ISO 27017 tilbyr ytterligere implementeringsveiledning for relevante kontroller spesifisert i ISO 27002
Hva er ISO 27017?
ISO 27017 gir retningslinjer for informasjonssikkerhetskontroller som gjelder levering og bruk av skytjenester ved å tilby ytterligere implementeringsveiledning for relevante kontroller spesifisert i ISO/IEC 27002; tilleggskontroller med implementeringsveiledning som spesifikt er knyttet til skytjenester. Standarden gir kontroller og implementeringsveiledning for både skytjenesteleverandører og skytjenestekunder.
Hva er formålet med ISO 27017?
Retningslinjen gir ytterligere råd om implementering av informasjonssikkerhetskontroller utover det som er gitt i ISO 27002, i skytjenestesammenheng. Standarden gir råd til både skytjenestekunder og skytjenesteleverandører, med den primære veiledningen lagt ut side om side i hver seksjon.
Innhold og struktur
Når en kontroll under ISO 27002 trenger ekstra skytjenestespesifikk implementeringsveiledning er den gitt undertittelen «Implementeringsveiledning for skytjenester".
Veiledningen er gis i to typer:
- Type 1: egen veiledning for skytjenestekunden og skytjenesteleverandøren, eller
- Type 2: lik veiledning for både skytjenestekunden og skytjenesteleverandøren.
Kapittel i ISO 27002 som gir ytterligere veiledning i ISO 27017
5.1.1 Policies for information security
6.1.1 Information security roles and responsibilities
6.1.3 Contact with authorities
7.2.2 Information security awareness, education and training
8.1.1 Inventory of assets
8.2.2 Labelling of information
9.1.2 Access to networks and network services
9.2.1 User registration and reregistration
9.2.2 User access provisioning
9.2.3 Management of privileged access rights
9.2.4 Management of secret authentication information of users
9.4.1 Information access restriction
9.4.4 Use of privileged utility program
10.1.1 Policy of the use of cryptographic controls
10.1.2 Key management
11.2.7 Secure disposal or reuse of equipment
12.1.2 Change management
12.1.3 Capacity management
12.3.1 Information backup
12.4.1 Event logging
12.4.3 Administrator and operator logs
12.4.4 Clock synchronization
12.6.1 Management of technical vulnerabilities
13.1.3 Segregation in networks
14.1.1 Information security requirements analysis and specification
14.2.1 Secure development policy
15.1.1 Information security policy for supplier relationships
15.1.2 Addressing security within supplier agreements
15.1.3 Information and communication technology supply chain
16.1.1 Responsibilities and procedures
16.1.2 Reporting information security events
16.1.7 Collection of evidence
18.1.1 Identification of applicable legislation and contractual requirements
18.1.2 Intellectual property rights
18.1.3 Protection of records
18.1.5 Regulation of cryptographic controls
18.2.1 Independent review of information security
ISO 27017: Annex A - Cloud service extended control set
CLD 6.3.1 Shared roles and responsibilities within a cloud computing environment
Avtale om delt ansvar mellom kunde og leverandør rundt informasjonssikkerhetsroller knyttet til skytjenester må være tydelig identifisert, registrert og kommunisert.
CLD 8.1.5 Removal of cloud service customer assets
Adresserer hvordan eiendeler returneres eller fjernes fra skyen når kontrakten mellom kunde og leverandør er avsluttet.
CLD 9.5.1 Segregation in virtual computing environment
Leverandøren må beskytte og skille kundens virtuelle miljø fra andre kunder og eksterne parter
CLD 9.5.2 Virtual machine hardening
Kunden og tilbyderen skal sørge for at virtuelle maskiner er konfigurert og i stand til å møte behovene til organisasjonen.
CLD 12.1.5 Administrator’s operational security
Kundens ansvar for å definere, dokumentere og overvåke det administrative operasjoner og prosedyrer knyttet til skymiljø og CSPs krav til dele dokumentasjon om kritiske operasjoner og prosedyrer når kundene krever det.
CLD 12.4.5 Monitoring of cloud services
Hvordan leverandøren gjør det mulig for kunden å overvåke aktivitet innenfor de skytjenester som kunden bruker.
CLD 13.1.4 Alignment of security management for virtual and physical networks
Konsistente konfigurasjoner bør gjøres slik at det virtuelle nettverksmiljøet er på linje
med informasjonssikkerhetspolitikken til det fysiske nettverksmiljøet.