ISO/IEC 27017:2015 jest międzynarodowym kodeksem postępowania (Code of practice) dla kontroli bezpieczeństwa informacji w usługach chmurowych. Stanowi rozszerzenie ISO/IEC 27001 — nie zastępuje go, lecz dodaje 37 specyficznych kontroli istotnych w kontekście przetwarzania w chmurze. Standard adresowany jest jednocześnie do dostawców usług chmurowych (CSP — Cloud Service Provider) oraz klientów usług chmurowych (CSC — Cloud Service Customer), z odrębnymi obowiązkami dla każdej z tych ról.
W kontekście rosnącej presji regulacyjnej UE (NIS2, DORA, AI Act) — ISO/IEC 27017 stała się standardową odpowiedzią rynku dla CSP obsługujących dużych klientów korporacyjnych oraz dla organizacji wykorzystujących chmurę w procesach krytycznych.
Niniejszy artykuł nie zawiera oferty handlowej. Pełna wycena audytu zgodności jest sporządzana indywidualnie po analizie zakresu działalności, zgodnie z praktyką branżową wszystkich akredytowanych jednostek certyfikujących.
Relacja ISO 27017 vs ISO 27001 vs ISO 27018
Trzy normy tworzą standardową triadę dla CSP i klientów chmury:
| Norma | Co reguluje | Status |
|---|---|---|
| ISO/IEC 27001:2022 | System zarządzania bezpieczeństwem informacji (ISMS) | Norma certyfikowalna (samodzielna) |
| ISO/IEC 27017:2015 | Kontrole bezpieczeństwa chmury (uzupełnienie 27001) | Kodeks postępowania (wymaga 27001) |
| ISO/IEC 27018:2019 | Ochrona danych osobowych (PII) w chmurze | Kodeks postępowania (wymaga 27001) |
Praktyka rynkowa: CSP z najwyższej półki audytuje wszystkie trzy w zintegrowanym audycie. Po pomyślnej decyzji — trzy oddzielne certyfikaty z tą samą datą i cyklem 3-letnim.
Struktura ISO/IEC 27017
Norma jest podzielona na dwie kategorie kontroli:
Kategoria 1: 30 kontroli z ISO 27001 z dodatkowymi wytycznymi dla chmury
Standardowe kontrole z Annex A ISO 27001 są rozszerzone o specyficzne dla chmury wytyczne wdrożeniowe. Przykłady:
- A.5.15 Kontrola dostępu — wytyczne dla zarządzania uprawnieniami w środowisku wielodostępnym (multi-tenant)
- A.5.23 Bezpieczeństwo informacji w usługach chmurowych — formalizacja relacji CSP-CSC
- A.8.1 Zarządzanie aktywami — inwentaryzacja aktywów w środowisku rozproszonym
- A.8.13 Kopie zapasowe informacji — wymagania dla modelu współdzielonej odpowiedzialności
- A.8.16 Działania monitorowania — rejestrowanie zdarzeń w chmurze z perspektywy CSP i CSC
Kategoria 2: 7 kontroli specyficznych tylko dla chmury (CLD.x.x.x)
Te kontrole nie istnieją w bazowym ISO 27001 — są dodane wyłącznie w ISO 27017:
| Kontrola | Tytuł | Zakres |
|---|---|---|
| CLD.6.3.1 | Współdzielona odpowiedzialność | Definicja ról CSP vs CSC, przypisanie odpowiedzialności |
| CLD.8.1.5 | Usuwanie aktywów chmury po zakończeniu umowy | Procedury usuwania danych przy migracji / zakończeniu |
| CLD.9.5.1 | Segregacja środowisk wirtualnych | Izolacja środowisk wielodostępnych, bezpieczeństwo hipernadzorcy |
| CLD.9.5.2 | Wzmocnienie maszyn wirtualnych | Utwardzanie maszyn wirtualnych i kontenerów, obrazy referencyjne |
| CLD.12.1.5 | Zarządzanie operacjami administracyjnymi | Dostęp uprzywilejowany do infrastruktury chmury |
| CLD.12.4.5 | Monitorowanie usług chmury | Rejestrowanie zdarzeń i alerty z perspektywy CSP |
| CLD.13.1.4 | Wirtualne środowiska sieciowe | Segmentacja sieciowa w chmurze (VPC, grupy zabezpieczeń) |
Współdzielona odpowiedzialność (model współdzielonej odpowiedzialności)
Najważniejszą koncepcją wprowadzoną przez ISO 27017 jest udokumentowany model współdzielonej odpowiedzialności między CSP a CSC. Norma wymaga formalizacji:
Po stronie CSP (Cloud Service Provider):
- Bezpieczeństwo fizyczne centrum danych (zgodność z ISO 27001 + ewentualnie EN 50600)
- Bezpieczeństwo infrastruktury (sieć, hipernadzorca, pamięć masowa)
- Bezpieczeństwo platformy operacyjnej (system operacyjny dla IaaS, środowisko uruchomieniowe dla PaaS, aplikacja dla SaaS — zależnie od modelu)
- Rejestrowanie zdarzeń i monitorowanie infrastruktury
- Zarządzanie tożsamością administratorów CSP
Po stronie CSC (Cloud Service Customer):
- Konfiguracja zabezpieczeń aplikacji (grupy zabezpieczeń, listy kontroli dostępu, polityki dostępu)
- Zarządzanie tożsamością użytkowników końcowych (IAM, MFA, SSO)
- Klasyfikacja i ochrona danych klienta (zarządzanie kluczami szyfrującymi)
- Zgodność z regulacjami dotyczącymi przetwarzanych danych (RODO, sektorowe)
- Tworzenie i odtwarzanie kopii zapasowych z perspektywy aplikacji
Granica odpowiedzialności zależy od modelu chmury:
- IaaS: CSP odpowiada za infrastrukturę, CSC za wszystko powyżej systemu operacyjnego
- PaaS: CSP odpowiada za infrastrukturę + platformę, CSC za aplikację i dane
- SaaS: CSP odpowiada za wszystko poza danymi klienta i konfiguracją jego środowiska
Powiązanie z regulacjami UE
ISO/IEC 27017 nie jest formalnie wymagana przez żadną dyrektywę UE, ale stanowi standardową odpowiedź rynku na ich wymagania:
NIS2 (Dyrektywa 2022/2555)
Dla CSP klasyfikowanych jako podmioty kluczowe lub podmioty ważne dyrektywa NIS2 (2022/2555) wymaga (art. 21) udokumentowanego systemu zarządzania ryzykiem cyberbezpieczeństwa. ISO 27001 + ISO 27017 jest najczęstszym wyborem dokumentującym te wymagania.
DORA (Rozporządzenie 2022/2554)
Dla sektora finansowego rozporządzenie DORA (2022/2554) wymaga (art. 28-30) oceny ryzyka dostawców usług teleinformatycznych (ICT) — w tym CSP. Posiadanie certyfikatu ISO/IEC 27017 przez CSP istotnie upraszcza procedurę oceny ryzyka po stronie banku/ubezpieczyciela. Brak tego certyfikatu wymaga samodzielnej, kosztownej weryfikacji.
RODO
Dla CSP przetwarzających dane osobowe klientów ISO 27017 + ISO 27018 dokumentuje zgodność z art. 28 RODO (rozporządzenie 2016/679) (umowa o przetwarzanie powierzone) oraz art. 32 (środki bezpieczeństwa).
AI Act (Rozporządzenie 2024/1689)
Dla CSP oferujących usługi AI lub hostujących systemy AI klientów wysokiego ryzyka — w rozumieniu aktu w sprawie sztucznej inteligencji (rozporządzenie 2024/1689) — ISO 27017 stanowi część zestawu standardów obok ISO 42001 (system zarządzania AI).
Audyt zgodności — co weryfikujemy
1. Dokumentacja systemu (rozszerzenie ISMS o elementy specyficzne dla chmury)
- Polityka bezpieczeństwa chmury (rozszerzenie polityki ISMS)
- Deklaracja stosowania (SoA) z przypisaniem 37 kontroli ISO 27017
- Procedury dla każdej kontroli CLD.x.x.x
- Podręcznik relacji CSP-CSC z modelu współdzielonej odpowiedzialności
- Dokumentacja architektury chmury (single-tenant vs multi-tenant)
2. Wdrożenie techniczne
- Konfiguracja zabezpieczeń infrastruktury (grupy zabezpieczeń, listy NACL, polityki IAM)
- Utwardzanie maszyn wirtualnych i kontenerów (zgodność z konfiguracjami referencyjnymi)
- Szyfrowanie danych w spoczynku i w trakcie przesyłania (klucze, algorytmy, zarządzanie kluczami)
- Izolacja środowisk wielodostępnych (bezpieczeństwo hipernadzorcy, segmentacja sieci)
- Rejestrowanie zdarzeń i monitorowanie (CloudTrail, GuardDuty lub odpowiedniki dla każdej chmury)
3. Procesy operacyjne
- Reagowanie na incydenty z przypisaniem odpowiedzialności CSP vs CSC
- Zarządzanie zmianą dla zmian infrastruktury
- Kopie zapasowe + odtwarzanie po awarii (Disaster Recovery) z testami przywracania
- Zarządzanie dostępem uprzywilejowanym (PAM) dla administratorów CSP
4. Zgodność z umowami CSC
- Wzory SLA + DPA z klauzulami ISO 27017
- Procedury lokalizacji danych (gdzie fizycznie przechowywane są dane)
- Procedura usuwania danych przy zakończeniu umowy
- Procedura powiadamiania o zdarzeniach bezpieczeństwa
Co napędza cenę audytu
1. Skala CSP
- Mały SaaS (do 50 klientów, 1 produkt, infrastruktura na hiperskalerze): zakres podstawowy
- Średni CSP (50-500 klientów, kilka produktów, chmura mieszana): cykl rozszerzony
- Duży CSP (500+ klientów korporacyjnych, własna infrastruktura, wiele regionów): pełen zakres
- Hiperskaler regionalny: audyt rozbudowany z walidacją wielodostępności
2. Model usługi i zakres
- SaaS pojedynczy produkt: zakres bazowy (SoA z ~30 kontroli)
- SaaS portfel (kilka produktów): rozszerzony zakres
- PaaS lub IaaS: pełen zakres 37 kontroli + walidacja wirtualizacji
- Wiele chmur / chmura hybrydowa: dodatkowa walidacja dla każdej chmury
3. Liczba lokalizacji infrastruktury
- 1 region chmury → cena bazowa
- 2-3 regiony → próbkowanie wg IAF MD 1, rabat skali
- Globalna obecność w wielu regionach → audyt z walidacją dla każdego regionu
4. Posiadana dokumentacja wstępna
CSP posiadające już wdrożone:
- ISO 27001 (ISMS bazowy)
- SOC 2 Type II (kontrole operacyjne)
- ISO 27018 (ochrona PII)
- ISO 22301 (BCM)
- ISO 50001 (energia DC własnych)
…mają krótszy cykl (audyt zintegrowany).
5. Branża klientów docelowych
- Standardowi klienci komercyjni (SaaS dla firm): zakres bazowy
- Sektor finansowy regulowany (DORA): rozszerzona walidacja
- Sektor publiczny / obronny: walidacja zgodności z dodatkowymi normami
- Sektor medyczny (HIPAA, MDR): walidacja przetwarzania danych medycznych
Procedura uzyskania wyceny
Multicert nie publikuje sztywnego cennika — formalna wycena wymaga analizy CSP. Praktyczny tryb postępowania:
- Zapytanie wstępne przez formularz kontaktowy
- Bezpłatna konsultacja — przegląd profilu CSP, omówienie zakresu, identyfikacja właściwych kodów EA
- Pisemna oferta indywidualna w 2 godziny w godzinach pracy — szczegółowy harmonogram, pełna kalkulacja w 3-letnim cyklu, opcje pakietowe z ISO 27001 / ISO 27018 / ISO 22301
- Decyzja klienta bez zobowiązań
Akredytacja jednostki certyfikującej
Multicert posiada akredytację PCA AC 210 (ISO/IEC 17065) oraz partnerstwo z ČIA 150/2025 dla wybranych systemów ISO. Certyfikację ISO/IEC 27017 — jako rozszerzenie certyfikatu ISO/IEC 27001 — prowadzi w tym modelu LL-C Polska. Status weryfikowalny w publicznym rejestrze pca.gov.pl.
Dotacje publiczne
Część kosztów certyfikacji może podlegać refundacji:
- PARP — Krajowy Fundusz Szkoleniowy (KFS): do 80% kosztu szkoleń
- FENG 2027: refundacja kosztu certyfikacji bezpieczeństwa dla mikro i małych przedsiębiorstw IT/SaaS
- Programy NCBR: dedykowane technologiom bezpieczeństwa cybernetycznego
- Bony na cyfryzację PARP: w wybranych edycjach obejmują wdrożenie zabezpieczeń chmury
Multicert pomaga w identyfikacji właściwego programu w ramach wstępnej konsultacji.
Podsumowanie
ISO/IEC 27017 jest standardową odpowiedzią rynku dla CSP i klientów chmury na rosnącą presję regulacyjną UE (NIS2, DORA, AI Act). Stanowi rozszerzenie ISO/IEC 27001 o 37 specyficznych kontroli, w tym 7 kontroli wyłącznie dla chmury (CLD.x.x.x) — z formalizacją modelu współdzielonej odpowiedzialności CSP-CSC. Audyt zintegrowany ISO 27001 + ISO 27017 + ISO 27018 + ISO 22301 jest standardem rynkowym dla CSP obsługujących dużych klientów korporacyjnych.
Kontakt
Renata Wojnowska · Doradca ds. certyfikacji · +48 730 668 341 · renata.wojnowska@multicert.pl
Pełne informacje: Certyfikacja ISO/IEC 27017
Powiązane artykuły:
- Certyfikat ISO 27001 — jak chronić dane
- Nowa-stara norma ISO 27001:2022
- ISO 27001 dla małej firmy IT i startupu SaaS
- NIS2 obowiązuje, Polska spóźniona
- Pełen przewodnik po ISO/IEC 27017 — iso-certyfikacja.pl (rozszerzona dokumentacja techniczna i przykłady wdrożeń CSP)
Najczęstsze pytania
Czy ISO/IEC 27017 zastępuje ISO 27001? +
Kto powinien wdrożyć ISO/IEC 27017? +
Czym ISO/IEC 27017 różni się od ISO/IEC 27018? +
Co napędza koszt audytu? +
Jak otrzymać konkretną wycenę? +
Czy ISO/IEC 27017 jest wymagana przez NIS2 / DORA? +
Czy są dotacje na certyfikację? +
Autor artykułu
Zespół Multicert
Redakcja Multicert · Akredytacja PCA AC 210
Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.