Multicert
Bezpieczeństwo informacji w chmurze

Certyfikacja ISO/IEC 27017

Realizowane z międzynarodową jednostką akredytowaną
W skrócie

ISO/IEC 27017:2015 to kodeks postępowania dla kontroli bezpieczeństwa informacji w usługach chmurowych — rozszerzenie ISO 27001 dla dostawców usług chmurowych (CSP, SaaS, hosting) i organizacji korzystających z chmury. Realizujemy proces certyfikacji ISO 27017 zwykle łącznie z ISO 27001. Certyfikat wystawia międzynarodowa jednostka partnerska.

Definicja

Czym jest ISO/IEC 27017?

ISO/IEC 27017:2015 to międzynarodowy kodeks postępowania dla kontroli bezpieczeństwa informacji w usługach chmurowych. Stanowi rozszerzenie ISO/IEC 27002 — dodaje 37 nowych kontroli specyficznych dla chmury (architektura wirtualizacji, separacja klientów, monitorowanie operacji) oraz 7 rozszerzeń specyficznych dla chmury istniejących kontroli ISO 27002.

Adresowany jest zarówno do dostawców usług chmurowych (Cloud Service Providers — CSP), jak i do organizacji korzystających z chmury (Cloud Service Customers). Reguluje podział odpowiedzialności (shared responsibility model), wymagania transparentności i rejestrowania zdarzeń, separację środowisk wielu klientów (multi-tenant). ISO 27017 wymaga wcześniejszego wdrożenia ISO 27001 — najczęściej certyfikowane razem w jednym audycie zintegrowanym.

Pełna nazwa
ISO/IEC 27017:2015 — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
Sektor
Dostawcy usług chmurowych (CSP), SaaS, hosting, organizacje korzystające z chmury
Status
Rozszerzenie ISO 27001 — wymaga wdrożonego SZBI
Kluczowy fokus
37 dodatkowych kontroli + 7 rozszerzeń specyficznych dla chmury ponad ISO 27002
Wymagania

Wybrane kontrole CLD ISO 27017.

  • CLD.6.3

    Relacja klient–dostawca chmury

    Podział odpowiedzialności (shared responsibility model), umowy SLA, ograniczenia jurysdykcyjne.

  • CLD.8.1

    Zarządzanie aktywami w chmurze

    Identyfikacja danych klienta, klasyfikacja, zwrot lub usunięcie po zakończeniu umowy.

  • CLD.9.5

    Segregacja środowisk klientów

    Logiczna i fizyczna separacja zasobów klientów (multi-tenant security).

  • CLD.12.1

    Bezpieczeństwo operacyjne

    Monitorowanie środowisk wirtualizacji, hardening hypervisor, izolacja procesów.

  • CLD.12.4

    Logowanie i monitoring

    Dostęp klientów do logów dotyczących ich danych, transparentność operacji administracyjnych.

Proces

Proces certyfikacji w pięciu krokach.

  1. 01 1 dzień

    Zapytanie + wycena

    Krótka rozmowa o zakresie (typ usługi cloud — IaaS/PaaS/SaaS, regiony, certyfikat ISO 27001 jako wymóg wstępny). Bezpłatna wycena w 2h.

  2. 02 3–5 dni

    Umowa + plan auditu

    Podpisanie umowy, dobór zespołu audytorskiego z kompetencjami cloud security.

  3. 03 1–2 dni

    Audyt etapu 1

    Przegląd dokumentacji ISO 27001 + 37 kontroli ISO 27017 — zwykle zdalnie.

  4. 04 2–4 dni

    Audyt etapu 2

    Audyt certyfikacyjny — wizja architektury, separacji środowisk, procedur operacyjnych. Często łączony z auditem ISO 27001.

  5. 05 2–3 tyg.

    Wystawienie certyfikatu

    Decyzja certyfikacyjna i wystawienie certyfikatu przez międzynarodową jednostkę akredytowaną.

FAQ

Najczęstsze pytania.

Co to jest ISO 27017?

ISO/IEC 27017:2015 to międzynarodowy kodeks postępowania dla kontroli bezpieczeństwa informacji w usługach chmurowych. Stanowi rozszerzenie ISO/IEC 27002 — dodaje 37 nowych kontroli specyficznych dla chmury i 7 rozszerzeń (cloud-specific extensions) istniejących kontroli. Adresowany do dostawców usług chmurowych (CSP) oraz organizacji korzystających z chmury.

Czy mogę certyfikować ISO 27017 bez ISO 27001?

Nie — ISO 27017 jest rozszerzeniem ISO 27001/27002. Najpierw musisz mieć wdrożony i certyfikowany SZBI wg ISO 27001, potem rozszerzasz go o kontrole ISO 27017. Audyty zwykle wykonuje się jako jeden zintegrowany audit (ISO 27001 + 27017 + opcjonalnie 27018).

Czym ISO 27017 różni się od ISO 27018?

ISO 27017 = kontrole bezpieczeństwa informacji w chmurze (architektura, separacja, operacje). ISO 27018 = ochrona danych osobowych (PII) w chmurze publicznej (zgodność z RODO/GDPR). Często certyfikowane razem przez tych samych dostawców cloud.

Czy ISO 27017 jest wymagana przez dużych klientów korporacyjnych?

Coraz częściej — wielu klientów korporacyjnych (banki, telekomy, sektor publiczny) wymaga w postępowaniach przetargowych certyfikatu ISO 27017 obok ISO 27001. Standard de facto dla profesjonalnych dostawców chmury (AWS, Azure, GCP — wszyscy posiadają).

Pogłębienie tematu

Pogłębienie wiedzy

Blog

Blog Multicert

39+ artykułów eksperckich o certyfikacji ISO, wyrobach CE, CPR i regulacjach UE.

 Interpretacja

Interpretacje normatywne

Praktyczne interpretacje norm wyrobów — luki, klasyfikacje, ścieżki certyfikacji.

 Program

Programy autorskie Multicert

10 dedykowanych programów branżowych — hotele, AI, FM, sport, e-commerce.
Bezpłatna wycena w 2h

Wyceń certyfikację — Certyfikacja ISO/IEC 27017.

Doradczyni Klienta oddzwoni z konkretną wyceną w ciągu 2 godzin w godzinach pracy. Audyt prowadzi Multicert; certyfikat wystawia międzynarodowa jednostka akredytowana.

Pełnomocnik Klienta

Małgorzata Nowakowska

Bezpieczeństwo informacji — ISO 27xxx

+48 508 354 190 malgorzata.nowakowska@multicert.pl
Wyceń certyfikację
Zadzwoń Bezpłatna wycena