ISO 27017
De ISO 27017 is een uitbreidingsnorm op de ISO 27001, net zoals de ISO 27701 en ISO 27018 dat zijn. Ook in dit geval dient er voordat er geconformeerd kan worden aan deze norm eerst aan de ISO 27001 norm te worden voldaan, gezamenlijke implementatie is ook mogelijk. Deze norm bevat specifieke criteria voor het gebruik van clouddiensten, of dit nu vanuit het perspectief van de afnemer is of van de leverancier. Deze standaard bevat geen additionele eisen die betrekking hebben op het information security management system (ISMS), wel zijn er eisen m.b.t. het nemen van beveiligingsmaatregelen en deze zijn gebaseerd op dezelfde structuur als bij de ISO 27001 en daardoor is deze norm een mooi verlengstuk op de ISO 27001.
Bijlage A
De focus van de ISO 27017 norm ligt dus op de bijlage A die een set aan maatregelen voorschrijft waaraan uw organisatie zal moeten voldoen. Deze maatregelen zijn ingedeeld middels dezelfde structuur als de bijlage A van de ISO 27001 echter bekijkt deze norm de maatregelen vanuit twee perspectieven, afnemer ook wel cloud service customer (CSC) genoemd en de leverancier ook wel cloud service provider (CSP) genoemd. Deze twee perspectieven zorgen ervoor dat beiden partijen (kan in sommige gevallen in delen dezelfde partij zijn) specifieke maatregelen moeten nemen om te conformeren aan de eisen van deze norm. Uitsluitingen van maatregelen voor deze norm zijn heel normaal, dit komt omdat een clouddienst nogal een breed begrip is en organisaties vaak delen van clouddiensten afnemen of leveren.
Onderstaande figuur geeft het ISMS weer die conform de eisen van ISO 27001 moet worden geïmplementeerd met daarbij de bijlage A waar op de ISO 27017 zich richt.
Contact
Heeft u behoefte aan een offerte? Wij komen graag met u in contact.
