ISO 27017 - retningslinjer for informasjonssikkerhetskontroller som gjelder levering og bruk av skytjenester

ISO 27017 tilbyr ytterligere implementeringsveiledning for relevante kontroller spesifisert i ISO 27002

Hva er ISO 27017? 

ISO 27017 gir retningslinjer for informasjonssikkerhetskontroller som gjelder levering og bruk av skytjenester ved å tilby ytterligere implementeringsveiledning for relevante kontroller spesifisert i ISO/IEC 27002; tilleggskontroller med implementeringsveiledning som spesifikt er knyttet til skytjenester. Standarden gir kontroller og implementeringsveiledning for både skytjenesteleverandører og skytjenestekunder. 

Hva er formålet med ISO 27017? 

Retningslinjen gir ytterligere råd om implementering av informasjonssikkerhetskontroller utover det som er gitt i ISO 27002, i skytjenestesammenheng. Standarden gir råd til både skytjenestekunder og skytjenesteleverandører, med den primære veiledningen lagt ut side om side i hver seksjon. 

Innhold og struktur

Når en kontroll under ISO 27002 trenger ekstra skytjenestespesifikk implementeringsveiledning er den gitt undertittelen «Implementeringsveiledning for skytjenester". 

Veiledningen er gis i to typer: 

  • Type 1: egen veiledning for skytjenestekunden og skytjenesteleverandøren, eller 
  • Type 2: lik veiledning for både skytjenestekunden og skytjenesteleverandøren. 
Kapittel i ISO 27002 som gir ytterligere veiledning i ISO 27017

5.1.1 Policies for information security 

6.1.1 Information security roles and responsibilities 

6.1.3 Contact with authorities 

7.2.2 Information security awareness, education and training 

8.1.1 Inventory of assets 

8.2.2 Labelling of information 

9.1.2 Access to networks and network services 

9.2.1 User registration and reregistration 

9.2.2 User access provisioning 

9.2.3 Management of privileged access rights 

9.2.4 Management of secret authentication information of users 

9.4.1 Information access restriction 

9.4.4 Use of privileged utility program 

10.1.1 Policy of the use of cryptographic controls 

10.1.2 Key management 

11.2.7 Secure disposal or reuse of equipment 

12.1.2 Change management 

12.1.3 Capacity management 

12.3.1 Information backup 

12.4.1 Event logging 

12.4.3 Administrator and operator logs 

12.4.4 Clock synchronization 

12.6.1 Management of technical vulnerabilities 

13.1.3 Segregation in networks 

14.1.1 Information security requirements analysis and specification 

14.2.1 Secure development policy 

15.1.1 Information security policy for supplier relationships 

15.1.2 Addressing security within supplier agreements 

15.1.3 Information and communication technology supply chain 

16.1.1 Responsibilities and procedures 

16.1.2 Reporting information security events 

16.1.7 Collection of evidence 

18.1.1 Identification of applicable legislation and contractual requirements 

18.1.2 Intellectual property rights 

18.1.3 Protection of records 

18.1.5 Regulation of cryptographic controls 

18.2.1 Independent review of information security 

ISO 27017: Annex A - Cloud service extended control set

CLD 6.3.1 Shared roles and responsibilities within a cloud computing environment 

Avtale om delt ansvar mellom kunde og leverandør rundt informasjonssikkerhetsroller knyttet til skytjenester må være tydelig identifisert, registrert og kommunisert. 

CLD 8.1.5 Removal of cloud service customer assets 

Adresserer hvordan eiendeler returneres eller fjernes fra skyen når kontrakten mellom kunde og leverandør er avsluttet. 

CLD 9.5.1 Segregation in virtual computing environment 

Leverandøren må beskytte og skille kundens virtuelle miljø fra andre kunder og eksterne parter 

CLD 9.5.2 Virtual machine hardening 

Kunden og tilbyderen skal sørge for at virtuelle maskiner er konfigurert og i stand til å møte behovene til organisasjonen. 

CLD 12.1.5 Administrator’s operational security 

Kundens ansvar for å definere, dokumentere og overvåke det administrative operasjoner og prosedyrer knyttet til skymiljø og CSPs krav til dele dokumentasjon om kritiske operasjoner og prosedyrer når kundene krever det. 

CLD 12.4.5 Monitoring of cloud services 

Hvordan leverandøren gjør det mulig for kunden å overvåke aktivitet innenfor de skytjenester som kunden bruker. 

CLD 13.1.4 Alignment of security management for virtual and physical networks 

Konsistente konfigurasjoner bør gjøres slik at det virtuelle nettverksmiljøet er på linje 

med informasjonssikkerhetspolitikken til det fysiske nettverksmiljøet. 

Oppdatert: 10. mai 2022

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.