Z rozwiązaniami chmurowymi wiążą się określone zagrożenia bezpieczeństwa, które można ograniczyć dzięki systemowi zarządzania opartemu na normie ISO/IEC 27001 i związanych z nią certyfikacjach.
Podobnie jak wszystkie normy systemowe, ISO/IEC 27001 może być stosowana we wszystkich organizacjach. Tym samym, niektóre wymagania dotyczące chmur nie zostały uwzględnione lub wymagają dalszego dopracowania. Poniższe normy określają zabezpieczenia systemowe uzupełniające ISO/IEC 27001, mające na celu wzmocnienie certyfikacji.
Stosowana wraz z ISO/IEC 27001, norma ISO/IEC 27017 wprowadza silniejsze środki nadzoru nad dostawcami usług chmurowych (CSP) oraz klientami. Określa zadania i obowiązki obydwu stron, pozwalające na zapewnienie bezpieczeństwa usług chmurowych na takim samym poziomie, jak ma to miejsce w przypadku pozostałych danych w obrębie certyfikowanego systemu zarządzania bezpieczeństwem informacji (SZBI – ISMS).
Norma ISO/IEC 27017 zawiera wytyczne dotyczące usług chmurowych w odniesieniu do szeregu środków nadzoru wynikających z ISO/IEC 27002, jak również nowe zabezpieczenia obejmujące
Stosowana wraz z ISO/IEC 27001, norma ISO/IEC 27018 zawiera szczegółowe wytyczne i dodatkowe środki kontroli dostawców usług chmurowych jako podmiotów przetwarzających informacje umożliwiające identyfikację osób (PII – personally identifiable information) w zakresie oceny ryzyka oraz wdrażania najnowocześniejszych środków ochrony informacji umożliwiających identyfikację osób.
Korzyści wynikające ze stosowania ISO/IEC 27017 oraz ISO/IEC 27018
Obok systemu zarządzania bezpieczeństwem informacji zgodnym z ISO/IEC 27001, elementem umożliwiającym organizacjom stosowanie rozwiązań chmurowych jest certyfikacja Cloud Security Alliance (CSA) Security, Trust, Assurance and Risk (STAR), kładąca nacisk na poprawę transparentności i współdzielenie odpowiedzialności.
Certyfikacja CSA STAR obejmuje rygorystyczną, niezależną ocenę stanu bezpieczeństwa. Dostawcy usług chmurowych oraz klienci mogą wykazać się przestrzeganiem tego ugruntowanego, uznanego na całym świecie standardu bezpieczeństwa dotyczącego usług w chmurze. Program certyfikacji opiera się na wymaganiach ISO/IEC 27001 oraz kryteriach określonych w Cloud Controls Matrix (CCM).
Certyfikacja ta wykazuje również, że odpowiednie kwestie związane z bezpieczeństwem chmury zostały ocenione na podstawie modelu dojrzałości zdolności STAR w zakresie zarządzania działaniami w obszarze objętym kontrolą CCM. Wraz z certyfikatem ISO/IEC 27001, certyfikacja CSA STAR jest dowodem funkcjonowania aktywnie zarządzanego programu zarządzania bezpieczeństwem chmury.
Podsumowując Trzy wyżej wymienione certyfikacje są uzależnione od uzyskania będącego ich podstawą certyfikatu ISO/IEC 27001. Schemat zostanie wybrany w oparciu o potrzeby organizacji. Punktem wyjścia jest ISO/IEC 27001, przy czym możliwe jest równoczesne uzyskanie certyfikacji według wszystkich omówionych standardów.
Oferowane przez SGS rozwiązania zwiększają efektywność, pozwalając przy tym osiągnąć zgodność z normami uznawanymi na arenie międzynarodowej. Nasze programy certyfikacji obejmują wiele obszarów, w tym przetwarzanie i ochronę danych, przechowywanie w chmurze, bezpieczeństwo obiektów i loterii, jak również reagowanie na zdarzenia o krytycznym znaczeniu dla biznesu.
Nasze rozwiązania obejmują oceny i certyfikację według następujących norm:
Dowiedz się więcej na temat rozwiązań cyfrowych od SGS
Nasi wysoko wykwalifikowani trenerzy prowadzą spójne, skuteczne, wysokiej jakości szkolenia, przekazując najnowsze umiejętności umożliwiające rozwój Państwa organizacji. Oferujemy szkolenia otwarte i zamknięte, oparte na metodach e-learningu, zajęcia wirtualne oraz mieszane.
Zapraszamy do zapoznania się z ofertą szkoleń otwartych Akademii SGS
System zarządzania bezpieczeństwem informacji - wymagania ISO/IEC 27001
System zarządzania bezpieczeństwem informacji - wymagania i wdrożenie ISO/IEC 27001
Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001