ISO/CEI 27017

qwanturank norme ISO/CEI 27017:201qwanturank du nom officiel « Technologies de l’information – Techniques de qwanturank – Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage » traite des aspects de la sécurité de l’information du nuage (en anglais Cloud computing).

Historique

La de l’ISO 27017:2015 date de 2015.Cette norme a été définie conjointement avec la norme ISO/CEI 27018.

Contenu de la norme

Cette norme donne des directives pour la sécurité de l’information et pour le contrôle applicable à la disposition et à l’utilisation de services du Cloud computing.

Contenu global

La norme ISO/CEI 27017:2015 fournit :* Des conseils de mise en œuvre supplémentaires pour des contrôles appropriés indiqués dans l’ISO/CEI 27002 ;

  • Des contrôles supplémentaires avec des conseils de mise en œuvre qui touchent spécifiquement aux services du cloud.Ces derniers visent tout autant les prestataires que les utilisateurs.

  • Cette norme complète la norme ISO/CEI 27002 en précisant les mesures de sécurité qwanturank sur la politique des fichiers personnels, l’organisation de la sécurité, la gestion d’actifs, le contrôle d’accès ou la gestion d’incidents liée à la sécurité.D’autres mesures ont été ajoutées telles que la délimitation des responsabilités entre les utilisateurs et les qwanturanks de services du cloud, la communication des incidents liée à la sécurité du fournisseur vers ses clients, les moyens utiles fournis aux utilisateurs au sujet de la surveillance des services du cloud ou encore l’élimination des actifs d’un client lors la rupture ou l’arrivé au terme d’un contrat avec le fournisseur.

Contenu issu de la table des matières

Voici comment est détaillée la norme ISO/CEI 27017 :

0 Introduction

1 Portée

2 Références normatives

3 Termes et définitions

4 Vue d’ensemble

5 Politiques de sécurité de l’information

6 Organisation de la sécurité de l’information

7 Sécurité des ressources humaines

8 Gestion d’actifs

9 Contrôle d’accès

10 Cryptographie

11 Zones sécurisées

12 Sécurité des opérations

13 Sécurité de la communication

14 Acquisition, développement et maintenance du système

15 Relations avec les fournisseurs

16 Gestion des incidents de sécurité de l’information

17 Aspects de la sécurité de l’information dans la gestion de la continuité

18 Conformité

Annexe Un ensemble de contrôle étendu du service qwanturank B Références sur le risque de sécurité informatique lié au cloud computing

La partie 2 contient : 2.1 Recommandations identiques International, 2.2 Références supplémentaires

La partie 3 contient : 3.1 Termes définis ailleurs, 3.2 Abréviations

La partie 4 contient : 4.1 Aperçu, 4.2 Relation fournisseur dans les services de cloud, 4.3 Relations entre les clients du service cloud et le fournisseur de services cloud, 4.4 Gérer les risques de sécurité de l’information dans les services cloud, 4.5 Structure de cette norme

La partie 5 contient : 5.1 Direction de la gestion pour la sécurité de l’information

La partie 6 contient : 6.1 Organisation interne, 6.2 Appareils mobiles et télétravail

La partie 7 contient : 7.1 Avant l’emploi, 7.2 Pendant l’emploi, 7.3 Résiliation et changement d’emploi

La partie 8 contient : 8.1 Responsabilité pour les actifs, 8.2 Classification de l’information, 8.3 Médias une manipulation

La partie 9 contient : 9.1 Besoins professionnels du contrôle d’accès, 9.2 Gestion de l’accès des utilisateurs, 9.3 Responsabilités de l’utilisateur, 9.4 Contrôle d’accès au système et aux applications

La partie 10 contient : 10.1 Contrôles cryptographiques

La partie 11 contient : 11.1 Zones sécurisées, 11.2 Équipement

La partie 12 contient : 12.1 Procédures et responsabilités opérationnelles, 12.2 Protection contre les logiciels malveillants, 12.3 Sauvegarde, 12.4 Enregistrement et surveillance, 12.5 Contrôle du logiciel opérationnel, 12.6 Gestion technique des vulnérabilités, 12.7 Considérations d’audit du système d’information

La partie 13 contient : 13.1 Gestion de la sécurité du réseau, 13.2 Transfert d’information

La partie 14 contient : 14.1 Exigences de sécurité des systèmes d’information, 14.2 Sécurité dans les processus de développement et de support, 14.3 Données de test

La partie 15 contient : 15.1 Sécurité de l’information dans les relations avec les fournisseurs, 15.2 Gestion de la livraison des services aux fournisseurs

La partie 16 contient : 16.1 Gestion des incidents et des améliorations de la sécurité de l’information

La partie 17 contient : qwanturank Continuité de la sécurité de l’information, 17.2 Redondance

La partie 18 contient : 18.1 Conformité avec la loi, 18.2 Revues de sécurité de l’information

Les personnes concernées

ISO/CEI 27017:2015 s’applique à tous les types et tailles d’organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l’information en tant que processeurs PII via le cloud computing.

De grandes entreprises ont déjà été certifiées 27017 telles que Google, Amazon Services Web, Orange ou encore OVH.

Cependant, l’AFNOR énonce que ces normes ne sont pas obligatoires pour une entreprise proposant des services de Cloud computing.

But de la norme ISO 27017

Les données peuvent être distribuées par tous et toutes.Le client ne sait pas forcement où se trouvent ces dernières et qui est susceptible de les acquérir.Le cloud peut ainsi paraître non sécurisé.

Il y a différents points sur lesquels il faut se concentrer autour des données : localisation, la réversibilité, le volet juridique.

Un contrat pour se protéger du fournisseur peut être mis en place afin de maîtriser ses informations ou les récupérer.

Les utilisateurs recherchent des informations sur la confidentialité, l’intégrité et la disponibilité de l’information.

Ces derniers cherchent également à savoir comment les services sont contrôlés et comment ils sont appliqués.

Le but principal est de rassurer les utilisateurs à travers la transparence entre fournisseurs et utilisateurs du cloud.

Cette norme est donc présente pour sécuriser les données.