Об ИСО 27017
ISO/IEC 27017 — это уникальный технологический стандарт, поскольку он устанавливает требования как для клиента, так и для поставщика облачных услуг. ИТ-менеджеры и другие технические специалисты, отвечающие за перемещение организаций в облако или расширение взаимодействия с облачными услугами, могут снизить риски для своего бизнеса, убедившись, что они понимают свои обязанности и принимают более обоснованные решения относительно выбора поставщиков.
Используемый с серией стандартов ISO/IEC 27001, ISO/IEC 27017 обеспечивает расширенный контроль для поставщиков и клиентов облачных услуг. В отличие от многих других стандартов, связанных с технологиями, ISO/IEC 27017 разъясняет роли и обязанности обеих сторон, чтобы помочь сделать облачные услуги такими же безопасными и защищенными, как и остальные данные, включенные в сертифицированную систему управления информацией.
Стандарт содержит облачные рекомендации по управлению облачными вычислениями, которые охватывают следующие вопросы:
- Кто за что отвечает между поставщиком облачных услуг и клиентом облака?
- Согласование виртуальной и облачной сетевой среды
- Защита и разделение виртуальной среды клиента
- Конфигурация виртуальной машины
- Изъятие/возврат активов при расторжении договора
- Административные операции и процедуры, связанные с облачной средой
- Мониторинг активности клиентов облака в облаке
Если вы работаете в компании-поставщике облачных услуг или планируете перенести свой бизнес в облако, сертификация Lazarus Alliance ISO 27017 принесет пользу вашей организации.
Преимущества
Преимущества сертификации ISO 27017 можно обобщить следующим образом:
- Независимая проверка соответствия СУИБ вашей организации требованиям международно признанного и принятого стандарта информационной безопасности ISO 27001
- Укрепляет доверие к управлению персональными данными и обеспечивает большую уверенность ваших клиентов и заинтересованных сторон в том, что данные и информация защищены.
- Снижает риск негативной огласки из-за утечки данных.
- Получите значительное преимущество перед конкурентами, у которых нет сертифицированной СУИБ, или станьте первым на рынке с СУИБ, сертифицированной по ISO 27001 и ISO 27017.
- Достигайте экономии средств за счет использования централизованно управляемой сертифицированной по стандарту ISO 27001 системы ISMS, которая может стать основой для различных мероприятий по обеспечению соответствия, включая NIST 800-53, HIPAA, EUCS, SOC 2, Sarbanes-Oxley и другие.
- Обеспечивает соблюдение местных правил, снижая риск штрафов за утечку данных
- Снижает сложность за счет интеграции с ведущим стандартом информационной безопасности ISO/IEC 27001
- Предоставляет общие рекомендации для разных стран, что упрощает ведение бизнеса по всему миру и получение доступа в качестве предпочтительного поставщика.
Область применения ISO 27017
Стандарт ISO 27017 не определяет конкретную область применения СМИБ; однако определение области проверки является важнейшим компонентом процесса сертификации. Область применения СМИБ определяется самой организацией и может включать конкретное приложение или услугу организации, либо организацию в целом. Для ISO 27017 это определяется вашей существующей сертификацией ISO 27001.
Для получения более подробной информации свяжитесь с нами
Процесс сертификации ISO 27017
Если вы уже прошли сертификацию по стандарту ISO 27001, то первоначальный процесс аудита, сертификации и поддержания соответствия будет состоять из нескольких этапов:
- Первичный обзор сертификации - этап 1
Первичный сертификационный аудит включает в себя анализ политики и процессов вашей действующей системы СМИБ по стандарту ISO 27001 для определения готовности вашей структуры СМИБ к полному аудиту на втором этапе сертификационного аудита. Этот аудит включает в себя проверку всех документов клиента, требуемых стандартом.
- Первичный обзор сертификации - этап 2
Второй этап первоначального сертификационного аудита включает углубленное тестирование для определения того, что структура СУИБ была внедрена надлежащим образом, контролируется и поддерживается в соответствии с требованиями стандарта ISO 27017, а также внутренними политиками и процедурами. Этот этап выполняется в офисе клиента или в нескольких офисах, если того требует область действия СУИБ. В конце этого второго этапа Lazarus Alliance определит, будет ли он выдавать клиенту сертификат ISO 27017. Также могут быть выявлены пробелы, которые необходимо будет устранить перед предоставлением сертификации.
- Стадия надзорного аудита
Сертификация ISO 27017 действительна в течение трёх лет, в течение которых надзорные аудиты должны проводиться не реже одного раза в год. В ходе надзорных аудитов Lazarus Alliance проведёт краткую проверку на месте, чтобы определить, были ли внесены какие-либо существенные или значимые изменения в СМИБ, а также проведёт ограниченное тестирование, чтобы подтвердить, что организация продолжает следовать принципам и средствам контроля, указанным в первоначальной сертификации СМИБ.
- Этап повторной сертификации
До истечения первоначального трехлетнего срока сертификации и в последующих циклах Lazarus Alliance проведет полные повторные сертификационные аудиты, чтобы обеспечить непрерывность вашей сертификации. Объем этого обзора и аудита будет зависеть от результатов надзорных аудитов и информации, определенной на этапе 1 повторного сертификационного обзора.
- Сроки аудита
Время, необходимое для всего процесса сертификации, во многом зависит от того, насколько система менеджмента организации соответствует требованиям стандартов ISO 27001 и ISO 27017. Некоторые организации могут получить сертификацию в течение нескольких месяцев с момента начала сертификационного обзора, тогда как другим, более сложным организациям и системам может потребоваться до года для получения сертификации.
Услуги сертификации Lazarus Alliance
Будучи аккредитованным органом по сертификации (ОС), Lazarus Alliance не может предоставлять профессиональные консультационные услуги по разработке, выбору или внедрению средств контроля для соответствия требованиям ISO 27017. Однако в дополнение к полному аудиту и сертификации мы можем предложить следующие услуги:
Предварительная оценка сертификации ISO 27017
Формальная оценка готовности не является обязательным требованием для сертификации по стандарту ISO/IEC 27017, но она может быть полезна для оказания помощи организациям в процессе надлежащей подготовки к первоначальной сертификации. Цель оценки — сэкономить время и деньги организации за счет выявления недостатков в ее системе управления информационной безопасностью (СУИБ) до подачи заявки на сертификацию по стандарту ISO/IEC 27017.
Многие организации считают это важным шагом в процессе подготовки организации к официальному сертификационному аудиту.
В ходе предварительной оценки Lazarus Alliance проведёт комплексный анализ предполагаемой области применения, политик, процедур и процессов контроля, чтобы выявить пробелы в соответствии вашей предлагаемой СМИБ стандарту ISO/IEC 27017. Оценка позволит сравнить все требования стандарта с процессами, процедурами и средствами контроля, используемыми для проектирования, внедрения, эксплуатации и обслуживания вашей СМИБ. Результатом станет отчёт, содержащий чёткое описание недостатков, которые необходимо устранить до проведения официального сертификационного аудита.
Следующие шаги
Организациям, рассматривающим возможность сертификации по стандарту ISO 27017, следует рассмотреть следующие шаги:
- Пожалуйста, свяжитесь с нами, чтобы лучше понять требования и процесс сертификации.
- Приобретите все применимые стандарты серии ISO 27017, которые наилучшим образом соответствуют целям и потребностям организации, или используйте авторитетное отраслевое решение GRC, например Континуум GRC SaaS, который является первым и единственным в мире решением по оценке, одобренным FedRAMP.
- Проводите анализ пробелов либо собственными силами, либо с использованием наших услуг, описанных выше.
- Разработать план по устранению, внедрению и сертификации.
Кроме того, для получения дополнительной информации о Lazarus Alliance, пожалуйста, ознакомьтесь с нашим стандартом ISO 27017. страница деловой политики.
Похожие статьи