Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

ISO/IEC 27017 — kontrole bezpieczeństwa dla usług chmurowych (2026)

Przewodnik po ISO/IEC 27017 — rozszerzenie ISO 27001 dla cloud providerów (CSP) i klientów cloud. 37 kontroli specyficznych dla cloud, mapowanie na NIS2 i DORA.

Zespół Multicert 10 min czytania
ZM

Zespół Multicert

Redakcja Multicert · Akredytowana jednostka certyfikująca

ISO/IEC 27017:2015 jest międzynarodowym kodeksem postępowania (Code of practice) dla kontroli bezpieczeństwa informacji w usługach chmurowych. Stanowi rozszerzenie ISO/IEC 27001 — nie zastępuje go, lecz dodaje 37 specyficznych kontroli istotnych w kontekście cloud computing. Standard adresowany jest jednocześnie do dostawców usług chmurowych (CSP — Cloud Service Provider) oraz klientów usług chmurowych (CSC — Cloud Service Customer), z odrębnymi obowiązkami dla każdej z tych ról.

W kontekście rosnącej presji regulacyjnej UE (NIS2, DORA, AI Act) — ISO/IEC 27017 stała się standardową odpowiedzią rynku dla CSP obsługujących klientów enterprise oraz dla organizacji wykorzystujących cloud w procesach krytycznych.

Niniejszy artykuł nie zawiera oferty handlowej. Pełna wycena audytu zgodności jest sporządzana indywidualnie po analizie zakresu działalności, zgodnie z praktyką branżową wszystkich akredytowanych jednostek certyfikujących.

Relacja ISO 27017 vs ISO 27001 vs ISO 27018

Trzy normy tworzą standardową triadę dla CSP i klientów cloud:

NormaCo regulujeStatus
ISO/IEC 27001:2022System zarządzania bezpieczeństwem informacji (ISMS)Norma certyfikowalna (samodzielna)
ISO/IEC 27017:2015Kontrole bezpieczeństwa cloud (uzupełnienie 27001)Code of practice (wymaga 27001)
ISO/IEC 27018:2019Ochrona danych osobowych (PII) w cloudCode of practice (wymaga 27001)

Praktyka rynkowa: CSP premium audytuje wszystkie trzy w zintegrowanym audycie. Po pomyślnej decyzji — trzy oddzielne certyfikaty z tą samą datą i cyklem 3-letnim.

Struktura ISO/IEC 27017

Norma jest podzielona na dwie kategorie kontroli:

Kategoria 1: 30 kontroli z ISO 27001 z dodatkowymi wytycznymi dla cloud

Standardowe kontrole z Annex A ISO 27001 są rozszerzone o specyficzne dla cloud wytyczne implementacyjne. Przykłady:

  • A.5.15 Kontrola dostępu — wytyczne dla zarządzania uprawnieniami w środowisku multi-tenant cloud
  • A.5.23 Bezpieczeństwo informacji w usługach chmurowych — formalizacja relacji CSP-CSC
  • A.8.1 Zarządzanie aktywami — inwentaryzacja aktywów w środowisku rozproszonym
  • A.8.13 Backup informacji — wymagania dla shared responsibility model
  • A.8.16 Działania monitorowania — logowanie zdarzeń w cloud z perspektywy CSP i CSC

Kategoria 2: 7 kontroli specyficznych tylko dla cloud (CLD.x.x.x)

Te kontrole nie istnieją w bazowym ISO 27001 — są dodane wyłącznie w ISO 27017:

KontrolaTytułZakres
CLD.6.3.1Współdzielona odpowiedzialnośćDefinicja ról CSP vs CSC, mapowanie odpowiedzialności
CLD.8.1.5Usuwanie aktywów cloud po zakończeniu kontraktuProcedury data deletion przy migracji / zakończeniu
CLD.9.5.1Segregacja środowisk wirtualnychMulti-tenancy isolation, hypervisor security
CLD.9.5.2Wzmocnienie maszyn wirtualnychHardening VM/container, baseline images
CLD.12.1.5Zarządzanie operacjami administracyjnymiPrivileged access do infrastruktury cloud
CLD.12.4.5Monitorowanie usług cloudLogging i alerty z perspektywy CSP
CLD.13.1.4Wirtualne środowiska siecioweSegmentacja sieciowa w cloud (VPC, security groups)

Współdzielona odpowiedzialność (Shared Responsibility Model)

Najważniejszą koncepcją wprowadzoną przez ISO 27017 jest udokumentowany model współdzielonej odpowiedzialności między CSP a CSC. Norma wymaga formalizacji:

Po stronie CSP (Cloud Service Provider):

  • Bezpieczeństwo fizyczne data center (zgodność z ISO 27001 + ewentualnie EN 50600)
  • Bezpieczeństwo infrastruktury (sieć, hypervisor, storage)
  • Bezpieczeństwo platformy operacyjnej (OS dla IaaS, runtime dla PaaS, aplikacja dla SaaS — zależnie od modelu)
  • Logging i monitoring infrastrukturalny
  • Identity management dla administratorów CSP

Po stronie CSC (Cloud Service Customer):

  • Konfiguracja zabezpieczeń aplikacji (security groups, ACL, polityki dostępu)
  • Zarządzanie tożsamością użytkowników końcowych (IAM, MFA, SSO)
  • Klasyfikacja i ochrona danych klienta (encryption keys management)
  • Compliance z regulacjami dotyczącymi przetwarzanych danych (RODO, sektorowe)
  • Backup i restore z perspektywy aplikacji

Granica odpowiedzialności zależy od modelu cloud:

  • IaaS: CSP odpowiada za infrastrukturę, CSC za wszystko powyżej OS
  • PaaS: CSP odpowiada za infrastrukturę + platformę, CSC za aplikację i dane
  • SaaS: CSP odpowiada za wszystko poza danymi klienta i konfiguracją tenant

Powiązanie z regulacjami UE

ISO/IEC 27017 nie jest formalnie wymagana przez żadną dyrektywę UE, ale stanowi standardową odpowiedź rynku na ich wymagania:

NIS2 (Dyrektywa 2022/2555)

Dla CSP klasyfikowanych jako podmioty kluczowe (essential entities) lub podmioty ważne (important entities) NIS2 wymaga (art. 21) udokumentowanego systemu zarządzania ryzykiem cyberbezpieczeństwa. ISO 27001 + ISO 27017 jest najczęstszym wyborem dokumentującym te wymagania.

DORA (Rozporządzenie 2022/2554)

Dla sektora finansowego DORA wymaga (art. 28-30) oceny ryzyka dostawców usług ICT — w tym CSP. Posiadanie certyfikatu ISO/IEC 27017 przez CSP istotnie upraszcza procedurę oceny ryzyka po stronie banku/ubezpieczyciela. Brak tego certyfikatu wymaga samodzielnej, kosztownej weryfikacji.

RODO / GDPR

Dla CSP przetwarzających dane osobowe klientów ISO 27017 + ISO 27018 dokumentuje zgodność z art. 28 RODO (umowa o przetwarzanie powierzone) oraz art. 32 (środki bezpieczeństwa).

AI Act (Rozporządzenie 2024/1689)

Dla CSP oferujących usługi AI lub hostujących systemy AI klientów wysokiego ryzyka — ISO 27017 stanowi część stack standardów obok ISO 42001 (AI Management System).

Audyt zgodności — co weryfikujemy

1. Dokumentacja systemu (rozszerzenie ISMS o cloud-specific elementy)

  • Polityka bezpieczeństwa cloud (rozszerzenie polityki ISMS)
  • Statement of Applicability (SoA) z mapowaniem 37 kontroli ISO 27017
  • Procedury dla każdej kontroli CLD.x.x.x
  • Manual relacji CSP-CSC z modelu współdzielonej odpowiedzialności
  • Dokumentacja architektury cloud (single-tenant vs multi-tenant)

2. Implementacja techniczna

  • Konfiguracja zabezpieczeń infrastruktury (security groups, NACL, IAM polityki)
  • Hardening VM/containers (zgodność z baseline configurations)
  • Encryption at rest + in transit (klucze, algorytmy, key management)
  • Multi-tenancy isolation (hypervisor security, network segmentation)
  • Logging + monitoring (CloudTrail, GuardDuty, equivalent dla każdego cloud)

3. Procesy operacyjne

  • Incident response z mapowaniem CSP vs CSC odpowiedzialności
  • Change management dla zmian infrastruktury
  • Backup + DR (Disaster Recovery) z testami przywracania
  • Privileged access management (PAM) dla administratorów CSP

4. Compliance z umowami CSC

  • Wzory SLA + DPA z klauzulami ISO 27017
  • Procedury data residency (gdzie fizycznie przechowywane są dane)
  • Procedura data deletion przy zakończeniu kontraktu
  • Notification procedure dla zdarzeń bezpieczeństwa

Co napędza cenę audytu

1. Skala CSP

  • Mały SaaS (do 50 klientów, 1 produkt, infrastruktura na hyperscalerze): zakres podstawowy
  • Średni CSP (50-500 klientów, kilka produktów, mieszany cloud): cykl rozszerzony
  • Duży CSP (500+ klientów enterprise, własna infrastruktura, multi-region): pełen zakres
  • Hyperscaler regionalny: audyt rozbudowany z multi-tenant validation

2. Model usługi i zakres

  • SaaS pojedynczy produkt: zakres bazowy (SoA z ~30 kontroli)
  • SaaS portfolio (kilka produktów): rozszerzony scope
  • PaaS lub IaaS: pełen zakres 37 kontroli + walidacja virtualizacji
  • Multi-cloud / hybrid: dodatkowa walidacja per chmura

3. Liczba lokalizacji infrastruktury

  • 1 region cloud → cena bazowa
  • 2-3 regiony multi-region → próbkowanie wg IAF MD 1, rabat skali
  • Multi-region globalny → audyt z walidacją per region

4. Posiadana dokumentacja wstępna

CSP posiadające już wdrożone:

  • ISO 27001 (ISMS bazowy)
  • SOC 2 Type II (kontrole operacyjne)
  • ISO 27018 (ochrona PII)
  • ISO 22301 (BCM)
  • ISO 50001 (energia DC własnych)

…mają krótszy cykl (audyt zintegrowany).

5. Branża klientów docelowych

  • Standardowi klienci komercyjni (SaaS B2B): zakres bazowy
  • Sektor finansowy regulowany (DORA): rozszerzona walidacja
  • Sektor publiczny / obronny: walidacja zgodności z dodatkowymi normami
  • Sektor medyczny (HIPAA, MDR): walidacja przetwarzania danych medycznych

Procedura uzyskania wyceny

Multicert nie publikuje sztywnego cennika — formalna wycena wymaga analizy CSP. Praktyczny tryb postępowania:

  1. Zapytanie wstępne przez formularz kontaktowy
  2. Bezpłatna konsultacja — przegląd profilu CSP, omówienie zakresu, identyfikacja właściwych kodów EA
  3. Pisemna oferta indywidualna w 2 godziny w godzinach pracy — szczegółowy harmonogram, pełna kalkulacja w 3-letnim cyklu, opcje bundle z ISO 27001 / ISO 27018 / ISO 22301
  4. Decyzja klienta bez zobowiązań

Akredytacja jednostki certyfikującej

Multicert posiada akredytację PCA AC 210 (ISO/IEC 17065) oraz partnerstwo z ČIA 150/2025 dla wybranych systemów ISO. Status weryfikowalny w publicznym rejestrze pca.gov.pl.

Dotacje publiczne

Część kosztów certyfikacji może podlegać refundacji:

  • PARP — Krajowy Fundusz Szkoleniowy (KFS): do 80% kosztu szkoleń
  • FENG 2027: refundacja kosztu certyfikacji bezpieczeństwa dla mikro i małych przedsiębiorstw IT/SaaS
  • Programy NCBR: dedykowane technologiom bezpieczeństwa cybernetycznego
  • Bony na cyfryzację PARP: w wybranych edycjach obejmują wdrożenie cloud security

Multicert pomaga w identyfikacji właściwego programu w ramach wstępnej konsultacji.

Podsumowanie

ISO/IEC 27017 jest standardową odpowiedzią rynku dla CSP i klientów cloud na rosnącą presję regulacyjną UE (NIS2, DORA, AI Act). Stanowi rozszerzenie ISO/IEC 27001 o 37 specyficznych kontroli, w tym 7 kontroli wyłącznie cloud (CLD.x.x.x) — z formalizacją modelu współdzielonej odpowiedzialności CSP-CSC. Audyt zintegrowany ISO 27001 + ISO 27017 + ISO 27018 + ISO 22301 jest standardem rynkowym dla CSP obsługujących klientów enterprise.

Kontakt

Renata Wojnowska · Doradca ds. certyfikacji · +48 730 668 341 · [email protected]

Pełne informacje: Certyfikacja ISO/IEC 27017

Powiązane artykuły:

Najczęstsze pytania

Czy ISO/IEC 27017 zastępuje ISO 27001? +
Nie. ISO 27017 jest rozszerzeniem ISO 27001 — wymaga wcześniejszego (lub równoległego) wdrożenia 27001. Standardową praktyką jest audyt zintegrowany.
Kto powinien wdrożyć ISO/IEC 27017? +
Dostawcy usług chmurowych (CSP) — SaaS, IaaS, PaaS, hyperscalerzy regionalni. Oraz klienci cloud (CSC) — organizacje wykorzystujące cloud w procesach krytycznych.
Czym ISO/IEC 27017 różni się od ISO/IEC 27018? +
27017 dotyczy bezpieczeństwa informacji w cloud. 27018 dotyczy ochrony danych osobowych (PII) w cloud. Standardową praktyką jest wdrożenie obu.
Co napędza koszt audytu? +
Skala CSP, model usługi (SaaS/PaaS/IaaS), liczba lokalizacji infrastruktury, posiadana dokumentacja wstępna, branża klientów.
Jak otrzymać konkretną wycenę? +
Formularz kontaktowy multicert.pl/kontakt — pisemna oferta w 2 godziny.
Czy ISO/IEC 27017 jest wymagana przez NIS2 / DORA? +
Formalnie nie, ale stanowi standardową odpowiedź rynku — NIS2 wymaga udokumentowanego systemu zarządzania ryzykiem (art. 21), DORA wymaga oceny dostawców cloud (art. 28-30).
Czy są dotacje na certyfikację? +
Tak — KFS (do 80% kosztu szkoleń), FENG 2027, programy NCBR, Bony na cyfryzację PARP.

Autor artykułu

ZM

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 5 maja 2026
Zadzwoń Bezpłatna wycena