ISO/IEC 27017
Demuestre una seguridad específica de la nube con ISO/IEC 27017, junto a ISO 27001.
Brechas de los controles de nube
Frente a los controles de nube adicionales de la 27017
Dentro de su auditoría
Evaluado dentro de la auditoría ISO 27001
Alcance del certificado
Garantía de nube añadida a su certificado
Evaluadores de nube
Especialistas en seguridad de la nube
Qué es
ISO/IEC 27017 es un código de buenas prácticas que extiende ISO/IEC 27002 con recomendaciones de seguridad específicas de la nube, dirigidas tanto a proveedores como a clientes, aclarando las responsabilidades compartidas y el endurecimiento de la virtualización. Se implementa junto a un SGSI ISO 27001 y elimina la ambigüedad sobre quién protege qué entre usted y su proveedor de nube.
Quién debe cumplir
Los proveedores de servicios en la nube (SaaS, PaaS, IaaS) y los grandes consumidores de nube cuyos clientes exigen garantías específicas de la nube más allá de un mero certificado ISO 27001.
Cómo ayuda IntelligenceX
Preguntas frecuentes
No por separado. La 27017 se evalúa como una extensión del alcance de su certificación ISO 27001, referenciada en su certificado y en su informe de auditoría.
La 27017 cubre los controles de seguridad de la nube; la 27018 cubre la protección de los datos personales en las nubes públicas. La mayoría de los proveedores implementan ambas conjuntamente.
Si ya opera un SGSI ISO 27001, la 27017 es una capa incremental: evaluamos los controles de nube adicionales, documentamos el modelo de responsabilidad compartida y lo integramos en su declaración de aplicabilidad. Suele añadir solo unas pocas semanas al programa y se evalúa dentro de la misma auditoría.