Sysbus
ArtikelCloud

Cloud-Dienste sicher nutzen – ISO/IEC 27001:2022

dcg

Daher sollten die aus der Cloud bezogenen Lösungen stets auf branchenweit anerkannten Normen für Architektur und Infrastruktur basieren, zeitgemäße Zugangskontrollen unterstützen, die den individuellen Sicherheitsanforderungen entsprechen, und Lösungen zur Überwachung und zum Schutz vor Schadsoftware enthalten. Es gilt vertraglich festzuhalten, dass Verarbeitung und Speicherung sensibler Informationen nur an zugelassenen Orten beziehungsweise innerhalb einer bestimmten Gerichtsbarkeit erlaubt ist (zum Beispiel wichtig bei kritischen Infrastrukturen). Der Dienstleister muss gezielte Unterstützung im Falle eines Sicherheitsvorfalls in der Cloud-Dienstumgebung leisten und generelle Unterstützung bei der Sammlung digitaler Beweise bieten. Und, besonders wichtig: Die Sicherheitsanforderungen müssen auch im Falle der Weitergabe eines Dienstes an externe Dienstleister erfüllt werden. Entscheidet sich ein Unternehmen, einen Cloud-Dienst zu verlassen, sollte sich der Provider für einen angemessenen Zeitraum weiterhin zu Support und Service-Verfügbarkeit bekennen. Dazu gehört es etwa, Sicherungskopien von Daten und Konfigurationsinformationen bereitzustellen und diese gegebenenfalls sicher zu verwalten. Informationen wie Konfigurationsdateien, Quellcode und Daten, die Eigentum der Organisation sind, müssen auf Anfrage bereitgestellt oder bei Dienstbeendigung zurückgegeben werden.

Unternehmen, die Cloud-Dienstleistungen beziehen, sollten abgestimmt auf ihre konkreten Sicherheitsanforderungen festlegen, ob die Vereinbarung eine Informationspflicht enthalten sollte, falls ein Cloud-Dienstleister wesentliche Änderungen vornimmt. Dazu gehören:

  • Änderungen an der technischen Infrastruktur, die sich auf das Dienstleistungsangebot auswirken
  • Verarbeitung oder Speicherung von Informationen in einem neuen geographischen oder rechtlichen Zuständigkeitsbereich
  • Die Nutzung oder der Wechsel von Peer-Cloud-Dienstleistern oder anderen Unterauftragnehmern

Bewertung der Maßnahme 5.23

Mit der neuen Control in der aktualisierten ISO/IEC 27001:2022 schließen ISO und IEC eine wichtige Lücke beim Schutz moderner ITK-Architekturen und der Daten von Unternehmen, Organisationen und Behörden. Mit ihr trägt ISO/IEC 27001 als weltweit gesetzter Standard nun auch dem konsistenten, systematischen Schutz von Cloud-Services Rechnung, deren Relevanz und Nutzung in Zeiten von Fachkräftemangel und dezentralen Unternehmensnetzwerken in den kommenden Jahren zweifellos kontinuierlich zunehmen wird. Mit der Maßnahme 5.23 bekommen Nutzer von Cloud-Diensten einen Regelungsrahmen in die Hand, mit dem sie ihre bisherigen Informationssicherheitsanforderungen systematisch auf den Prüfstand stellen und im Bedarfsfall nachjustieren können. Neben einer Vielzahl grundlegender organisatorischer Anforderungen, unterstreicht das Control auch die Bedeutung der engen Zusammenarbeit mit dem Cloud Service Provider, um den gegenseitigen Informationsaustausch stets aufrecht zu erhalten. Dies fördert wechselseitige Mechanismen, um festgelegte Dienstmerkmale zu überwachen und Verstöße gegen die vereinbarten Pflichten zu erkennen und melden zu können.

Was bedeutet dies für künftige (Re-)Zertifizierungen?

ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Die Übergangsfrist von der alten auf die neue, dritte Version von ISO/IEC 27001 beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats. Die derzeitigen Zertifikate nach ISO/IEC 27001:2013 beziehungsweise DIN EN ISO/IEC 27001:2017 verlieren also am 31. Oktober 2025 ihre Gültigkeit.

Trotz der dreijährigen Übergangsfrist sind Unternehmen gut beraten, sich frühzeitig mit den neuen Normanforderungen auseinanderzusetzen. Denn die Umsetzung der neuen Controls beziehungsweise Sicherheitsmaßnahmen erfordert Know-how, wird Ressourcen binden und eventuell Investitionen in Technik notwendig machen. Unternehmen sollten mit der Umstellung rechtzeitig mit einem geplanten Änderungsprozess beginnen und diesen zielgerichtet auf die Umsetzung der neuen und geänderten Sicherheitsmaßnahmen hinsteuern. In den meisten Fällen lohnt es sich, erfahrene Auditoren und Zertifizierer frühzeitig einzubeziehen. Rechtzeitige Informationen über Prüfkriterien und Auditpraxis bereits zu Beginn dieses Änderungsprozesses geben Sicherheit beim Einstieg in das Übergangsaudit auf ISO/IEC 27001:2022.

Ähnliche Beiträge:

  1. Online-GAP-Analysetool von CONTECHNET kostenlos
  2. Optimierte Version von INDITOR ISO noch strukturierter und benutzerfreundlicher
  3. Herausforderung im Rechenzentrum: Zertifizierungen – Auf diese Standards sollten Unternehmen achten
  4. Die größten Missverständnisse der Cloud-Security – Werden wir mit Zertifizierungen und Labeln geblendet?

Das könnte dir auch gefallen

Sieben MLOps Mythen, die die Verantwortlichen vor dem Einsatz ihrer KI-Projekte kennen sollten

gg

Mit Hilfe von Bild- und Dokumentenerfassung Logistik- und Lieferketten optimieren

gg

VMware stellt neues Produkt “Secure Status” vor

gg