Normenverzeichnis » Norm: DIN EN ISO/IEC 27017

Beschreibung

Diese Norm enthält Leitlinien zu den Aspekten der Informationssicherheit beim Cloud-Computing. Sie empfiehlt und unterstützt die Implementierung cloudspezifischer Informationssicherheitsmaßnahmen und ergänzt die Leitlinien in DIN EN ISO/IEC 27002 und anderen ISO/IEC 2700x-Normen.

Inhaltsverzeichnis

Nationales Vorwort
Europäisches Vorwort
Anerkennungsnotiz
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

  • Identische Empfehlungen | Internationale Normen
  • Zusätzliche Verweisungen

3 Begriffe und Abkürzungen

  • An anderer Stelle definierte Begriffe
  • Abkürzungen

4 Für den Cloud-Sektor spezifische Konzepte

  • Übersicht
  • Lieferantenbeziehungen bei Cloud-Diensten
  • Beziehungen zwischen Cloud-Dienstleistungskunden und Cloud-Dienstleistern
  • Umgang mit Informationssicherheitsrisiken bei Cloud-Diensten
  • Gliederung dieser Norm

5 Informationssicherheitsrichtlinien

  • Vorgaben der Leitung für Informationssicherheit
    • Informationssicherheitsrichtlinien
    • Überprüfung der Informationssicherheitsrichtlinien

6 Organisation der Informationssicherheit

  • Interne Organisation
    • Informationssicherheitsrollen und -verantwortlichkeiten
    • Aufgabentrennung
    • Kontakt mit Behörden
    • Kontakt mit speziellen Interessensgruppen
    • Informationssicherheit im Projektmanagement
  • Mobilgeräte und Telearbeit
    • Richtlinie zu Mobilgeräten
    • Telearbeit

7 Personalsicherheit

  • Vor der Beschäftigung
    • Sicherheitsüberprüfung
    • Beschäftigungs- und Vertragsbedingungen
  • Während der Beschäftigung
    • Verantwortlichkeiten der Leitung
    • Informationssicherheitsbewusstsein, -ausbildung und -schulung
    • Maßregelungsprozess
  • Beendigung und Änderung der Beschäftigung
    • Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung

8 Verwaltung der Werte

  • Verantwortlichkeit für Werte
    • Inventarisierung der Werte
    • Zuständigkeit für Werte
    • Zulässiger Gebrauch von Werten
    • Rückgabe von Werten
  • InformationsklassifizierungUnterkapitel ausblenden
    • Klassifizierung von Information
    • Kennzeichnung von Information
    • Handhabung von Werten
  • Handhabung von Datenträgern
    • Handhabung von Wechseldatenträgern
    • Entsorgung von Datenträgern
    • Transport von Datenträgern

9 Zugangssteuerung

  • Geschäftsanforderungen an die Zugangsteuerung
    • Zugangssteuerungsrichtlinie
    • Zugang zu Netzwerken und Netzwerkdiensten
  • Benutzerzugangsverwaltung
    • Registrierung und Deregistrierung von Benutzern
    • Zuteilung von Benutzerzugängen
    • Verwaltung privilegierter Zugangsrechte
    • Verwaltung geheimer Authentisierungsinformationen von Benutzern
    • Überprüfung von Benutzerzugangsrechten
    • Entzug oder Anpassung von Zugangsrechten
  • Benutzerverantwortlichkeiten
    • Gebrauch geheimer Authentisierungsinformation
  • Zugangssteuerung für Systeme und Anwendungen
    • Informationszugangsbeschränkung
    • Sichere Anmeldeverfahren
    • System zur Verwaltung von Kennwörtern
    • Gebrauch von Hilfsprogrammen mit privilegierten Rechten
    • Zugangssteuerung für Quellcode von Programmen

10 Kryptographie

  • Kryptographische Maßnahmen
    • Richtlinie zum Gebrauch von kryptographischen Maßnahmen
    • Schlüsselverwaltung

11 Physische und umgebungsbezogene Sicherheit

  • Sicherheitsbereiche
    • Physische Sicherheitsperimeter
    • Physische Zutrittssteuerung
    • Sichern von Büros, Räumen und Einrichtungen
    • Schutz vor externen und umweltbedingten Bedrohungen
    • Arbeiten in Sicherheitsbereichen
    • Anlieferungs- und Ladebereiche
  • Geräte und Betriebsmittel
    • Platzierung und Schutz von Geräten und Betriebsmitteln
    • Versorgungseinrichtungen
    • Sicherheit der Verkabelung
    • Instandhaltung von Geräten und Betriebsmitteln
    • Entfernen von Werten
    • Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
    • Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
    • Unbeaufsichtigte Benutzergeräte
    • Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren

12 Betriebssicherheit

  • Betriebsabläufe und -verantwortlichkeiten
    • Dokumentierte Betriebsabläufe
    • Änderungssteuerung
    • Kapazitätssteuerung
    • Trennung von Entwicklungs-, Test- und Betriebsumgebungen
  • Schutz vor Schadsoftware
    • Maßnahmen gegen Schadsoftware
  • Datensicherung
    • Sicherung von Information
  • Protokollierung und Überwachung
    • Ereignisprotokollierung
    • Schutz der Protokollinformation
    • Administratoren- und Bedienerprotokolle
    • Uhrensynchronisation
  • Steuerung von Software im Betrieb
    • Installation von Software auf Systemen im Betrieb
  • Handhabung technischer Schwachstellen
    • Handhabung von technischen Schwachstellen
    • Einschränkungen von Softwareinstallation
  • Audit von Informationssystemen
    • Maßnahmen für Audits von Informationssystemen

13 Kommunikationssicherheit

  • Netzwerksicherheitsmanagement
    • Netzwerksteuerungsmaßnahmen
    • Sicherheit von Netzwerkdiensten
    • Trennung in Netzwerken
  • Informationsübertragung
    • Richtlinien und Verfahren für die Informationsübertragung
    • Vereinbarungen zur Informationsübertragung
    • Elektronische Nachrichtenübermittlung
    • Vertraulichkeits- oder Geheimhaltungsvereinbarungen

14 Anschaffung, Entwicklung und Instandhaltung von Systemen

  • Sicherheitsanforderungen an Informationssysteme
    • Analyse und Spezifikation von Informationssicherheitsanforderungen
    • Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
    • Schutz der Transaktionen bei Anwendungsdiensten
  • Sicherheit in Entwicklungs- und Unterstützungsprozessen
    • Richtlinie für sichere Entwicklung
    • Verfahren zur Verwaltung von Systemänderungen
    • Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform
    • Beschränkung von Änderungen an Softwarepaketen
    • Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
    • Sichere Entwicklungsumgebung
    • Ausgegliederte Entwicklung
    • Testen der Systemsicherheit
    • Systemabnahmetest
  • Testdaten
    • Schutz von Testdaten

15 Lieferantenbeziehungen

  • Informationssicherheit in Lieferantenbeziehungen
    • Informationssicherheitsrichtlinie für Lieferantenbeziehungen
    • Behandlung von Sicherheit in Lieferantenvereinbarungen
    • Lieferkette für Informations- und Kommunikationstechnologie
  • Steuerung der Dienstleistungserbringung von Lieferanten
    • Überwachung und Überprüfung von Lieferantendienstleistungen
    • Handhabung der Änderungen von Lieferantendienstleistungen

16 Handhabung von Informationssicherheitsvorfällen

  • Handhabung von Informationssicherheitsvorfällen und -verbesserungen
    • Verantwortlichkeiten und Verfahren
    • Meldung von Informationssicherheitsereignissen
    • Meldung von Schwächen in der Informationssicherheit
    • Beurteilung von und Entscheidung über Informationssicherheitsereignisse
    • Reaktion auf Informationssicherheitsvorfälle
    • Erkenntnisse aus Informationssicherheitsvorfällen
    • Sammeln von Beweismaterial

17 Informationssicherheitsaspekte beim Business Continuity Management

  • Aufrechterhalten der Informationssicherheit
    • Planung zur Aufrechterhaltung der Informationssicherheit
    • Umsetzung der Aufrechterhaltung der Informationssicherheit
    • Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit
  • Redundanzen
    • Verfügbarkeit von informationsverarbeitenden Einrichtungen

18 Compliance

  • Einhaltung gesetzlicher und vertraglicher Anforderungen
    • Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
    • Geistige Eigentumsrechte
    • Schutz von Aufzeichnungen
    • Privatsphäre und Schutz von personenbezogener Information
    • Regelungen bezüglich kryptographischer Maßnahmen
  • Überprüfungen der Informationssicherheit
    • Unabhängige Überprüfung der Informationssicherheit
    • Einhaltung von Sicherheitsrichtlinien und -standards
    • Überprüfung der Einhaltung von technischen Vorgaben

A - Erweiterungssatz von Maßnahmen für Cloud-Dienste (normativ)

B - Verweisungen zum Informationssicherheitsrisiko im Zusammenhang mit Cloud Computing (normativ)

Literaturhinweise

Literaturhinweise (informativ)