Certyfikacja ISO/IEC 27017 — bezpieczeństwo usług chmurowych

Co to jest ISO/IEC 27017?

ISO/IEC 27017 to międzynarodowa norma określająca zabezpieczenia dla usług przetwarzania w chmurze. Stanowi rozszerzenie zabezpieczeń ISO/IEC 27002 o kontrole specyficzne dla środowisk chmurowych i jest certyfikowana jako rozszerzenie systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001.

Norma definiuje role i odpowiedzialności po obu stronach relacji chmurowej: dostawcy usług (SaaS, IaaS, PaaS) oraz klienta korzystającego z chmury. Dzięki temu organizacje mogą jednoznacznie wykazać, które zabezpieczenia leżą po ich stronie, a które po stronie dostawcy infrastruktury.

Oprócz zabezpieczeń przejętych z ISO/IEC 27002 norma wprowadza dodatkowe kontrole chmurowe, m.in. podział odpowiedzialności między dostawcą a klientem, usuwanie i zwrot aktywów po zakończeniu umowy, separację środowisk wirtualnych, hardening maszyn wirtualnych oraz monitorowanie działań klienta w chmurze.

Dla kogo jest certyfikacja ISO 27017?

• Dostawcy oprogramowania w modelu SaaS i operatorzy platform internetowych
• Dostawcy infrastruktury IaaS/PaaS, centra danych i hostingodawcy
• Software house’y utrzymujące systemy klientów w chmurze
• Integratorzy IT i dostawcy usług zarządzanych (MSP)
• Organizacje przenoszące krytyczne procesy do chmury, które muszą wykazać nadzór nad dostawcami
• Podmioty objęte NIS2 korzystające z usług chmurowych w łańcuchu dostaw

Wymagania i zabezpieczenia ISO/IEC 27017

Certyfikacja obejmuje weryfikację zabezpieczeń w obszarach:

• Podział odpowiedzialności — udokumentowane role dostawcy i klienta chmury dla każdego zabezpieczenia
• Bezpieczeństwo środowisk wirtualnych — separacja zasobów klientów, konfiguracja maszyn wirtualnych
• Zarządzanie dostępem — uprawnienia administracyjne, dostęp uprzywilejowany, uwierzytelnianie
• Kryptografia — szyfrowanie danych w spoczynku i w transmisji
• Zakończenie umowy — zwrot i trwałe usunięcie danych klienta po zakończeniu usługi
• Monitorowanie i rejestrowanie zdarzeń — logi działań w środowisku chmurowym
• Zgodność łańcucha dostaw — wymagania wobec poddostawców infrastruktury

Korzyści z certyfikacji

• Dowód bezpieczeństwa usług chmurowych wobec klientów korporacyjnych i instytucji publicznych
• Przewaga w przetargach na usługi IT, w których zamawiający wymagają zabezpieczeń chmurowych
• Skrócenie audytów drugiej strony — certyfikat zastępuje wielokrotne kwestionariusze bezpieczeństwa
• Jednoznaczny podział odpowiedzialności z dostawcami i klientami chmury
• Wsparcie zgodności z NIS2 i wymaganiami sektorowymi (KNF, sektor publiczny)
• Naturalne uzupełnienie certyfikatów ISO/IEC 27001 i ISO/IEC 27018 w jednym cyklu audytowym

Przebieg certyfikacji ISO 27017

1. Złożenie wniosku i wycena — określenie zakresu usług chmurowych, modelu świadczenia (SaaS/IaaS/PaaS), lokalizacji i liczby personelu
2. Etap 1 — przegląd dokumentacji — deklaracja stosowania (SoA) rozszerzona o zabezpieczenia chmurowe, analiza ryzyka, umowy z dostawcami
3. Etap 2 — audyt na miejscu — weryfikacja wdrożenia zabezpieczeń chmurowych, testy konfiguracji, wywiady z personelem
4. Decyzja o certyfikacji przez niezależny komitet
5. Wydanie certyfikatu — ISO/IEC 27001 z rozszerzeniem o ISO/IEC 27017, ważność 3 lata
6. Coroczne audyty nadzoru i recertyfikacja po 3 latach

Certyfikację ISO/IEC 27017 najkorzystniej połączyć z certyfikacją lub audytem nadzoru ISO/IEC 27001 — jeden audyt obejmuje wówczas oba zakresy.

Akredytacja i uznanie

Certyfikaty wystawiane przez LL-C są oparte na akredytacji ČIA 150/2025 (Czeski Instytut Akredytacji), sygnatariusza porozumień EA MLA i IAF MLA. Certyfikat jest uznawany na rynkach UE i globalnych.

Jeżeli chcą Państwo dowiedzieć się więcej na temat certyfikacji ISO/IEC 27017, prosimy o kontakt. Z przyjemnością przeprowadzimy Państwa przez cały proces.

Często zadawane pytania (FAQ)