ISO/IEC 27017:2015 Verhaltenskodex für InformationssicherheitskontrollenISO/IEC 27017:2015 Code of Practice for Information Security Controls

Übersicht über ISO-IEC 27017ISO-IEC 27017 Overview

Der ISO/IEC 27017:2015-Verhaltenskodex ist als Referenz für Organisationen vorgesehen, um sie während der Implementierung eines Systems für die Verwaltung der Cloud Computing-Informationssicherheit gemäß ISO/IEC 27002:2013 bei der Auswahl von Informationssicherheitskontrollen für Clouddienste zu unterstützen.The ISO/IEC 27017:2015 code of practice is designed for organizations to use as a reference for selecting cloud services information security controls when implementing a cloud computing information security management system based on ISO/IEC 27002:2013. Er kann auch von Cloud Service-Anbietern als Leitfaden zum Implementieren von allgemein anerkannten Schutzkontrollen verwendet werden.It can also be used by cloud service providers as a guidance document for implementing commonly accepted protection controls.

Dieser internationale Standard bietet zusätzliche cloudspezifische Implementierungsanleitungen auf der Grundlage von ISO/IEC 27002 und stellt zusätzliche Kontrollen für Kontrollen, Implementierungsanleitungen und andere Informationen zur Verfügung, um cloudspezifischen Bedrohungen und Risiken der Informationssicherheit zu begegnen, die sich auf die Abschnitte 5–18 in ISO/IEC 27002: 2013 beziehen.This international standard provides additional cloud-specific implementation guidance based on ISO/IEC 27002, and provides additional controls to address cloud-specific information security threats and risks referring to clauses 5-18 in ISO/IEC 27002: 2013 for controls, implementation guidance, and other information. Insbesondere stellt dieser Standard Anleitungen zu 37 Kontrollen in ISO/IEC 27002 zur Verfügung und enthält außerdem sieben neue Kontrollen, die nicht in ISO/IEC 27002 dupliziert sind.Specifically, this standard provides guidance on 37 controls in ISO/IEC 27002, and it also features seven new controls that are not duplicated in ISO/IEC 27002. Diese neuen Kontrollen beziehen sich auf die folgenden wichtigen Bereiche:These new controls address the following important areas:

  • Gemeinsame Rollen und Pflichten innerhalb einer Cloud Computing-UmgebungShared roles and responsibilities within a cloud computing environment
  • Entfernen und Rückgabe von Kundenressourcen in Cloud Services nach VertragsendeRemoval and return of cloud service customer assets upon contract termination
  • Schutz und Trennung der virtuellen Umgebung eines Kunden von den Umgebungen anderer KundenProtection and separation of a customer's virtual environment from environments of other customers
  • Erfordernisse zur Stärkung virtueller Maschinen um Geschäftsanforderungen zu erfüllenVirtual machine hardening requirements to meet business needs
  • Verfahren für administrative Abläufe einer Cloud Computing-UmgebungProcedures for administrative operations of a cloud computing environment
  • Überwachung relevanter Aktivitäten innerhalb einer Cloud Computing-Umgebung durch den KundenEnabling customers to monitor relevant activities within a cloud computing environment
  • Ausrichtung der Sicherheitsverwaltung für virtuelle und physische NetzwerkeAlignment of security management for virtual and physical networks

Microsoft und ISO/IEC 27017Microsoft and ISO/IEC 27017

ISO/IEC 27017 ist einzigartig, da es Anleitungen für Anbieter und Kunden von Clouddiensten bereitstellt.ISO/IEC 27017 is unique in providing guidance for both cloud service providers and cloud service customers. Der Standard stellt außerdem Cloud Service-Kunden praktische Informationen im Hinblick auf ihre Erwartungen an Cloud Service-Anbieter zur Verfügung.It also provides cloud service customers with practical information on what they should expect from cloud service providers. Kunden können die Vorteile von ISO/IEC 27017 direkt nutzen, indem sie sich der gemeinsamen Verantwortung in der Cloud bewusst sind.Customers can benefit directly from ISO/IEC 27017 by ensuring they understand the shared responsibilities in the cloud.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

  • Azure und Azure Government und Azure DeutschlandAzure, Azure Government, and Azure Germany
  • Microsoft Cloud App-SicherheitMicrosoft Cloud App Security
  • Dynamics 365, Dynamics 365 und Dynamics 365 DeutschlandDynamics 365, Dynamics 365, and Dynamics 365 Germany
  • Microsoft Defender Advanced Threat ProtectionMicrosoft Defender Advanced Threat Protection
  • Microsoft GraphMicrosoft Graph
  • Microsoft Healthcare BotMicrosoft Healthcare Bot
  • IntuneIntune
  • Microsoft Managed DesktopMicrosoft Managed Desktop
  • Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthaltenPower Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense und Office 365 DeutschlandOffice 365, Office 365 U.S. Government, Office 365 U.S. Government Defense, and Office 365 Germany
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan bzw. einer -Anwendungssuite enthaltenPowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthaltenPower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite
  • Power BI EmbeddedPower BI Embedded
  • Microsoft StreamMicrosoft Stream
  • Sehen Sie sich eine detaillierten Liste der abgedeckten Dienste in Office 365 anSee a detailed list of covered services in Office 365

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Microsoft-Clouddienste werden einmal jährlich im Rahmen des Zertifizierungsprozesses nach ISO/IEC 27001:2013 hinsichtlich des ISO/IEC 27017:2015-Verhaltenskodex überprüft.Microsoft cloud services are audited once a year for the ISO/IEC 27017:2015 code of practice as part of the certification process for ISO/IEC 27001:2013.

Häufig gestellte FragenFrequently asked questions

Für wen gilt der Standard?To whom does the standard apply?

Dieser Verhaltenskodex stellt Kontrollen und Implementierungsanleitungen für Anbieter und Kunden von Clouddiensten bereit.This code of practice provides controls and implementation guidance for both cloud service providers and cloud service customers. Er ist ähnlich strukturiert wie ISO/IEC 27002:2013.It is structured in a format similar to ISO/IEC 27002:2013.

Wo kann ich Microsofts Konformitätsinformationen für ISO/IEC 27017:2015 einsehen?Where can I view Microsoft's compliance information for ISO/IEC 27017:2015?

Sie können das ISO/IEC 27017:2015-Zertifikat für Azure, Intune und Power BI herunterladen.You can download the ISO/IEC 27017:2015 certificate for Azure, Intune, and Power BI.

Kann ich die ISO/IEC 27017-Konformität von Microsoft-Diensten im Zertifizierungsprozess meiner Organisation nutzen?Can I use the ISO/IEC 27017 compliance of Microsoft services in my organization's certification process?

Ja.Yes. Wenn Ihr Unternehmen eine Zertifizierung für Installationen anstrebt, die in einem der im Umfang enthaltenen Microsoft Enterprise Cloud Services bereitgestellt werden, können Sie die entsprechenden Zertifizierungen von Microsoft für Ihre Compliancebewertung verwenden.If your business is seeking certification for implementations deployed on any Microsoft in-scope enterprise cloud services, you can use Microsoft's relevant certifications in your compliance assessment. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung Ihrer Implementierung unter Wahrung der Compliance zu beauftragen. Außerdem sind Sie für die Kontrollen und Prozesse in Ihrer eigenen Organisation zuständig.However, you are responsible for engaging an assessor to evaluate your implementation for compliance, and for the controls and processes within your own organization.

Wie erhalte ich Kopien der entsprechenden Prüfberichte?How can I get copies of the applicable audit reports?

Im Service Trust Portal erhalten Sie unabhängige Prüfberichte von Dritten und weitere zugehörige Dokumentation.The Service Trust Portal provides independent, third-party audit reports and other related documentation. Sie können diese Dokumentation aus dem Portal herunterladen und prüfen, um Unterstützung bei der Erfüllung Ihrer eigenen gesetzlichen Anforderungen zu erhalten.You can use the portal to download and review this documentation for assistance with your own regulatory requirements.

Verwenden Sie den Microsoft Compliance Manager, um Ihr Risiko einzuschätzenUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen in Compliance Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources