Standards
Sicherheitsmanagement von Cloud Computing mit ISO/IEC 27017
ISACA-Fachgruppe Cloud Computing
Abstract
Seit Dezember 2015 existiert mit ISO/IEC 27017 ein internationaler Standard mit Sicherheitsempfehlungen für den Einsatz von Cloud Computing. Der Standard versteht sich als Ergänzung zu ISO/IEC 27002 und setzt auf dessen Inhalte und Struktur auf. Für 37 der Kontrollmechanismen in ISO/IEC 27002 werden Ergänzungen für die Nutzer und Anbieter von Cloud-Services beschrieben und definiert. Zusätzlich kommen 7 neue Cloud-spezifische Kontrollmechanismen hinzu. Anbieter und Nutzer von Cloud-Services, die ihr Informationsmanagement auf ISO/IEC 2700x abstützen, können damit Cloud Computing in ihr Sicherheitsmanagement und in Prüf- und Zertifizierungsprozesse integrieren. Die Formulierungen in ISO/IEC 27017 lassen viel Ermessens- und Interpretationsspielraum, sodass weiterhin ergänzende detaillierte technische und organisatorische Richtlinien und Festlegungen erforderlich sind.