KRÓTKO O NORMIE

ISO 27017 rozszerza ISO 27002 i w połączeniu z ISO 27001 oferuje zarówno operatorom usług w chmurze, jak i firmom, które są klientami usług w chmurze, ramy do wdrożenia określonych środków dla usług w chmurze.

Wybór i wdrożenie określonych środków bezpieczeństwa opiera się na analizie ryzyka wymaganej przez ISO 27001.

ISO 27017 może być certyfikowany razem z ISO 27001.

DLACZEGO WARTO?
  • Większe zaufanie do firmy posiadającej akredytowany certyfikat ISO/IEC 27017.

  • Przewaga konkurencyjna i możliwość współpracy z organizacjami wymagającymi najwyższych standardów bezpieczeństwa dla danych w chmurze.

  • ISO 27017 jest rozszerzeniem ISO 27002. Wdrożenie w istniejącym SZBI zgodnie z ISO 27001 lub w trakcie tworzenia nowego SZBI jest zatem łatwe.

  • Norma zawiera określone środki bezpieczeństwa dla dostawców usług chmurowych i klientów usług chmurowych. To znacznie upraszcza współpracę między nimi.

  • Norma jest uznawana na całym świecie.

POLSKIE FIRMY Z GŁOWĄ W CHMURACH

Według wyników badania Monitora Transformacji Cyfrowej Biznesu z roku 2022, technologią przodującą w polskich firmach były rozwiązania chmurowe – ich wykorzystywanie deklarowało wówczas 63% respondentów. W najnowszej edycji raportu z roku 2023 KPMG postanowiło dokładniej przyjrzeć się tej technologii. Okazało się to dobrą decyzją, ponieważ odsetek firm korzystających z usług chmurowych wzrósł o 5 p.p. do 68%.

Najczęściej do wykorzystywania chmury przyznają się firmy z branży motoryzacyjnej (88%) i sektora ICT (85%).

Najpowszechniej wykorzystywanym w przedsiębiorstwach modelem usług jest IaaS (Infrastructure as a Service), w którym zewnętrzny dostawca zapewnia jedynie infrastrukturę. Korzystanie z IaaS deklaruje 56% respondentów z firm, które wdrożyły rozwiązania chmurowe. Nieznacznie mniej, bo 55% ankietowanych przyznaje, że korzysta z modelu SaaS (Software as a Service), w którym oprócz infrastruktury dostarczany jest komplet aplikacji i platform, a 50% firm wykorzystuje też chmurę prywatną z własną mocą obliczeniową w lokalnej infrastrukturze. Najmniej respondentów wskazało wśród usług chmurowych model PaaS (Platform as a Service), czyli platformę i infrastrukturę do tworzenia własnych aplikacji.

(Źródło: Monitor Transformacji Cyfrowej Biznesu, Edycja 2023, KPMG)

JAK PRZEBIEGA PROCES CERTYFIKACJI?
  • 1. KRYTERIA:

    Chcąc uzyskać certyfikat organizacja powinna wykazać się:

    •  spełnieniem zasadniczych wymagań normy ISO/IEC 27017,
    •  brakiem niezgodności z wymaganiami.

    Weryfikacja następuje podczas audytu.

  • 2. CZAS TRWANIA AUDYTU:

    Na czas trwania audytu składa się szereg czynników, które każdorazowo ustala się przed audytem. Obniżenie nakładu pracy audytorów na miejscu, a tym samym obniżenie kosztów procesu certyfikacji jest możliwe m.in. przy certyfikacji kilku systemów zarządzania jednocześnie.

  • 3. ROZPOCZĘCIE PROCESU CERTYFIKACJI:

    Udzielenie CIS – Certification & Information Security Services Sp. z o. o. zlecenia wynikającego ze złożonej oferty na certyfikację na podstawie zapytania o ofertę.

    PRZEBIEG PROCESU:

    • 1 faza audytu.
    • 2 faza audytu – nie później niż 3 miesiące od przeprowadzenia pierwszej fazy.
    • Sporządzenie raportu z wnioskiem o wydanie certyfikatu.
    • Wydanie certyfikatu.
  • 4. OKRES WAŻNOŚCI CERTYFIKATU:

    3 lata

  • 5. CO TO JEST AUDYT WSTĘPNY?

    Audyt ten, będąc w pełni dobrowolnym, daje informację na temat faktycznego stanu Systemu Zarządzania Bezpieczeństwem Informacji funkcjonującego w firmie.  Jest on zalecany na etapie wdrażania tego systemu lub przed audytem, jeżeli firma chciałaby dowiedzieć się, w jakim stopniu system ten spełnia wymagania normy ISO/IEC 27017

ILE KOSZTUJE CERTYFIKACJA?

Do oszacowania wartości procesu certyfikacji na zgodność z normą ISO/IEC 27017 potrzebne są dane takie, jak np.:

  • ilość stref ograniczonego dostępu,
  • maksymalny czas niedostępności systemów,
  • dane wrażliwe,
  • ilość pracowników,
  • i inne.

Na podstawie uzyskanych informacji określany jest czas niezbędny dla przeprowadzenia audytu oraz związane z tym koszty

Dlaczego my?
  • Jesteśmy jednostką certyfikującą wyspecjalizowaną w bezpieczeństwie informacji i biznesu - działamy w wąskim obszarze systemów zarządzania, dzięki czemu możemy być bliżej Twojej firmy.

  • Cechuje nas biznesowe podejście - zależy nam na tym, aby firmy optymalizowały procesy bezpieczeństwa, ograniczały ryzyko i redukowały zbędne koszty.

  • Mamy doświadczony zespół audytorów z wieloletnią praktyką - nasi audytorzy nie tylko przeprowadzą audyt certyfikacyjny w firmie i wskażą drogę jej doskonalenia, ale również porozmawiają na inne, ważne dla Ciebie tematy.

  • Nie tylko audytujemy, ale sami jesteśmy audytowani. Zapewnia to utrzymywanie jakości naszej pracy na najwyższym poziomie - posiadamy austriacką akredytację BMDW oraz brytyjską udzieloną przez itSMF.

  • Międzynarodowy zasięg naszej firmy zwiększa rozpoznawalność wydawanych przez nas certyfikatów oraz zapewnia nieustanną międzynarodową wymianę idei i korzystanie z najlepszych praktyk i rozwiązań.

  • Szybko reagujemy na zmiany wymagań i norm prawnych w Polsce i na świecie, dzięki temu Twoja firma będzie stale na bieżąco z ich przestrzeganiem.

WŚRÓD NASZYCH KLIENTÓW SĄ M.IN.:

INTERESUJE CIĘ CERTYFIKACJA NA ZGODNOŚĆ Z ISO/IEC 27017?

SKONTAKTUJ SIĘ Z NAMI

Odpowiemy na pytania i pomożemy załatwić wszystkie formalności.




    BARBARA WRÓBLEWSKA

    Koordynator ds. Certyfikacji i Szkoleń

    Chcesz dowiedzieć się więcej na temat certyfikacji? Napisz lub zadzwoń.

    Tel. +48 32 216 26 40
    Kom. 516 687 791
    E-mail: barbara.wroblewska@cis-cert.com.pl