ISO27017, de norm voor Cloud dienstverleners
Inleiding ISO27017
De ISO27017 norm is specifiek voor Cloud dienstverlening tot stand gekomen. Diverse partijen waaronder bijvoorbeeld de Cloud Security Alliance hebben hier aan meegewerkt. De norm is in 2015 gepubliceerd.
Relatie met ISO27001
Om deze certificering te kunnen behalen dient een Cloud dienstverlener in het bezit te zijn van een ISO27001 certificering. De ISO27017 norm kent geen ISMS, daar is de ISO27001 voor. Feitelijk is het een uitbreiding op de ISO27002 norm. ISO27017 is daarmee een addendum op het ISO27001 certificaat.
Inhoud van de norm
De ISO27002 norm is de basis voor de ISO27017. De ISO27017 kent de volgende uitbreidingen c.q. verschillen:
- Bestaande ISO27002 maatregelen, zijn in sommige gevallen voorzien van extra implementatie advies.
- Bestaande maatregelen zijn in een aantal gevallen opgedeeld naar het perspectief van de Cloud provider of de Cloud customer. In de volgende paragraaf volgt meer informatie hieromtrent.
- Extra maatregelen, daarmee niet aanwezig in de ISO27002, specifiek voor Cloud dienstverlening zijn toegevoegd.
De hoofdstuk indeling (5 t/m 18) komen overeen met ISO27002, in de Annex-A van het document worden de extra Cloud specifieke maatregelen beschreven.
Cloud Customer en Cloud Provider
De norm maakt onderscheid tussen een Cloud customer (degene die de dienst afneemt) en een Cloud Provider (degene die de dienst verricht). Dat is een goede zaak, daarmee zorgt deze norm dat Cloud dienstverleners zich kunnen certificeren ongeacht of ze een deel van de dienst inkopen.
Een voorbeeld om dit toe te lichten. Een Cloud Provider die een dienst inkoopt bij een andere Cloud provider, daarbij wordt de 1e provider feitelijk een Cloud customer en daarmee moeten maatregelen voor dat specifieke deel van de dienst net even anders ingevuld worden.
Concreet kan een dienstverlener die een applicatie als SaaS oplossing in de markt zet en de onderliggende infrastructuur inkoopt bij een andere Cloud provider zich certificeren en daarmee klanten een stukje extra vertrouwen bieden dat het beheer van de applicatie in goede handen is.
Dit zie je terug in de maatregelen, bijvoorbeeld A5.1, de maatregel die zegt dat er beleid moet zijn. Vanuit het perspectief van een Cloud customer zal beleid zich richten op zaken die betrekking hebben op hoe de data en applicaties van de organisatie in de Cloud zijn opgenomen, terwijl het beleid van een Cloud provider is gericht op de uitgangspunten voor de dienstverlening aan haar klanten.
Extra maatregelen Annex-A
Dit onderdeel kent een aantal maatregelen die boven op de ISO27002 maatregelen zijn gekomen. Deze zijn organisatorisch en technisch van aard. Onderstaand een aantal voorbeelden om je een idee te geven wat voor soort maatregelen dit zijn:
- Een Cloud customer en een Cloud provider hebben een gezamenlijke verantwoordelijkheid.
- Hoe assets van een Cloud customer verwijderd worden als de dienstverlening eindigt.
- Hoe scheiding van virtuele omgevingen wordt gerealiseerd.
- Hoe het hardenen van virtuele systemen is bewerkstelligd.
- Verantwoordelijkheden van beheerders van de Cloud.
Er zijn in totaal 9 maatregelen opgenomen in de ANNEX-A. Deze maatregelen worden aangeduid met de letters CLD. Van de 9 zijn er maar 6 nieuwe maatregelen. De overige 3 zijn maatregelen die al bestaan, in de ISO27002. De opsteller van de norm zal deze waarschijnlijk belangrijk gevonden hebben omdat deze hier weer herhaald worden. Besteed er daarmee aandacht aan zou ik adviseren.
Aanpak om te komen tot de ISO27017
Ik zou de volgende aanpak adviseren om te komen tot deze certificering:
- Beoordeel het nieuw toegevoegde implementatie advies voor de bestaande 27002 maatregelen.
- Beoordeel de maatregelen waar een verschil wordt gemaakt tussen Cloud customer en Cloud provider.
- Voer een risico analyse uit op de extra maatregelen in de ANNEX-A en selecteer de maatregelen die noodzakelijk zijn.
- Daarmee is de gap analyse gereed en kun je de benodigde maatregelen implementeren en de verplichte documentatie als risico analyse, de verklaring van toepasselijkheid etc. aanpassen.