ISO 27017 – czym jest i dlaczego Twoja firma powinna o nim wiedzieć?

Chmura obliczeniowa na dobre wpisała się w codzienność biznesu. Przechowujemy w niej dokumenty, prowadzimy komunikację, uruchamiamy aplikacje. Jednak wraz z rosnącym uzależnieniem od usług cloudowych pojawiło się pytanie, które zadaje sobie coraz więcej organizacji: kto tak naprawdę dba o bezpieczeństwo naszych danych w chmurze?

Odpowiedzią – przynajmniej w wymiarze standardów i dobrych praktyk – jest norma ISO/IEC 27017.

Skąd pochodzi i co reguluje?

ISO 27017 to norma wydana przez Międzynarodową Organizację Normalizacyjną (ISO) we współpracy z Międzynarodową Komisją Elektrotechniczną (IEC). Jej pełna nazwa to ISO/IEC 27017:2015 – Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services.

Norma nie powstała w próżni – jest rozszerzeniem dobrze znanych standardów ISO 27001 i ISO 27002, uzupełnionym o wytyczne specyficzne dla środowisk chmurowych. Oznacza to, że organizacje, które już pracują z systemem zarządzania bezpieczeństwem informacji, mają solidny fundament do jej wdrożenia.

Co konkretnie obejmuje?

ISO 27017 adresuje obszary, które w tradycyjnym podejściu do bezpieczeństwa IT były pomijane lub traktowane zbyt ogólnie – bo chmura rządzi się swoimi prawami.

Norma dostarcza wytycznych m.in. w zakresie:

• kontroli dostępu do zasobów chmurowych i zarządzania tożsamością,
• podziału odpowiedzialności między dostawcę a klienta usługi,
• monitorowania aktywności i wykrywania nieautoryzowanych działań,
• ochrony danych podczas ich przetwarzania, przesyłania i przechowywania w chmurze.

Dla kogo jest ta norma?

Tu tkwi jedna z największych zalet ISO 27017 – norma jest skrojona pod dwie strony relacji chmurowej jednocześnie. Dotyczy zarówno dostawców usług cloudowych (CSP – Cloud Service Providers), jak i ich klientów (CSC – Cloud Service Customers).

Dzięki temu obie strony operują w ramach wspólnego języka i wspólnych oczekiwań. Dostawca wie, co powinien zapewnić. Klient wie, czego może wymagać. To prosty przepis na bardziej przejrzyste i bezpieczne relacje biznesowe.

Podsumowanie

ISO 27017 to odpowiedź branży na jedno z największych wyzwań cyfrowej transformacji – jak zadbać o bezpieczeństwo danych, gdy infrastruktura przestała być wyłącznie nasza. Jeśli Twoja firma korzysta z chmury – a statystycznie prawie na pewno korzysta – warto wiedzieć, że istnieje standard, który porządkuje ten obszar i daje konkretne narzędzia do działania.