Certificare ISO 27017
ISO/IEC 27017 este un standard internațional care stabilește controale specifice de securitate a informațiilor pentru calculul în cloud. Acesta aprofundează și extinde controalele generale ale ISO/IEC 27002, adăugând șapte măsuri de securitate noi, unice mediului cloud, și ghiduri extinse de implementare pentru încă treizeci și șapte de controale în contextul furnizării și utilizării serviciilor cloud. Standardul se adresează atât furnizorilor de servicii cloud (CSP — Cloud Service Providers), cât și clienților lor — consumatorilor de servicii cloud (CSC — Cloud Service Customers).
Imperium Certific este un organism de certificare acreditat NAAU. Efectuăm audituri de certificare conform cerințelor DSTU EN ISO/IEC 27017:2022 (EN ISO/IEC 27017:2021, IDT; ISO/IEC 27017:2015, IDT) ca extindere a scope-ului certificării ISO/IEC 27001.
Important de înțeles: ISO/IEC 27017 este prin natura sa un cod de bune practici (code of practice), nu un standard de cerințe (requirements). Nu există o certificare independentă pentru ISO 27017 — singurul standard de certificare din seria 27000 rămâne ISO/IEC 27001. Certificarea ISO 27017 se obține prin extinderea scope-ului auditului ISO/IEC 27001 cu includerea controalelor 27017 în Statement of Applicability. Această practică este standardul industriei — conform acestui model sunt certificate Microsoft Azure, AWS, Google Cloud, Oracle, Salesforce și alți furnizori cloud de top din lume.
Cui se adresează certificarea ISO 27017
Standardul ISO/IEC 27017 se aplică oricărei organizații care furnizează sau utilizează servicii de calcul în cloud. Certificarea este în mod special relevantă pentru:
Furnizori de servicii cloud (CSP)
— provideri SaaS, PaaS, IaaS, platforme cloud, servicii BaaS și FaaS
Centre de date și furnizori de hosting
— colocare, servere dedicate, centre de date virtuale, locații edge
Dezvoltatori de soluții SaaS cloud
— CRM, ERP, HRM, platforme medicale, sisteme educaționale, servicii fintech
Companii MSP și MSSP
— servicii gestionate, securitate de rețea ca serviciu, SOC-as-a-Service, gestionarea infrastructurii cloud
Integratori și brokeri de servicii cloud
— companii care proiectează arhitecturi multi-cloud, revând servicii cloud, gestionează migrarea
Consumatori de servicii cloud (CSC)
— instituții financiare, organizații medicale, întreprinderi de stat și companii care migrează sarcini critice în cloud și trebuie să demonstreze un control adecvat asupra riscurilor cloud
Orice organizație
— care transmite, stochează sau procesează informații în medii cloud și are nevoie de o abordare sistemică a securității la interfața cu furnizorul
Beneficiile certificării ISO 27017
Certificarea ISO 27017 este un răspuns sistemic la riscurile specifice ale calculului în cloud, care nu sunt acoperite de controalele generale ale ISO 27001.
-
Acoperirea riscurilor specifice cloud-ului — standardul adaugă șapte controale speciale pentru mediul cloud (segregarea în medii de calcul virtuale, întărirea securității mașinilor virtuale, monitorizarea serviciilor cloud, alinierea securității rețelelor virtuale și fizice etc.), plus ghiduri extinse de implementare pentru treizeci și șapte de controale ISO/IEC 27002 în contextul cloud
-
Distribuirea clară a responsabilităților CSP ↔ CSC — standardul formalizează modelul shared responsibility, eliminând zeci de potențiale dispute între furnizor și client încă din etapa contractuală. Fiecare parte știe clar ce controale implementează independent și ce controale sunt în parteneriat
-
Avantaj competitiv în licitațiile corporative și internaționale — băncile, asigurătorii, instituțiile medicale și companiile din UE includ tot mai des cerința de conformitate ISO 27017 în documentația de licitație pentru servicii cloud. Fără acest certificat, furnizorul riscă să nu intre pe lista scurtă
-
Pregătire pentru cerințele europene de reglementare — standardul este fundamentul pentru conformitatea EUCS (European Cybersecurity Certification Scheme for Cloud Services), pentru cerințele Directivei NIS2, precum și pentru procesarea datelor cu caracter personal conform GDPR, în combinație cu ISO/IEC 27018
-
Creșterea încrederii clienților și partenerilor — certificatul este dovada publică că organizația gestionează profesionist amenințările cloud specifice: compromiterea hipervizorului, accesul neautorizat între tenanți, răspândirea necontrolată a privilegiilor administrative, riscurile de ștergere sigură a datelor în infrastructura multi-tenant
-
Integrare cu ISO 27001 fără duplicarea documentației — deoarece ISO 27017 este construit pe baza ISO/IEC 27002 și se certifică ca extindere a scope-ului ISO 27001, munca documentară suplimentară este minimă. Controalele 27017 se integrează organic în SMSI-ul existent prin Statement of Applicability
Comandă certificare
Procesul de certificare ISO 27017
Certificarea ISO/IEC 27017 se efectuează ca add-on assessment în cadrul auditului de certificare ISO/IEC 27001 și respectă cerințele ISO/IEC 17021-1 și ale acreditării NAAU.
Etapa 1 — Cerere și definirea scope-ului — Organizația depune cererea de certificare ISO 27001 cu extinderea scope-ului conform ISO 27017. Analizăm arhitectura serviciilor cloud, modelele de furnizare (SaaS/PaaS/IaaS), rolurile CSP și CSC în scope-ul SMSI, numărul de tenanți, geografia centrelor de date și amploarea infrastructurii cloud pentru a determina complexitatea auditului.
Etapa 2 — Auditul de etapa 1 (revizuirea documentației) — Verificarea pregătirii SMSI și a controalelor cloud: politica de securitate a informațiilor în contextul cloud, evaluarea riscurilor cloud, Statement of Applicability cu controalele ISO 27017 incluse, modelul contractual cu clienții și subcontractanții, procedurile de gestionare a infrastructurii virtuale.
Etapa 3 — Auditul de etapa 2 (la fața locului) — Echipa de auditori verifică funcționarea practică a controalelor 27017: segregarea mediilor virtuale, întărirea imaginilor VM, monitorizarea serviciilor cloud, alinierea securității rețelelor virtuale și fizice, ștergerea sigură a activelor clienților, securitatea operațională a administratorilor, alinierea securității între CSP și CSC.
Etapa 4 — Decizia de certificare — Pe baza rezultatelor auditului se întocmește un raport. Decizia de eliberare a certificatului se ia independent de echipa de audit, asigurând imparțialitatea.
Etapa 5 — Eliberarea certificatului — Se emite certificatul ISO/IEC 27001 cu indicația explicită în declarația de scope că SMSI include controalele ISO/IEC 27017:2015. Certificatul este valabil 3 ani. Informațiile de certificare sunt înregistrate în registru.
Etapa 6 — Audituri de supraveghere — Auditurile anuale de supraveghere confirmă funcționarea continuă a controalelor 27017 în cadrul SMSI. Auditul de recertificare se efectuează înainte de expirarea certificatului.
Costul certificării ISO 27017
Costul certificării ISO 27017 se adaugă la costul de bază al certificării ISO 27001 și se determină individual, pe baza unei analize preliminare.
Factori care influențează costul:
Calculează costul →
Calculează costul
Completează un chestionar scurt — vom pregăti o ofertă pentru afacerea ta
Documente pentru certificarea ISO 27017
Pe lângă pachetul standard de documente pentru ISO 27001, organizația trebuie să pregătească suplimentar:
- — 1. Descrierea arhitecturii serviciilor cloud și a modelelor de furnizare
- — 2. Descrierea distribuirii rolurilor CSP și CSC în scope-ul SMSI
- — 3. Statement of Applicability cu controalele ISO/IEC 27017 incluse
- — 4. Contractele de servicii cloud cu clienții (cloud service agreements)
- — 5. Procedurile de gestionare a infrastructurii virtuale și a hipervizoarelor
- — 6. Politica de segregare a mediilor de calcul virtuale
- — 7. Procedurile de întărire a securității mașinilor virtuale (VM hardening)
- — 8. Procedurile de monitorizare a serviciilor cloud și de înregistrare a evenimentelor
- — 9. Politica de securitate operațională a administratorilor serviciilor cloud
- — 10. Procedura de ștergere sigură a activelor clienților după încheierea colaborării
- — 11. Registrul subcontractanților și documentele privind gestionarea lanțului serviciilor cloud
- — 12. Documentația privind alinierea securității rețelelor virtuale și fizice
Obține cererea de certificare ISO 27017 →
Надіслати заявкуFAQ
Nu. ISO/IEC 27017 este prin natura sa un cod de bune practici (code of practice), nu un standard de certificare — lipsește cuvântul „Requirements" (Cerințe) din titlul său. Singurul standard de certificare din seria 27000 rămâne ISO/IEC 27001. Certificarea ISO 27017 se obține ca extindere a scope-ului certificării ISO/IEC 27001 — controalele 27017 sunt adăugate în Statement of Applicability, iar declarația de scope a certificatului este formulată în formatul „in accordance with ISO/IEC 27001:2022 with controls from ISO/IEC 27017:2015". Această practică este standardul industriei — conform acestui model sunt certificați toți furnizorii cloud de top din lume.
ISO/IEC 27017 stabilește controale de securitate a informațiilor pentru servicii cloud în general și se adresează atât furnizorilor cloud, cât și consumatorilor de servicii cloud. ISO/IEC 27018 este un standard specializat care se concentrează specific pe protecția datelor cu caracter personal (PII) procesate în cloud-uri publice și se adresează în primul rând furnizorilor care acționează ca procesatori de PII. Ambele standarde completează ISO/IEC 27001 și se certifică adesea împreună — ca un ecosistem unic de controale pentru afacerile cloud: 27001 (baza SMSI) + 27017 (securitate cloud) + 27018 (protecția PII în cloud).
Da. ISO/IEC 27017 este construit ca o extindere a ISO/IEC 27001 și ISO/IEC 27002 — nu poate exista independent de sistemul de bază de management al securității informațiilor. Certificarea ISO 27017 se efectuează exclusiv în cadrul certificării ISO 27001: fie simultan cu auditul inițial 27001 (pentru organizațiile care abia implementează un SMSI), fie ca extindere a scope-ului unui certificat 27001 valid (pentru organizațiile care au deja un SMSI confirmat și adaugă controale cloud).
Sau scrie-ne chiar acum
Vom reveni cu un apel în timpul zilei de lucru