Indice degli argomenti
Consulenza ISO 27017: controlli di sicurezza per i servizi Cloud
Il nostro Studio di Consulenza aiuterà il cliente a prepararsi per la certificazione ISO/IEC 27001, supportandolo nell’implementazione delle linee guida aggiuntive della ISO 27017.
Consulenza ISO/IEC 27017:
Utilizzato insieme a ISO/IEC 27001, lo standard ISO/IEC 27017 è progettato per aiutare le organizzazioni nella selezione dei controlli di sicurezza per i servizi cloud durante l’implementazione di un sistema di gestione per la sicurezza delle informazioni di cloud computing.
Mettere i dati su cloud è una operazione che fa sorgere numerosi interrogativi per la sicurezza delle informazioni. In particolare, il principale interrogativo è quello della responsabilità in caso di danno che ne deriva legato alla riservatezza, all’integrità e alla disponibilità del dato depositato su una struttura virtuale.
La ISO 27017 ha proprio lo scopo di definire le regole sulla sicurezza delle informazioni archiviate online al fine di dare maggiore certezza al cliente di quanto i propri dati siano al sicuro, adottando tutte le sicurezze necessarie.
In altre parole, la ISO 27017 definisce le regole ben precise tra chi gestisce un servizio cloud (CSP – Cloud Service Provider) e chi lo utilizza (CSC – Cloud Service Customer).
Come estensione della ISO 27001, la ISO 27017 fornisce una guida sui 37 controlli ISO 27002 ma presenta anche 7 ulteriori controlli:
- Rimozione e restituzione degli asset dei clienti del servizio cloud una volto risolto un contratto
- Allineamento della gestione della sicurezza per reti sia virtuali che fisiche
- Protezione e separazione dell’ambiente virtuale di un cliente
- Ruoli e responsabilità condivisi tra i fornitori di servizi cloud e i clienti
- Procedure operative amministrative di un ambiente di cloud computing
- Consentire ai clienti del servizio cloud di poter di monitorare le attività rilevanti all’interno del cloud
- Requisiti di configurazione della macchina virtuale per soddisfare le esigenze aziendali
Consulenza ISO/IEC 27017: la struttura della norma
Il titolo ufficiale della norma è “Tecnologia dell’informazione – Tecniche di sicurezza – Codice di condotta per i controlli di sicurezza delle informazioni basato su ISO/IEC 27002 per i servizi cloud”. La norma ISO/IEC 27017:2015 è composta da diciotto sezioni, più un lungo allegato, che riguardano:
- 1. Ambito di applicazione
- 2. Riferimenti normativi
- 3. Definizioni e abbreviazioni
- 4. Concetti specifici del settore cloud
- 5. Politiche di sicurezza delle informazioni
- 6. Organizzazione della sicurezza delle informazioni
- 7. Sicurezza delle risorse umane
- 8. Gestione patrimoniale
- 9. Controllo degli accessi
- 10. Crittografia
- 11. Sicurezza fisica e ambientale
- 12. Sicurezza delle operazioni
- 13. Sicurezza delle comunicazioni
- 14. Acquisizione, sviluppo e manutenzione del sistema
- 15. Rapporti con i fornitori
- 16. Gestione degli incidenti di sicurezza delle informazioni
- 17. Aspetti di sicurezza delle informazioni nella gestione della continuità operativa
- 18. Conformità
Consulenza ISO/IEC 27017: le organizzazioni potenzialmente interessate
Se siete un’organizzazione che sta valutando se aderire o meno alla ISO 27017 dovreste sapere che la certificazione è da considerare nel caso in cui si partecipa a bandi pubblici: sempre più spesso, infatti, le Pubbliche Amministrazione includono il possesso di certificazioni come requisito essenziale per la partecipazione alle gare: AgID ad esempio, ha stabilito che i cloud service provider dovranno essere certificati ISO 27001 con estensioni ISO 27017 e ISO 27018 per poter essere inseriti nel Marketplace Cloud delle Pubbliche Amministrazioni, divenuto strumento di uso obbligatorio a partire dal 01 aprile 2019.
Di conseguenza, se ad oggi si vogliono offrire servizi ITC in cloud a una qualsiasi Pubblica Amministrazione, occorre procedere con la qualificazione iniziale sulla piattaforma AgID, conformandosi a una serie di requisiti cogenti, compresa la necessità di aver ottenuto le certificazioni ISO 27001, ISO 27017 e ISO 27018.
Si parla di estensione alla ISO 27017 in quanto la Norma ISO 27017 non è una norma certificabile, ma è una estensione della Norma ISO 27001. Chi volesse certificarsi secondo la ISO 27017 dovrà richiedere la certificazione ISO 27001 con estensione alla ISO 27017.