ISO 27017
Bezpieczeństwo Informacji w Chmurze
Czym jest ISO 27017?
ISO/IEC 27017 to międzynarodowa norma stanowiąca rozszerzenie ISO 27001, która koncentruje się na bezpieczeństwie informacji w środowiskach chmurowych. Zawiera dodatkowe wytyczne zarówno dla dostawców usług chmurowych, jak i ich użytkowników, pomagając zabezpieczać dane przetwarzane w modelach SaaS, PaaS, IaaS.
Norma została stworzona w odpowiedzi na rosnące wykorzystanie chmury i potrzebę ustandaryzowania zabezpieczeń związanych z tym modelem dostarczania usług IT.
Co obejmuje ISO 27017?
ISO 27017 zawiera:
- dobre praktyki w zakresie zarządzania ryzykiem w chmurze,
- zalecenia dotyczące kontroli dostępu do zasobów chmurowych,
- zasady bezpiecznego przechowywania, szyfrowania i usuwania danych,
- wskazówki dotyczące roli i odpowiedzialności między dostawcą a klientem (np. kto za co odpowiada w zakresie bezpieczeństwa),
- wymagania dotyczące monitorowania incydentów i reagowania na nie w środowisku chmurowym.
Norma obejmuje 37 szczegółowych kontrol (środków bezpieczeństwa), które uzupełniają ISO 27001.
Dla jakiej branży jest ISO 27017?
ISO 27017 przeznaczona jest dla:
- firm dostarczających usługi chmurowe (SaaS, PaaS, IaaS, infrastruktura),
- organizacji, które przechowują dane w chmurze i chcą mieć pewność, że ich bezpieczeństwo jest odpowiednio zarządzane,
- software house’ów, które budują rozwiązania chmurowe dla klientów B2B,
- instytucji korzystających z chmury do obsługi danych osobowych, finansowych, medycznych.
Jakie korzyści płyną z wdrożenia ISO 27017?
Większe bezpieczeństwo danych przechowywanych w chmurze
Jasny podział odpowiedzialności między klientem a dostawcą chmury (np. Amazon Web Services, Microsoft Azure)
Minimalizacja ryzyka związanego z błędną konfiguracją lub nieautoryzowanym dostępem,
Lepsze przygotowanie na audyt zewnętrzny lub wymagania regulatorów (np. RODO, DORA, NIS2)
Przewaga konkurencyjna w ofertowaniu rozwiązań opartych na chmurze
Etapy wdrożenia ISO 27017
Analiza obecnego środowiska chmurowego
– identyfikacja zasobów, danych i punktów wrażliwych.
Ocena ryzyka i dobór zabezpieczeń
– dostosowanie 37 kontroli ISO 27017 do infrastruktury chmurowej.
Ustalenie odpowiedzialności i polityk bezpieczeństwa
– np. kto zarządza kopiami zapasowymi, kto nadzoruje dostęp do danych.
Szkolenie zespołu IT i użytkowników
– bezpieczne korzystanie z usług chmurowych, reagowanie na incydenty.
Integracja z ISO 27001 (jeśli już wdrożona)
– wspólny system zarządzania bezpieczeństwem informacji (ISMS).
Najczęściej zadawane pytania
Czy ISO 27017 jest obowiązkowe?
Nie, ale coraz częściej oczekiwane przez klientów korporacyjnych, szczególnie gdy firma przetwarza wrażliwe dane w chmurze.
Czy potrzebuję ISO 27001, aby wdrożyć ISO 27017?
Tak, ISO 27017 to rozszerzenie ISO 27001, więc wdraża się je razem lub jako uzupełnienie istniejącego systemu bezpieczeństwa informacji.
Dla jakich platform chmurowych działa ISO 27017?
Norma jest neutralna technologicznie można ją wdrożyć niezależnie od tego, czy korzystasz z AWS, Azure, Google Cloud, OVH czy innego dostawcy.
Czy norma obejmuje backupy i kasowanie danych w chmurze?
Tak, ISO 27017 precyzuje, jak bezpiecznie tworzyć kopie zapasowe oraz trwale usuwać dane z zasobów chmurowych.
Wyceń projekt
Dane kontaktowe
