+ 48 730 668 341
biuro@multicert.pl
Facebook Twitter Linkedin

Co to jest ISO/iEC 27017

Jak może pomóc twojej organizacji

ISO/IEC 27017 to międzynarodowa norma dotycząca zarządzania bezpieczeństwem w chmurze. Norma ta określa wymagania dotyczące zarządzania bezpieczeństwem w chmurze i zapewnia organizacjom narzędzia do zarządzania ryzykiem związanym z korzystaniem z usług chmurowych.

ISO/IEC 27017 jest kompatybilna z normą ISO/IEC 27001, która określa wymagania dotyczące zarządzania systemem zarządzania bezpieczeństwem informacji (ISMS). ISO/IEC 27017 uzupełnia normę ISO/IEC 27001 o szczegółowe wymagania dotyczące zarządzania bezpieczeństwem w chmurze.

Korzystanie z usług chmurowych może zwiększyć efektywność i elastyczność organizacji, ale także wiąże się z pewnym ryzykiem dla bezpieczeństwa danych. ISO/IEC 27017 pomaga organizacjom zarządzać tym ryzykiem poprzez określenie wymagań dotyczących bezpieczeństwa w chmurze, takich jak zarządzanie dostępem do danych, kontrola zmian w systemie, zarządzanie incydentami i monitorowanie bezpieczeństwa.

Adopcja normy ISO/IEC 27017 może pomóc organizacjom zapewnić, że ich dane są odpowiednio chronione podczas korzystania z usług chmurowych i zwiększyć zaufanie klientów i partnerów biznesowych do ich systemów bezpieczeństwa.

Zapytaj jak uzyskać wybrany certyfikat
Skontaktuj się z nami Bezpłatna wycena  Przetestuj swoją wiedzę

Lista dokumentów i zapisów dotyczących ISO 27017

Oto lista wymaganych dokumentów i zapisów według normy ISO 27017:

  • Polityka bezpieczeństwa w chmurze: dokument określający zasady zarządzania bezpieczeństwem w chmurze w organizacji.
  • Procedury zarządzania bezpieczeństwem w chmurze: dokumenty określające sposób postępowania w konkretnych sytuacjach dotyczących bezpieczeństwa w chmurze.
  • Rejestr zdarzeń dotyczących bezpieczeństwa w chmurze: zapis wszystkich zdarzeń, które mogą mieć wpływ na bezpieczeństwo w chmurze.
  • Rejestr przetwarzania danych w chmurze: zapis wszystkich operacji przetwarzania danych w chmurze.
  • Rejestr zabezpieczeń: zapis wszystkich zabezpieczeń stosowanych w chmurze, aby chronić dane.
  • Rejestr incydentów dotyczących bezpieczeństwa w chmurze: zapis wszystkich incydentów związanych z bezpieczeństwem w chmurze, które miały miejsce.
  • Rejestr zgłoszeń dotyczących bezpieczeństwa w chmurze: zapis wszystkich zgłoszeń od osób, które składają skargi lub wnioski dotyczące bezpieczeństwa w chmurze.
  • Rejestr zmian w systemie chmurowym: zapis wszystkich zmian wprowadzanych w systemie chmurowym, które mogą mieć wpływ na bezpieczeństwo.
  • Dokumentacja dotycząca zabezpieczeń: dokumenty określające rodzaje i poziomy zabezpieczeń stosowane w chmurze.
  • Protokoły audytów: zapisy dotyczące przeprowadzonych audytów bezpieczeństwa w chmurze.
  • Dokumentacja dotycząca szkoleń: zapisy dotyczące przeprowadzonych szkoleń z zakresu zarządzania bezpieczeństwem w chmurze.
  • Dokumentacja dotycząca testów: zapisy dotyczące przeprowadzonych testów zabezpieczeń i procedur zarządzania bezpieczeństwem w chmurze.
  • Dokumentacja dotycząca wsparcia technicznego: zapisy dotyczące działań podejmowanych w celu zapewnienia wsparcia technicznego w zakresie bezpieczeństwa w chmurze.

Norma ISO 27017 wymaga, aby te dokumenty i zapisy były utrzymywane w aktualnym stanie i były dostępne dla osób odpowiedzialnych za zarządzanie bezpieczeństwem w chmurze. Ponadto norma wymaga, aby organizacja prowadziła regularne audyty i testy bezpieczeństwa w chmurze w celu zapewnienia, że system jest skutecznie zarządzany i dane są odpowiednio chronione.

Zasady certyfikacji ISO 27017

Aby przystąpić do certyfikacji ISO 27017, należy wypełnić formularz zgłoszeniowy lub wysłać maila na adres biuro|multicert.pl?subject=Certyfikacja%20&body=Prosz%C4%99%20o%20informacj%C4%99%20dotycz%C4%85c%C4%85%20certyfikacji%20| style="box-sizing: border-box; margin: 0px; background-color: transparent; color: rgb(77, 79, 82); text-decoration-line: none;"|biuro|multicert.pl  Na podstawie analizy przesłanych informacji przedstawimy Państwu wstępną wycenę całego procesu certyfikacji. Po uzyskaniu Państwa akceptacji wypełniamy wspólnie formalny wniosek na certyfikację. Wniosek stanowi podstawę do przygotowania pełnej oferty wraz z umową.

Korzyści z certyfikacji systemu ISO 27017

Wdrożenie ISO 27017 i certyfikacja wymusza na organizacji stosowanie odpowiednich narzędzi i procedur służących ochronie danych przetwarzane w chmurze. Norma wspiera zatem działania organizacyjne w sposób, który umożliwia racjonalne podniesienie ochrony danych, skupiając się na polu organizacyjnym oraz nadzorując obszary zwiększonego ryzyka, takie jak:

  1. określenie jasnych zasad przetwarzania danych w chmurze i ochronę użytkownika
  1. zwiększenie bezpieczeństwa danych poprzez stosowania dodatkowych procedur bezpieczeństwa
  1. poufność, czyli zapewnienie dostępu do informacji tylko osobom uprawnionym.

Ochrona  bezpieczeństwa danych ma kluczowe znaczenie dla świadczenia usług w chmurze:

  1. ograniczenie ryzyk zwiżanych z wyciekiem danych osobowych,
  2. wyeliminowanie działań sprzecznych z prawem i bezpieczeństwem użytkowników,
  1. budowanie zaufania wśród klientów do świadczonych usług w chmurze
  1. ograniczenie ryzyk związnych z wyciekiem danych osobowych RODO 
  1. wyróżnienie się na rynku poprzez uzyskanie certyfikatu ISO 27017

Proces certyfikacji

ETAP I Przegląd dokumentacji systemowej klienta

ETAP I Przegląd dokumentacji systemowej klienta

  • Przegląd dokumentacji systemowej w zakresie zgodności z wymaganiami normy ISO 27001.
  • Ocena systemu w zakresie spełnienia wymagań prawnych ( np. bezpieczeństwa danych osobowych).
  • Podjęcie decyzji w sprawie kolejnego etapu audytu w miejscu prowadzonej przez klienta działalności.
ETAP II Ocena wdrożonego systemu zarządzania jakością na miejscu u klienta

ETAP II Ocena wdrożonego systemu zarządzania jakością na miejscu u klienta

  • Przegląd dokumentów i zapisów.
  • Rozmowy z pracownikami i osobami zarządzającymi organizacją.
  • Przygotowanie przez audytora raportu z audytu certyfikacyjnego.
  • Ocena sprawozdania z audytu przez jednostkę certyfikującą i wydanie certyfikatu.

Warunki certyfikacji

Certyfikat ISO 27001 wydawany jest na okres 3 lat, jednak co roku przeprowadza się audyt nadzoru, którego wyniki stanowią potwierdzenie ważności dokumentu oraz pozwalają sprawdzić stosowanie przyjętych norm. W przypadku odnotowania istotnych odchyleń (niezgodności z normą)  certyfikat może zostać cofnięty.
Audyt wstępny prowadzony jest bezpośrednio przez audytorów Multicert z odpowiednimi uprawnieniami, nie jest on warunkiem certyfikacji wybranego systemu. Jednakże wyniki audytu są skutecznym i ważnym elementem wyboru jednostki certyfikującej. 

Systemy związane

Certyfikacja ISO 20000

Certyfikacja ISO 20000

Certyfikacja ISO 9001

Certyfikacja ISO 9001

Certyfikacja ISO 13485

Certyfikacja ISO 13485

Certyfikacja ISO 14001

Certyfikacja ISO 14001

Certyfikacja ISO 22000

Certyfikacja ISO 22000