ISO 27017

Che cos'è

Lo standard ISO/IEC 27017 rientra tra gli standard della serie ISO/IEC 27001 e definisce controlli avanzati sia per fornitori, sia per i clienti di servizi cloud. Chiarisce ruoli e responsabilità dei diversi attori in ambito cloud con l’obiettivo di garantire che i dati conservati in cloud computing siano sicuri e protetti.

Trattandosi di Linee guida, la norma ISO/IEC 27017 non è quindi certificabile.

Ciò nonostante,come previsto dalla circolare Accredia DC2018SSV022,  è possibile ottenere una integrazione di un certificato esistente ISO/IEC 27001 purché rilasciato da un Ente di certificazione riconosciuto, quale CSQA.

L’integrazione con la ISO 27017 è volta a dimostrare la capacità del Provider di assicurare la protezione dei dati.

CSQA è accreditato da ACCREDIA.
 

Punti chiave

Lo standard fornisce una guida per servizi cloud basata sui 37 controlli derivanti dalla ISO/IEC 27002 e su sette nuovi controlli aggiuntivi focalizzati sui seguenti punti:
  • suddivisione delle responsabilità tra fornitore e clienti dei servizi cloud;
  • rimozione / assegnazione delle attività alla cessazione di un contratto;
  • protezione e separazione degli ambienti virtuali dei diversi;
  • configurazione delle Virtual Machine;
  • attività amministrative e procedure connesse con l'ambiente cloud;
  • monitoraggio delle attività del cliente all’interno dell'ambiente cloud;
  • allineamento degli ambienti virtuale e cloud.


Vantaggi

  • Aiuta i fornitori di servizi di cloud ad affrontare gli obblighi giuridici applicabili, nonché le aspettative dei clienti.
  • Facilita la definizione di contratti di servizi cloud.
  • Migliora la trasparenza e la credibilità dei servizi cloud.
  • Aumentare la fiducia da parte dei clienti.