Vai al contenuto principale

ISO/IEC 27017.

ISO 27017 è l'estensione dei controlli di sicurezza cloud a ISO 27001. Aggiunge controlli specifici per il cloud e chiarisce la ripartizione della responsabilità condivisa tra fornitore e cliente. Se lo scope del vostro ISMS include workload su hyperscaler (AWS, Azure, GCP, OVH), gli auditor chiederanno quali controlli 27017 avete mappato.

Di Christophe Mazzola, Practicing CISO · Founder of Cyber AcademySicurezza delle informazioniTutte le voci

Il punto di vista di Cyber Academy

ISO 27017 è l'estensione dei controlli di sicurezza cloud a ISO 27001. Aggiunge controlli specifici per il cloud e chiarisce la ripartizione della responsabilità condivisa tra fornitore e cliente. Se lo scope del vostro ISMS include workload su hyperscaler (AWS, Azure, GCP, OVH), gli auditor chiederanno quali controlli 27017 avete mappato.

Cosa aggiunge concretamente ISO/IEC 27017

ISO/IEC 27017 non è uno schema di certificazione a sé stante. È un codice di condotta che si colloca sopra ISO/IEC 27002, la guida all'implementazione dei controlli di ISO/IEC 27001. Dove 27002 descrive un controllo generico di sicurezza delle informazioni, 27017 aggiunge una guida all'implementazione specifica per il cloud per quello stesso controllo e, in alcuni punti, introduce controlli aggiuntivi che hanno senso solo nel momento in cui i tuoi dati risiedono su un'infrastruttura che non possiedi. Per questo, quando lo adotti, non stai gestendo un SGSI parallelo. Stai estendendo quello che già certifichi rispetto a ISO 27001 affinché parli il linguaggio del cloud.

Il valore pratico è che obbliga entrambe le parti della relazione cloud a mettere le cose per iscritto. La norma è deliberatamente strutturata in modo che ogni elemento di guida abbia una versione per il fornitore di servizi cloud e una per il cliente di servizi cloud. Questa doppia impostazione è il punto centrale. Un controllo come la gestione degli accessi o il trattamento delle chiavi crittografiche significa qualcosa di diverso a seconda che tu sia l'hyperscaler che gestisce la piattaforma o il tenant che vi distribuisce i carichi di lavoro, e 27017 rende esplicita questa ripartizione invece di lasciarla all'ipotesi.

Responsabilità condivisa, resa verificabile

Ogni conversazione sulla sicurezza del cloud finisce prima o poi sulla responsabilità condivisa: il fornitore protegge l'infrastruttura, il cliente protegge ciò che vi colloca sopra. Il problema è che il confine si sposta a seconda del modello di servizio. Con l'infrastruttura come servizio il cliente è responsabile del sistema operativo, delle patch e della maggior parte della configurazione. Con il software come servizio quasi tutto ricade sul fornitore, e al cliente restano per lo più l'identità, gli accessi e la governance dei dati. ISO 27017 trasforma quel diagramma sfumato in qualcosa che un auditor può testare.

  • Chiede al fornitore di documentare quali responsabilità di sicurezza conserva e quali trasferisce al cliente, in modo che non vi sia alcuna lacuna silenziosa.
  • Chiede al cliente di confermare che comprende e che ha effettivamente implementato la propria parte, anziché presumere che il fornitore se ne occupi.
  • Aggiunge una guida specifica per gli ambienti multi-tenant, l'hardening delle macchine virtuali, le operazioni amministrative e la segregazione dei clienti che operano su hardware condiviso.
  • Affronta la rimozione e la restituzione degli asset al termine di un contratto, punto in cui molte uscite dal cloud falliscono.

Dove si colloca rispetto alle norme vicine

27017 si confonde facilmente con le norme che la circondano, perciò è utile tenere chiara la famiglia. ISO/IEC 27001 è il sistema di gestione certificabile. ISO/IEC 27002 è la guida generale dei controlli. ISO/IEC 27017 è l'estensione di quella guida alla sicurezza del cloud. ISO/IEC 27018 è la sorella che si concentra specificamente sulla protezione delle informazioni personali identificabili nel cloud pubblico, aspetto che conta quando i tuoi carichi di lavoro cloud trasportano anche dati personali e rispondi a obblighi di privacy oltre che di sicurezza.

ISO 27017 rispetto alle norme vicine
NormaRuoloCertificabile da sola
ISO/IEC 27001Requisiti del sistema di gestione della sicurezza delle informazioni
ISO/IEC 27002Guida generale all'implementazione dei controlli di sicurezzaNo, guida
ISO/IEC 27017Controlli di sicurezza specifici per il cloud e ripartizione fornitore/clienteNo, inclusa nel perimetro 27001
ISO/IEC 27018Protezione dei dati personali nel cloud pubblicoNo, inclusa nel perimetro 27001

Per un professionista il flusso di lavoro è coerente. Gestisci un SGSI ISO 27001, porti i carichi di lavoro cloud nel suo perimetro e usi 27017 per decidere quali controlli cloud mappare e come dimostrare entrambi i lati della linea di responsabilità. Se quei carichi di lavoro trattano anche dati personali, lo abbini a 27018. Nessuna di queste norme sostituisce la tua due diligence contrattuale sul fornitore; ti danno un modo strutturato per dimostrare di averla svolta.

Domande frequenti

01Si può ottenere la certificazione ISO 27017 da sola?

No. ISO/IEC 27017 è un codice di condotta, non un sistema di gestione certificabile. Le organizzazioni certificano il proprio SGSI rispetto a ISO/IEC 27001 includendo 27017 nel perimetro, e poi dimostrano i controlli cloud che hanno mappato.

02In che cosa ISO 27017 è diversa da ISO 27002?

ISO 27002 fornisce una guida generale sui controlli di sicurezza. ISO 27017 riprende quella guida e vi aggiunge dettagli di implementazione specifici per il cloud, oltre a controlli aggiuntivi per il cloud, con una vista separata per il fornitore e per il cliente.

03Come si rapporta ISO 27017 a ISO 27018?

Sono sorelle sullo stesso SGSI. 27017 copre la sicurezza del cloud in senso ampio, mentre 27018 si concentra sulla protezione delle informazioni personali identificabili nel cloud pubblico. Se i tuoi carichi di lavoro cloud trasportano dati personali, di norma usi entrambe.

04ISO 27017 definisce il modello di responsabilità condivisa?

Lo rende verificabile. La norma struttura la propria guida in modo che il fornitore documenti le responsabilità che conserva e quelle che trasferisce, e che il cliente confermi e implementi la propria parte, eliminando le lacune silenziose.

05Chi dovrebbe interessarsi a ISO 27017?

Qualsiasi organizzazione il cui perimetro SGSI includa carichi di lavoro presso hyperscaler come AWS, Azure, GCP o OVH. Gli auditor chiederanno quali controlli di 27017 mappi su quei carichi di lavoro e come viene implementato ciascun lato della ripartizione delle responsabilità.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.