Certyfikacja ISO/IEC 27017 potwierdza, że Twoja organizacja stosuje odpowiednie zabezpieczenia dla usług i środowisk chmurowych zgodnie z międzynarodowym standardem. Multicert przeprowadza certyfikację ISO 27017 dla dostawców usług chmurowych (CSP) i ich klientów — jako rozszerzenie ISO 27001 lub samodzielne wdrożenie.
Co to jest ISO/IEC 27017 i czego dotyczy?
ISO/IEC 27017:2015 to międzynarodowa norma dostarczająca wytycznych dotyczących bezpieczeństwa informacji w usługach chmurowych. Rozszerza kontrolę z ISO 27002 o wymagania specyficzne dla cloud computing — definiując odpowiedzialności dostawcy i klienta chmury w zakresie bezpieczeństwa.
Norma określa dodatkowe kontrole dla dostawców usług chmurowych (np. separacja środowisk klientów, usuwanie danych po zakończeniu umowy) oraz dla klientów chmury (np. wymagania wobec CSP, konfiguracja bezpieczeństwa, monitorowanie usług). ISO/IEC 27017 działa w modelu wspólnej odpowiedzialności za bezpieczeństwo.
Korzyści z certyfikacji ISO/IEC 27017
✓Zaufanie klientów — certyfikat ISO 27017 potwierdza, że usługi chmurowe są bezpieczne; kluczowy argument dla korporacyjnych klientów oceniających dostawców cloud
✓Jasny podział odpowiedzialności — norma określa precyzyjnie, co zabezpiecza dostawca, a co klient, eliminując szare strefy w umowach
✓Zgodność z RODO w chmurze — ISO 27017 adresuje ochronę danych osobowych przetwarzanych w usługach chmurowych; uzupełnia wymagania ISO 27701
✓Wymaganie przetargowe — certyfikat ISO 27017 jest coraz częściej wymogiem w przetargach na usługi IT i chmurowe, zwłaszcza w sektorze publicznym i finansowym
✓Bezpieczeństwo migracji do chmury — norma dostarcza wytycznych dla bezpiecznej migracji danych i aplikacji do środowisk cloud
✓Integracja z ISO 27001 — wspólna struktura umożliwia łączny audyt, co obniża koszty i czas certyfikacji
Dla kogo jest certyfikacja ISO/IEC 27017?
Dostawcy usług chmurowych (CSP) — firmy oferujące IaaS, PaaS lub SaaS. Certyfikat ISO 27017 jest sygnałem dojrzałości bezpieczeństwa wobec korporacyjnych klientów, którzy oceniają i audytują dostawców.
Klienci usług chmurowych — organizacje przetwarzające dane w chmurze. Certyfikacja ISO 27017 dokumentuje dojrzałe zarządzanie bezpieczeństwem środowiska cloud po stronie klienta.
Sektor finansowy i ubezpieczeniowy — banki i instytucje finansowe stosujące chmurę wymagają certyfikacji ISO 27017 od dostawców ze względu na regulacje NIS2, DORA i wytyczne KNF.
Sektor publiczny i administracja — certyfikat ISO 27017 jest wymogiem w przetargach na chmurowe systemy informatyczne dla instytucji państwowych i samorządowych.
Jak przebiega certyfikacja ISO/IEC 27017 w Multicert?
1
Analiza wstępna i wycenaBezpłatna ocena zakresu usług chmurowych i stanu istniejącego systemu zarządzania bezpieczeństwem. Przygotowanie oferty i harmonogramu.
2
Przegląd dokumentacji (audyt etapu I)Audytor Multicert analizuje dokumentację środowiska cloud: polityki bezpieczeństwa, procedury zarządzania CSP/klientów, rejestry incydentów, konfiguracje zabezpieczeń. Wynik: lista luk do uzupełnienia.
3
Audyt certyfikujący na miejscu (audyt etapu II)Audytor weryfikuje wdrożone kontrole bezpieczeństwa środowisk chmurowych, procedury monitorowania i obsługi incydentów, mechanizmy separacji danych klientów. Wynik: raport z audytu.
4
Decyzja certyfikacyjna i wydanie certyfikatuPo usunięciu niezgodności jednostka certyfikująca wydaje certyfikat ISO/IEC 27017 ważny 3 lata.
5
Nadzór i recertyfikacjaRoczne audyty nadzoru. Po 3 latach recertyfikacja.
FAQ — Certyfikacja ISO/IEC 27017
Czym jest ISO/IEC 27017?
ISO/IEC 27017:2015 to międzynarodowa norma dostarczająca wytycznych bezpieczeństwa informacji specyficznych dla usług chmurowych. Rozszerza kontrolę z ISO 27002 o wymagania dla dostawców i klientów chmury, definiując zasady wspólnej odpowiedzialności za bezpieczeństwo.
Czy ISO 27017 wymaga posiadania ISO 27001?
ISO 27017 został zaprojektowany jako uzupełnienie ISO 27001 i ISO 27002. Certyfikacja ISO 27017 jest najczęściej przeprowadzana łącznie z ISO 27001. Multicert oferuje audyt zintegrowany obejmujący oba standardy.
Jaka jest różnica między ISO 27017 a ISO 27018?
ISO 27017 dotyczy szeroko pojętego bezpieczeństwa informacji w chmurze. ISO 27018 skupia się konkretnie na ochronie danych osobowych (PII) przetwarzanych w chmurze publicznej. Obie normy mogą być wdrożone i certyfikowane równocześnie.
Ile trwa certyfikacja ISO/IEC 27017?
Dla firm posiadających ISO 27001 — zazwyczaj 1–2 miesiące (audyt rozszerzający). Dla nowych wdrożeń — 3–6 miesięcy.
Jak długo ważny jest certyfikat ISO/IEC 27017?
Certyfikat jest ważny 3 lata z rocznymi audytami nadzoru potwierdzającymi utrzymanie systemu.