzystania z usług w chmurze, zapewniając dodatkowe wytyczne dotyczące implementacji 37 kontroli określonych w ISO/IEC 27002 i 7 dodatkowych kontroli związanych z usługami w chmurze, które dotyczą następujących kwestii:

  • Kto jest za co odpowiedzialny między dostawcą usług w chmurze a klientem w chmurze.
  • Usunięcie lub zwrot aktywów po wygaśnięciu umowy.
  • Ochrona i separacja wirtualnego środowiska klienta.
  • Konfiguracja maszyny wirtualnej.
  • Operacje i procedury administracyjne związane ze środowiskiem chmurowym.
  • Monitorowanie aktywności klientów w chmurze.
  • Dostosowanie środowiska sieci wirtualnej i chmurowej.

Struktura normy

Oficjalny tytuł standardu to „Technologia informatyczna — Techniki bezpieczeństwa — Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji w oparciu o ISO/IEC 27002 dla usług w chmurze”. ISO/IEC 27017:2015 składa się z osiemnastu sekcji oraz długiego aneksu, który obejmuje:

1. Zakres
2. Odniesienia normatywne
3. Definicje i skróty
4. Pojęcia specyficzne dla sektora chmury
5. Zasady bezpieczeństwa informacji
6. Organizacja bezpieczeństwa informacji
7. Bezpieczeństwo zasobów ludzkich
8. Zarządzanie aktywami
9. Kontrola dostępu
10. Kryptografia
11. Fizyczne i bezpieczeństwo środowiska
12. Bezpieczeństwo operacji
13. Bezpieczeństwo komunikacji
14. Pozyskiwanie, rozwój i utrzymanie systemów
15. Relacje z dostawcami
16. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
17. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
18. Compliance
  1. ^ „BS EN ISO / IEC 27001: 2017 - Co to jest ISO 27017?” . www.tuvsud.com . Źródło 8 marca 2020 r .
  2. Bibliografia _ _ Międzynarodowa Organizacja Normalizacyjna . Źródło 8 marca 2020 r .
  3. ^ „ISO/IEC 27017:2015 (en) Wprowadzenie” . www.businesswire.com . bizneswire _ Źródło 9 marca 2020 r .
  4. ^ „ISO/IEC 27017:2015 (en) Wprowadzenie” . www.iso.org . Międzynarodowa Organizacja Normalizacyjna . Źródło 8 marca 2020 r .
  5. Bibliografia _ _ www.bsigroup.com . Grupa BSI . Źródło 8 marca 2020 r .

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=ISO/IEC_27017&oldid=1102287288