Unternehmen, die Cloud-Dienste nutzen oder selbst Cloud-Dienstleistungen anbieten, beschäftigen sich früher oder später mit der ISO/IEC 27017. Diese Norm ergänzt die ISO/IEC 27001 um cloud-spezifische Sicherheitsmaßnahmen und beschreibt unter anderem die klare Rollenverteilung zwischen Cloud-Kunde und Cloud-Dienstleister, zusätzliche technische und organisatorische Maßnahmen sowie Besonderheiten bei virtuellen Umgebungen. Für Einsteiger wirkt eine zusätzliche Zertifizierung oft wie ein logischer nächster Schritt: Ein Angebot einer Zertifizierungsgesellschaft wird eingeholt, das Audit durchgeführt und anschließend ein Zertifikat ausgestellt. In der Praxis zeigt sich jedoch, dass ein entscheidender Aspekt häufig übersehen wird – die Version bzw. Ausgabe des zugrunde liegenden Standards.
Gerade im Zusammenhang mit der ISO/IEC 27017 entsteht hier ein relevantes Risiko. Neben akkreditierten Zertifizierungen existieren auch sogenannte nicht akkreditierte Zertifizierungen. In diesem nicht akkreditierten Bereich handelt es sich regelmäßig um hauseigene Zertifikate der jeweiligen Zertifizierungsgesellschaft. Der wesentliche Unterschied besteht darin, dass keine Akkreditierungsstelle vorgibt oder überwacht, welche Ausgabe eines Standards anzuwenden ist. Dadurch kann es vorkommen, dass eine Zertifizierung noch auf Basis der ISO/IEC 27017:2015 erfolgt, obwohl seit 2021 eine aktualisierte Ausgabe existiert. Für den Kunden ist das auf den ersten Blick nicht immer erkennbar. Das ausgestellte Zertifikat ist formal gültig, bestätigt jedoch die Konformität mit einer Normversion, die inhaltlich bereits mehrere Jahre alt ist. Viele Unternehmen möchten verständlicherweise kein Zertifikat erhalten, das faktisch den Stand von vor fast zehn Jahren widerspiegelt.
Die Lösung beginnt mit Aufmerksamkeit und klarer Kommunikation. Kunden sollten bereits beim Angebot ausdrücklich prüfen und hinterfragen, nach welcher Version oder Ausgabe der ISO/IEC 27017 zertifiziert werden soll. Diese Information gehört zwingend in die Abstimmung mit der Zertifizierungsgesellschaft, noch bevor ein Vertrag geschlossen wird. Wird festgestellt, dass eine ältere Ausgabe vorgesehen ist, sollte der Kunde aktiv verlangen, dass die Zertifizierung auf Basis der aktuellen Version durchgeführt wird. Damit verbunden ist allerdings auch interner Aufwand. Die bestehende Dokumentation des Managementsystems muss auf die neue Ausgabe des Standards angepasst werden. Wie umfangreich diese Anpassungen ausfallen, hängt vom Detailgrad der vorhandenen Dokumente ab und davon, ob das Unternehmen ausschließlich Cloud-Dienstleistungen nutzt oder zusätzlich selbst als Cloud-Dienstleister agiert. Sind die Dokumentation aktualisiert und alle Punkte mit der Zertifizierungsstelle abgestimmt, kann das Audit stattfinden. Bei erfolgreichem Abschluss erhält das Unternehmen ein Zertifikat, das nicht nur formell korrekt ist, sondern auch inhaltlich den aktuellen Stand des Standards widerspiegelt und damit langfristig belastbar ist.
#iso27001 #iso27017 #audit #zertifizierung #suhlingtooling