תקן אבטחת מידע
ISO 27001
ISO 27017 תקן אבטחה לשירותי ענן
תקן ISO 27017 עוסק בהנחיות לשימוש בשירותי ענן ומספק הנחיות ספציפיות לבקרות וטיפול בסיכוני אבטחת מידע בהם. תקן זה הינו בינלאומי ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע ומבוסס על ISO 27002 המגדיר את תחומי האחריות של לקוחות הקצה וספקי השירות בשירותי ענן, מה שמאפשר להפוך שירותים אלו לבטוחים יותר.
הסרה או החזרה של משאבים בענן לאחר סיום החוזה בין הספק ללקוח.
אבטחה והפרדה בין סביבת הלקוח לביין סביבות אחרות בענן.
קביעת תצורת מכונות וירטואליות.
פעולות מנהליות ופרוצדרות מנהליות הקשורות בסביבת הענן.
סנכרון והתאמה בין הסביבה הווירטואלית לבין סביבת הרשת בענן.
התקן כולל הנחיות לסביבת הענן ל-37 בקרות המופיעים בתקן ISO27002. בנוסף לכך נכללות בתקן הנחיות ל-7 בקרות ספציפיים למחשוב ענן כמפורט להלן:
ניטור פעילות הלקוח בענן.
מי אחראי על מה בתחומים האפורים בין ספק שירותי הענן ולבין לקוח שירותי הענן.
איך זה עובד?
שלבי התהליך
איסוף מידע
הכרות עם אנשים, תהליכים וטכנולוגיות: הכרות עם מבנה ארגוני, תהליכים עסקיים בחברה, נהלי עבודה ומערכות מידע שנעשה בהם שימוש בחברה
1
3
תיקון ועדכון
טיפול בפערים ע"י צוות מקצועי בעלי התמחויות בתחומי הרלוונטיים כגון: מומחי תוכן לכתיבת נהלי אבטחת מידע, בודקים מקצועיים שיבצעו בדיקות חדירות ועוד.
2
ניתוח מידע
ניתוח מצב קיים בחברה מול דרישות התקן לכל אחד מהסעיפים. הצגת פערים בדוח מסכם עם המלצות ותיעדוף לטיפול.
4
מבדק חיצוני
מבדק חיצוני מבוצע ע"י אחד מהמכונים המורשים. הבודק עובר על ה-SOA, הצהרת הישימות ואסמכתאות תומכות ובסיום מנפיק תעודת הסמכה לעמידה בתקן.