ISO/IEC 27017:2015 is een internationale norm die specifieke beveiligingsrichtlijnen biedt voor clouddiensten. De norm is een aanvulling op ISO 27001 en ISO 27002 en richt zich op de unieke beveiligingsrisico's die ontstaan bij het gebruik en het aanbieden van clouddiensten.
De norm is relevant voor twee typen organisaties: cloud service providers die clouddiensten aanbieden, en cloud service customers die clouddiensten afnemen. Voor beide rollen definieert ISO 27017 specifieke verantwoordelijkheden en beheersmaatregelen.
Wat voegt ISO 27017 toe aan ISO 27001?
ISO 27001 biedt een breed kader voor informatiebeveiliging, maar behandelt cloud-specifieke risico's niet in detail. ISO 27017 vult dit gat door aanvullende guidance te bieden bij bestaande ISO 27002 controls en door zeven geheel nieuwe controls te introduceren die specifiek voor cloudomgevingen zijn ontworpen.
De nieuwe controls richten zich op gedeelde verantwoordelijkheden tussen provider en klant. Denk aan het scheiden van virtuele omgevingen van verschillende klanten, het beheer van virtuele machines, het hardenen van cloudomgevingen en het loggen van beheerdersactiviteiten in de cloudinfrastructuur. Ook het verwijderen van klantdata bij beeindiging van een contract wordt expliciet geadresseerd.
Het shared responsibility model
Een kernthema in ISO 27017 is het shared responsibility model. Bij elke control specificeert de norm welke verantwoordelijkheden bij de cloud service provider liggen en welke bij de klant. Dit voorkomt de vaak voorkomende situatie waarbij beide partijen ervan uitgaan dat de ander een bepaalde beveiligingsmaatregel heeft getroffen.
Voor cloud service providers biedt ISO 27017 certificering een manier om aan klanten te tonen dat de cloudspecifieke beveiligingsrisico's aantoonbaar worden beheerst. Voor klanten biedt het een kader om de beveiliging van hun cloudleverancier te beoordelen.
Relatie met ISO 27018 en ISO 27001
ISO 27017 en ISO 27018 worden vaak samen geimplementeerd. Waar ISO 27017 de algemene beveiligingscontrols voor clouddiensten behandelt, richt ISO 27018 zich specifiek op de bescherming van persoonsgegevens in de cloud. Beide zijn aanvullingen op ISO 27001 en worden als extensie op het ISO 27001 certificaat gecertificeerd.
Organisaties die zowel clouddiensten aanbieden als persoonsgegevens verwerken, kiezen doorgaans voor de combinatie van alle drie de normen. Dit biedt het meest complete beeld van informatiebeveiliging en privacy in cloudomgevingen.
Secure Audit voert audits uit op ISO 27017 als onderdeel van of aanvullend op ISO 27001 certificeringstrajecten. Neem contact op om te bespreken hoe cloudbeveiliging past in uw certificeringsstrategie.
Lees ook
Migreer je naar de cloud of draai je er al op? Een cloud security audit beoordeelt of je cloudconfiguratie veilig en compliant is.
ISO 27001:2022 bracht aanzienlijke veranderingen met zich mee. Ontdek de nieuwste updates en wat dit betekent voor jouw informatiebeveiliging.
ISO 27018 biedt richtlijnen voor de bescherming van persoonsgegevens (PII) in publieke cloudomgevingen. Lees hoe de norm zich verhoudt tot de AVG en ISO 27001.
Over de auteur
Partner | IT-auditor