Kontakt

Czego szukasz?

Tematy, które mogą Cię zainteresować

Sprawozdanie roczne firmy SGSNadchodzące webinaryOferty pracy

Techniczne trio wspierające rozwiązania chmurowe

07 Jun 2022
Cyber Security Virus Alert_600x400

Z rozwiązaniami chmurowymi wiążą się określone zagrożenia bezpieczeństwa, które można ograniczyć dzięki systemowi zarządzania opartemu na normie ISO/IEC 27001 i związanych z nią certyfikacjach.

Podobnie jak wszystkie normy systemowe, ISO/IEC 27001 może być stosowana we wszystkich organizacjach. Tym samym, niektóre wymagania dotyczące chmur nie zostały uwzględnione lub wymagają dalszego dopracowania. Poniższe normy określają zabezpieczenia systemowe uzupełniające ISO/IEC 27001, mające na celu wzmocnienie certyfikacji.


ISO/IEC 27017

Stosowana wraz z ISO/IEC 27001, norma ISO/IEC 27017 wprowadza silniejsze środki nadzoru nad dostawcami usług chmurowych (CSP) oraz klientami. Określa zadania i obowiązki obydwu stron, pozwalające na zapewnienie bezpieczeństwa usług chmurowych na takim samym poziomie, jak ma to miejsce w przypadku pozostałych danych w obrębie certyfikowanego systemu zarządzania bezpieczeństwem informacji (SZBI – ISMS).

Norma ISO/IEC 27017 zawiera wytyczne dotyczące usług chmurowych w odniesieniu do szeregu środków nadzoru wynikających z ISO/IEC 27002, jak również nowe zabezpieczenia obejmujące

  • obowiązki CSP oraz klienta
  • usuwanie/zwrot aktywów po zakończeniu umowy
  • ochronę i wyodrębnienie wirtualnego środowiska klienta
  • konfigurację maszyny wirtualnej
  • zarządzanie środowiskiem chmurowym i związane z nim procedury
  • monitorowanie aktywności klienta w chmurze
  • dopasowanie wirtualnego i chmurowego środowiska sieciowego

ISO/IEC 27018

Stosowana wraz z ISO/IEC 27001, norma ISO/IEC 27018 zawiera szczegółowe wytyczne i dodatkowe środki kontroli dostawców usług chmurowych jako podmiotów przetwarzających informacje umożliwiające identyfikację osób (PII – personally identifiable information) w zakresie oceny ryzyka oraz wdrażania najnowocześniejszych środków ochrony informacji umożliwiających identyfikację osób.

Korzyści wynikające ze stosowania ISO/IEC 27017 oraz ISO/IEC 27018

  • Wzrost zaufania do organizacji dzięki większej pewności ochrony danych klientów / interesariuszy
  • Przewaga konkurencyjna uzyskana dzięki wykazaniu wdrożenia skutecznych środków nadzoru
  • Ochrona reputacji marki poprzez ograniczenie ryzyka negatywnego rozgłosu spowodowanego naruszeniami bezpieczeństwa danych
  • Obniżenie poziomu ryzyka poprzez identyfikowanie problemów i zapewnianie środków nadzoru
  • Ochrona przed karami finansowymi poprzez zapewnianie zgodności z miejscowymi przepisami
  • Rozwój biznesu poprzez stosowanie wspólnych wytycznych w różnych krajach, co ułatwia działanie w globalnej skali oraz dostęp do preferowanych dostawców

Certyfikacja CSA STAR

Server Room_600x400

Obok systemu zarządzania bezpieczeństwem informacji zgodnym z ISO/IEC 27001, elementem umożliwiającym organizacjom stosowanie rozwiązań chmurowych jest certyfikacja Cloud Security Alliance (CSA) Security, Trust, Assurance and Risk (STAR), kładąca nacisk na poprawę transparentności i współdzielenie odpowiedzialności.

Certyfikacja CSA STAR obejmuje rygorystyczną, niezależną ocenę stanu bezpieczeństwa. Dostawcy usług chmurowych oraz klienci mogą wykazać się przestrzeganiem tego ugruntowanego, uznanego na całym świecie standardu bezpieczeństwa dotyczącego usług w chmurze. Program certyfikacji opiera się na wymaganiach ISO/IEC 27001 oraz kryteriach określonych w Cloud Controls Matrix (CCM).

Certyfikacja ta wykazuje również, że odpowiednie kwestie związane z bezpieczeństwem chmury zostały ocenione na podstawie modelu dojrzałości zdolności STAR w zakresie zarządzania działaniami w obszarze objętym kontrolą CCM. Wraz z certyfikatem ISO/IEC 27001, certyfikacja CSA STAR jest dowodem funkcjonowania aktywnie zarządzanego programu zarządzania bezpieczeństwem chmury.


Korzyści płynące z certyfikacji CSA STAR

  • Uznawana w branży, niezależna certyfikacja oparta na katalogu wymagań CSA
  • Wzrost zaufania, korzyści wizerunkowe i rozwój biznesu w sytuacji, gdy klienci oczekują przedstawienie dowodów na stosowanie środków bezpieczeństwa chmury
  • Zapewnienie najwyższemu kierownictwu danych umożliwiających ocenę systemu zarządzania w odniesieniu do oczekiwań branży w zakresie bezpieczeństwa w chmurze oraz ISO/IEC 27001
  • Wizytówka organizacji w kontekście jej dążenia do optymalizacji usług w chmurze
  • Niezależne potwierdzenie postępów i efektywności działania, przyznane przez zewnętrzny podmiot certyfikowany
  • Porównanie uzyskiwanych wyników z osiągnięciami innych firm

Podsumowując Trzy wyżej wymienione certyfikacje są uzależnione od uzyskania będącego ich podstawą certyfikatu ISO/IEC 27001. Schemat zostanie wybrany w oparciu o potrzeby organizacji. Punktem wyjścia jest ISO/IEC 27001, przy czym możliwe jest równoczesne uzyskanie certyfikacji według wszystkich omówionych standardów.


Główne korzyści płynące z zarządzania bezpieczeństwem informacji

  • Ochrona krytycznych danych i aktywów, a zarazem ograniczenie kosztów i strat
  • Konkurencyjny wyróżnik
  • Obniżenie prawdopodobieństwa incydentów
  • Ograniczenie negatywnych skutków ewentualnych incydentów

Jaką pomoc oferujemy

Oferowane przez SGS rozwiązania zwiększają efektywność, pozwalając przy tym osiągnąć zgodność z normami uznawanymi na arenie międzynarodowej. Nasze programy certyfikacji obejmują wiele obszarów, w tym przetwarzanie i ochronę danych, przechowywanie w chmurze, bezpieczeństwo obiektów i loterii, jak również reagowanie na zdarzenia o krytycznym znaczeniu dla biznesu.

Nasze rozwiązania obejmują oceny i certyfikację według następujących norm:

  • CSA STAR
  • ISO/IEC 20000 – zarządzanie usługami informatycznymi
  • ISO 22301 – systemy zarządzania ciągłością działania – wymagania
  • ISO/IEC 27001 – systemy zarządzania bezpieczeństwem informacji
  • ISO/IEC 27017 – kodeks praktyk dotyczących środków kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 dotyczącej usług w chmurze
  • ISO/IEC 27018 – kodeks praktyk dotyczących ochrony danych umożliwiających identyfikację osób (PII) w chmurach publicznych funkcjonujących jako podmioty przetwarzające dane umożliwiające identyfikację osób
  • ISO/IEC 27701- rozszerzenie ISO/IEC 27001 oraz 27002 dotyczące zarządzania informacjami pod kątem prywatności
  • World Lottery Association-Security Control Standard (WLA-SCS) – norma bezpieczeństwa Światowego Stowarzyszenia Loterii
  • TISAX (Trusted Information Security Assessment Exchange) - bezpieczeństwo informacji w branży motoryzacyjnej
  • Audyty KSC (Krajowy System Cyberbezpieczeństwa)
  • ISO/IEC 19770 – system zarządzania zasobami IT
  • ISO/IEC 22237 (EN 50600) – certyfikacja Data Center

Dowiedz się więcej na temat rozwiązań cyfrowych od SGS



Szkolenia

Nasi wysoko wykwalifikowani trenerzy prowadzą spójne, skuteczne, wysokiej jakości szkolenia, przekazując najnowsze umiejętności umożliwiające rozwój Państwa organizacji. Oferujemy szkolenia otwarte i zamknięte, oparte na metodach e-learningu, zajęcia wirtualne oraz mieszane.

Zapraszamy do zapoznania się z ofertą szkoleń otwartych Akademii SGS

Podstawy cyberbezpieczeństwa

System zarządzania bezpieczeństwem informacji - wymagania ISO/IEC 27001

System zarządzania bezpieczeństwem informacji - wymagania i wdrożenie ISO/IEC 27001

Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001

Skontaktuj się z nami

Wyślij wiadomość
  • SGS - Poland - Warszawa

Al. Jerozolimskie 146A,

02-305,

Warszawa, Mazowieckie,

Polska