ISO 27017
Informationssicherheit in der Cloud
Was ist ISO 27017?
ISO/IEC 27017 ist ein internationaler Standard, der ISO 27001 erweitert und sich auf die Informationssicherheit in Cloud-Umgebungen konzentriert. Er bietet zusätzliche Leitlinien sowohl für Cloud-Dienstanbieter als auch für deren Kunden und trägt dazu bei, Daten zu sichern, die unter den Modellen SaaS, PaaS und IaaS verarbeitet werden.
Der Standard wurde als Reaktion auf die zunehmende Nutzung von Cloud-Diensten und die Notwendigkeit entwickelt, Sicherheitsmaßnahmen in diesem IT-Bereitstellungsmodell zu standardisieren.
Was deckt ISO 27017 ab?
ISO 27017 umfasst:
- Best Practices für das Cloud-Risikomanagement
- Empfehlungen zur Zugriffskontrolle für Cloud-Ressourcen
- Regeln für die sichere Datenspeicherung, Verschlüsselung und Löschung
- Leitlinien zu Rollen und Verantwortlichkeiten zwischen Anbieter und Kunde (z. B. wer für welche Sicherheitsaspekte verantwortlich ist)
- Anforderungen an die Überwachung und Reaktion auf Vorfälle in Cloud-Umgebungen
Der Standard umfasst 37 detaillierte Controls, die ISO 27001 ergänzen.
Für wen ist ISO 27017 gedacht?
ISO 27017 richtet sich an:
- Unternehmen, die Cloud-Dienste anbieten (SaaS, PaaS, IaaS, Infrastrukturanbieter)
- Organisationen, die Daten in der Cloud speichern und ein angemessenes Sicherheitsmanagement gewährleisten möchten
- Softwarehäuser, die cloudbasierte B2B-Lösungen entwickeln
Vorteile der Implementierung von ISO 27017
Erhöhte Sicherheit von in der Cloud gespeicherten Daten
Klare Aufteilung der Verantwortlichkeiten zwischen Kunde und Cloud-Anbieter (z. B. Amazon Web Services, Microsoft Azure)
Reduziertes Risiko von Fehlkonfigurationen oder unbefugtem Zugriff
Bessere Vorbereitung auf externe Audits oder regulatorische Anforderungen (z. B. DSGVO, DORA, NIS2)
Wettbewerbsvorteil beim Angebot cloudbasierter Lösungen
Phasen der ISO 27017-Implementierung
Analyse der aktuellen Cloud-Umgebung
- Identifizierung von Assets, Daten und sensiblen Punkten
Risikobewertung und Auswahl von Sicherheitsmaßnahmen
- Anpassung der 37 ISO 27017-Controls an Ihre Cloud-Infrastruktur
Festlegung von Verantwortlichkeiten und Sicherheitsrichtlinien
- z. B. wer Backups verwaltet, wer den Datenzugriff überwacht
Schulungen für IT-Teams und Benutzer
- sichere Nutzung von Cloud-Diensten, Verfahren zur Reaktion auf Vorfälle
Integration mit ISO 27001 (falls bereits implementiert)
- einheitliches Informationssicherheits-Managementsystem (ISMS)
FAQ – Häufig gestellte Fragen
Ist ISO 27017 verpflichtend?
Nein, aber es wird zunehmend von Unternehmenskunden erwartet, insbesondere wenn sensible Daten in der Cloud verarbeitet werden.
Benötige ich ISO 27001, um ISO 27017 zu implementieren?
Ja, ISO 27017 ist eine Erweiterung von ISO 27001 und muss daher gemeinsam implementiert oder einem bestehenden ISMS hinzugefügt werden.
Welche Cloud-Plattformen werden von ISO 27017 abgedeckt?
Der Standard ist technologieneutral. Er kann unabhängig davon angewendet werden, ob Sie AWS, Azure, Google Cloud, OVH oder einen anderen Anbieter nutzen.
Deckt der Standard Backups und Datenlöschung ab?
Ja, ISO 27017 definiert, wie Daten sicher gesichert und dauerhaft aus Cloud-Ressourcen gelöscht werden.
Angebot anfordern
Kontaktdaten
