Evaluation reglementaire / normative
Assessment unique sans niveaux, avec recommandations et plan d'action priorise.
Plan: PREMIUM
Ouvrir l'assessmentFiche norme ISO/IEC
ISO/IEC 27017
ISO/IEC 27017:2015
Completer les controles 27002 avec des recommandations specifiques au cloud (client et fournisseur).
Assessment norme
Voir nos plansExplication claire
ISO/IEC 27017 traite les zones de risque propres au cloud: separation des environnements, responsabilite partagee, administration privilegiee et securite des services virtualises.
Elle permet a l auditeur de verifier la maitrise des interfaces client/fournisseur et la gouvernance des dependances cloud.
Ce que la norme couvre
- Modeles de responsabilite partagee CSP / client.
- Controles d administration, isolation et gestion des tenants.
- Surveillance des services cloud et gestion des changements.
- Exigences de transparence contractuelle sur securite et incidents.
Ce que la norme ne couvre pas seule
- Ne remplace pas les exigences de continuite (22301) ni de gestion fournisseurs (27036).
- Doit etre completee par des exigences contractuelles et techniques internes.
- Ne traite pas a elle seule l ensemble des enjeux privacy (27701).
Livrables attendus en audit
- Matrice responsabilite partagee par service cloud critique.
- Exigences securite cloud integrees aux contrats et SLA.
- Plan de controle des acces privilegies et de supervision cloud.
Indicateurs utiles
- % de services cloud critiques avec matrice de responsabilite validee.
- % de comptes privilegies cloud couverts par MFA et revue periodique.
- Nombre d ecarts contractuels cloud non corriges.
Usage dans FIRE Auditor
- Dimension cle des modules securite technique et dependances.
- Reference pour la qualification des risques cloud dans FIRE.
- Appui aux recommandations de hardening et governance SaaS/IaaS.