ISO/IEC 27017 هو معيار دولي يُعنى بأمن المعلومات في بيئة الحوسبة السحابية، ويوفر إرشادات متخصصة لمزودي ومستخدمي الخدمات السحابية لضمان حماية البيانات والمعلومات أثناء تخزينها أو معالجتها عبر الإنترنت.
يُعتبر هذا المعيار مكملًا لمعيار ISO/IEC 27001، حيث يُركّز بشكل خاص على التهديدات والمخاطر المرتبطة بالحوسبة السحابية، ويقدم ضوابط أمنية موجهة لحماية البنية التحتية السحابية والمعلومات المنقولة أو المخزنة عبرها.
1. تعزيز أمن المعلومات في البيئات السحابية.
2. توفير ضوابط أمنية إضافية لمقدمي ومستخدمي الخدمات السحابية.
3. حماية بيانات العملاء من الوصول غير المصرح به أو الفقد أو التلاعب.
4. دعم الامتثال للمعايير الدولية في أمن المعلومات.
5. الحد من المخاطر المرتبطة بنقل وتخزين البيانات عبر السحابة.
6. تعزيز الثقة بين مزودي الخدمة والعملاء.
1. الوضوح في المسؤوليات: تحديد مسؤوليات كل من مزود الخدمة السحابية والمستخدم.
2. التحكم في الوصول: تطبيق ضوابط دقيقة لإدارة وتقييد الوصول إلى البيانات السحابية.
3. عزل بيئات المستخدمين: ضمان فصل بيانات العملاء عن بعضهم البعض في البنية السحابية.
4. تأمين واجهات البرمجة (APIs): تأمين الأدوات المستخدمة للوصول إلى الخدمات السحابية.
5. الإدارة الفعالة للمخاطر: التعرف على التهديدات ومعالجتها ضمن بيئة السحابة.
6. الشفافية: توضيح كيفية إدارة البيانات والضوابط الأمنية في العقود بين مزودي الخدمة والعملاء.
مراجعة العقود والاتفاقيات لتوضيح المسؤوليات والالتزامات الأمنية.
تطبيق ضوابط أمنية موجهة لمزودي ومستخدمي الخدمات السحابية وفقًا للإرشادات الواردة في المعيار.
تحليل المخاطر الأمنية المرتبطة بالخدمات السحابية المستخدمة أو المقدمة.
تدريب الموظفين وتطوير قدراتهم على التعامل مع أنظمة الحوسبة السحابية بشكل آمن.
مراقبة النشاطات المشبوهة وتسجيلها وتحليلها.
تحقيق العزل الآمن بين العملاء في البيئات السحابية متعددة المستخدمين.
