ISO 270017
ISO/IEC 27017 ist einzigartig, da es Anleitungen für Anbieter und Kunden von Clouddiensten bereitstellt. Der Standard stellt außerdem Cloud Service-Kunden praktische Informationen im Hinblick auf ihre Erwartungen an Cloud Service-Anbieter zur Verfügung. Kunden können die Vorteile von ISO/IEC 27017 direkt nutzen, indem sie sich der gemeinsamen Verantwortung in der Cloud bewusst sind.
Übersicht über ISO-IEC 27017
Der ISO/IEC 27017:2015-Verhaltenskodex ist als Referenz für Organisationen vorgesehen, um sie während der Implementierung eines Systems für die Verwaltung der Cloud Computing-Informationssicherheit gemäß ISO/IEC 27002:2013 bei der Auswahl von Informationssicherheitskontrollen für Clouddienste zu unterstützen. Er kann auch von Cloud Service-Anbietern als Leitfaden zum Implementieren von allgemein anerkannten Schutzkontrollen verwendet werden.
Dieser internationale Standard stellt zusätzliche cloudspezifische Implementierungsanweisungen gemäß ISO/IEC 27002 zur Verfügung und bietet weitere Kontrollen, um cloudspezifische Bedrohungen der Informationssicherheit und Risiken in Bezug auf die Abschnitte 5 bis 18 in ISO/IEC 27002: 2013 für Kontrollen, Implementierungsrichtlinien und andere Informationen zu mindern. Insbesondere stellt dieser Standard Anleitungen zu 37 Kontrollen in ISO/IEC 27002 zur Verfügung und enthält außerdem sieben neue Kontrollen, die nicht in ISO/IEC 27002 dupliziert sind. Diese neuen Kontrollen beziehen sich die folgenden wichtigen Bereiche:
Gemeinsame Rollen und Pflichten innerhalb einer Cloud Computing-Umgebung
Entfernen und Rückgabe von Kundenressourcen in Cloud Services nach Vertragsende
Schutz und Trennung der virtuellen Umgebung eines Kunden von der Umgebung anderer Kunden
Erfordernisse zur Stärkung virtueller Maschinen um Geschäftsanforderungen zu erfüllen
Verfahren für administrative Abläufe einer Cloud Computing-Umgebung
Überwachung relevanter Aktivitäten innerhalb einer Cloud Computing-Umgebung durch den Kunden
Ausrichtung der Sicherheitsverwaltung für virtuelle und physische Netzwerke