ISO/IEC 27017 Bezpieczeństwo Informacji Usług w Chmurze

Certyfikat ISO/IEC 27017,

To potwierdzenie, że Twoja firma dba o ochronę usług świadczonych w chmurze. Uzyskanie certyfikatu zwiększa zaufanie klientów i daje jasny sygnał partnerom biznesowym, że oferowane usługi i powierzane w nich dane są odpowiednio chronione.

Co to jest ISO/IEC 27017?

Certyfikat ISO/IEC 27017 (PN-EN ISO/IEC 27017:2021) potwierdza, że organizacja wdrożyła skuteczny system zarządzania bezpieczeństwem informacji usług świadczonych w chmurze. Norma ta, jest stosowana w połączeniu ze standardem ISO/IEC 27001 (oraz ISO/IEC 27002) gdyż rozszerza jej wymagania o specyficzne zabezpieczenia związane z zabezpieczeniem usług chmurowych. Podstawą normy z rodziny ISO 27 jest analiza ryzyka, pozwalająca każdej firmie – niezależnie od branży – dostosować rozwiązania do własnych potrzeb. Certyfikacja ISO/IEC 27017 w połączeniu z ISO/IEC 27001 pomaga uporządkować procesy, zwiększyć bezpieczeństwo usług świadczonych w chmurze i tym samym wiarygodność organizacji.

Certyfikacja ISO/IEC 27017 – jakie działania obejmuje?

Certyfikacja ISO/IEC 27017 to proces, który potwierdza, że system zarządzania bezpieczeństwem informacji usług świadczonych w chmurze w Twojej organizacji działa skutecznie i zgodnie z wymaganiami normy. Organizacja powinna wcześniej wdrożyć SZBI wg normy ISO/IEC 27001 oraz ISO/IEC 27017, przeprowadzić analizę ryzyka, audyt wewnętrzny i przegląd zarządzania.
Wdrożyłeś System Zarządzania Bezpieczeństwem Informacji (SZBI) z dodatkowymi wymaganiami dla usług świadczonych w chmurze, ale nie jesteś pewien, czy wszystko działa zgodnie z wymaganiami normy ISO/IEC 27001 i ISO/IEC 27017? 
Zastanawiasz się, czy Twoja organizacja jest gotowa na audyt certyfikacyjny?
Skorzystaj z audytu wstępnego – to nieobowiązkowe/opcjonalne działanie, które pomoże Ci się lepiej przygotować. W ramach tego audytu przeprowadzamy spotkanie informacyjne, analizujemy dokumentację i wskazujemy ewentualne obszary do poprawy. Dzięki temu zwiększysz swoje szanse na pomyślną certyfikację i unikniesz niepotrzebnych niespodzianek.

Masz pytania? Skontaktuj się z nami – chętnie pomożemy! 

Jesteś gotowy, aby przystąpić do procesu certyfikacji? Poniżej przedstawiamy główne etapy, które prowadzą do uzyskania certyfikatu ISO/IEC 27017. Certyfikacja ISO/IEC 27017 może zostać przeprowadzona wraz z audytem certyfikacyjnym ISO/IEC 27001 jako systemy zintegrowane lub po pomyślnym zakończeniu audytu certyfikacyjnego na zgodność z ISO/IEC 27001 – rozszerzenie certyfikacji.

1. Audyt certyfikujący – składający się z  2 etapów: 

ETAP I – celem tego etapu jest potwierdzenie gotowości organizacji do przeprowadzenia audytu certyfikacyjnego na etapie drugim. 

• Analiza samooceny klienta – przekażemy Ci formularz samooceny, który należy uzupełnić.
• Audytor oceni formularz oraz przekazaną dokumentację (za pośrednictwem serwera FTP do transferu plików).
• Przewidujemy także audyt na miejscu (w formie zdalnej lub stacjonarnej).

ETAP II

• Przegląd wdrożonego systemu zarządzania – weryfikacja, czy organizacja działa zgodnie z wymaganiami normy.
•  Audyt na miejscu (stacjonarny lub zdalny) – analiza procesów, dokumentacji oraz sposobu funkcjonowania organizacji.
• Wywiady z pracownikami – rozmowy z kluczowym personelem w celu potwierdzenia znajomości i stosowania procedur.
• Ocena zgodności i skuteczności działań – sprawdzenie, czy organizacja realizuje wymagania normy w praktyce.
• Identyfikacja niezgodności i obszarów do doskonalenia.
• Podsumowanie wyników audytu – przedstawienie wniosków, wstępnego raportu i omówienie dalszych kroków.

2. Raport i rekomendacja
Sporządzenie raportu z audytu, jego weryfikacja oraz rekomendacja do wydania certyfikatu.

3. Decyzja i wydanie certyfikatu
Po pozytywnej decyzji jednostki – otrzymujesz certyfikat ISO/IEC 27017 ważny przez 3 lata pod warunkiem corocznych audytów nadzoru.

4. Pierwszy audyt nadzoru
Musi odbyć się do 12 miesięcy od daty podjęcia decyzji certyfikacyjnej.

5. Drugi audyt nadzoru
Powinien zostać przeprowadzony do 24 miesięcy od decyzji certyfikacyjnej, przy czym należy zachować zasadę, że audyt nadzoru odbywa się co najmniej raz w roku.

6.Recertyfikacja
Po trzech latach – złożenie wniosku o ponowną certyfikację i rozpoczęcie procesu certyfikacji z jednoetapowym audytem w pierwszym roku.

Przygotowanie do certyfikacji ISO 27017

Krok pierwszy: zastosowanie wymagań normy, czyli wdrożenie systemu zarządzania bezpieczeństwem informacji oraz ochrony danych osobowych w organizacji.

Krok drugi: kontakt z jednostką certyfikującą systemy zarządzania na zgodność z normą ISO/IEC 27001 oraz ISO/IEC 27017. Pamiętaj, że jednostka certyfikująca musi uzyskać więcej informacji o Twojej organizacji, dlatego na tym etapie poprosimy Cię o wypełnienie wniosku o certyfikację wraz z załącznikiem. W przypadku jakichkolwiek pytań nie wahaj się i skontaktuj się z nami, a postaramy się na nie odpowiedzieć.

Kiedy wypełniony wniosek trafia do nas, przystępujemy do trzeciego kroku, czyli analizy. Robimy to, aby mieć pewność, że mamy zdolność i kompetencje do przeprowadzenia audytu w Twojej firmie, a także określamy liczbę dni audytowych potrzebnych na proces certyfikacji systemu zarządzania bezpieczeństwem informacji. Zwieńczeniem tego etapu jest przygotowanie oferty w formie elektronicznej.

Jeśli zdecydujesz się na współpracę z nami, to kolejny etap obejmuje podpisanie umowy i ustalenie dogodnego terminu audytu certyfikującego systemu zarządzania bezpieczeństwem informacji. Tak zaczyna się proces certyfikacji ISO/IEC 27001 z rozszerzeniem ISO/IEC 27017!

Certyfikat ISO/IEC 27017 – cena

Koszt procesu certyfikacji ISO/IEC 27017 zależy od wielu czynników (takich jak liczba pracowników czy lokalizacji) i wylicza się go na podstawie regulacji dotyczące obszaru 27001, które obowiązują jednostki certyfikujące. Najprostszym sposobem oszacowania kosztów jest wypełnienie wniosku o certyfikację i otrzymanie od nas oferty, która do niczego nie zobowiązuje.

Zapraszamy do dołączenia do grona naszych klientów!