ISO / IEC 27017 es un estándar de seguridad desarrollado para proveedores y usuarios de servicios en la nube para crear un entorno basado en la nube más seguro y reducir el riesgo de problemas de seguridad. [1] Fue publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en el marco del subcomité conjunto ISO e IEC, ISO / IEC JTC 1 / SC 27 . [2] Es parte de la familia de normas ISO / IEC 27000 , normas que proporcionan recomendaciones de mejores prácticas sobre la gestión de la seguridad de la información. Este estándar fue construido a partir de ISO / IEC 27002, lo que sugiere controles de seguridad adicionales para la nube que no estaban completamente definidos en ISO / IEC 27002.
Esta Norma Internacional proporciona pautas que respaldan la implementación de controles de seguridad de la información para los clientes de servicios en la nube, quienes implementan los controles y los proveedores de servicios en la nube para respaldar las implementaciones de esos controles. [3] La selección de los controles de seguridad de la información adecuados y la aplicación de la guía de implementación proporcionada dependerá de una evaluación de riesgos y de cualquier requisito legal, contractual, reglamentario o de seguridad de la información específico del sector de la nube. [4]
¿Qué proporciona el estándar?
ISO / IEC 27017 proporciona pautas para los controles de seguridad de la información aplicables al uso de servicios en la nube al proporcionar una guía de implementación adicional para 37 controles especificados en ISO / IEC 27002 y 7 controles adicionales relacionados con los servicios en la nube que abordan lo siguiente:
- Quién es responsable de qué entre el proveedor de servicios en la nube y el cliente de la nube.
- La remoción o devolución de activos al final de un contrato.
- Protección y separación del entorno virtual del cliente.
- Configuración de la máquina virtual.
- Operaciones y procedimientos administrativos asociados al entorno de la nube.
- Monitoreo de la actividad del cliente en la nube.
- Alineación del entorno de red virtual y en la nube. [5]
Estructura del estándar
El título oficial de la norma es "Tecnología de la información - Técnicas de seguridad - Código de prácticas para controles de seguridad de la información basado en ISO / IEC 27002 para servicios en la nube". ISO / IEC 27017: 2015 tiene dieciocho secciones, más un anexo extenso, que cubre:
- 1 Alcance
- 2 Referencias normativas
- 3. Definiciones y abreviaturas
- 4. Conceptos específicos del sector de la nube
- 5. Políticas de seguridad de la información
- 6. Organización de la seguridad de la información
- 7. Seguridad de los recursos humanos
- 8. Gestión de activos
- 9. Control de acceso
- 10. Criptografía
- 11. Seguridad física y ambiental
- 12. Seguridad de las operaciones
- 13. Seguridad de las comunicaciones
- 14. Adquisición, desarrollo y mantenimiento de sistemas
- 15. Relaciones con proveedores
- 16. Gestión de incidentes de seguridad de la información
- 17. Aspectos de seguridad de la información de la gestión de la continuidad de las operaciones
- 18. Cumplimiento
Servicios que siguen el estándar
Aquí puede ver algunos de los servicios de Cloud Computing más populares que siguen ese estándar:
- Nube Nutanix Xi
Referencias
- ^ "BS EN ISO / IEC 27001: 2017 - ¿Qué es ISO 27017?" . www.tuvsud.com . Consultado el 8 de marzo de 2020 .
- ^ "ISO / IEC 27017: 2015 [ISO / IEC 27017: 2015] Tecnología de la información - Técnicas de seguridad - Código de prácticas para controles de seguridad de la información basado en ISO / IEC 27002 para servicios en la nube" . Organización Internacional de Normalización . Consultado el 8 de marzo de 2020 .
- ^ "ISO / IEC 27017: 2015 (en) Introducción" . www.businesswire.com . Businesswire . Consultado el 9 de marzo de 2020 .
- ^ "ISO / IEC 27017: 2015 (en) Introducción" . www.iso.org . Organización Internacional de Normalización . Consultado el 8 de marzo de 2020 .
- ^ "ISO / IEC 27017" . www.bsigroup.com . Grupo BSI . Consultado el 8 de marzo de 2020 .
- ^ "Portal de confianza de Cisco Webex" . trustportal.cisco.com . Cisco.
- ^ "ISO / IEC 27017" . cloud.google.com . Google . Consultado el 10 de abril de 2020 .