ISO 27017: Controles de seguridad para servicios en la nube
¿Qué es la norma ISO 27017?
ISO/IEC 27017:2015 es un código de buenas prácticas de seguridad de la información para servicios en la nube. Es una extensión de las normas ISO/IEC 27001:2022 e ISO/IEC 27002, y proporciona controles de seguridad adicionales para los proveedores de servicios en la nube y para los clientes de servicios en la nube. Una organización que aplique la norma seleccionará los controles pertinentes para sus circunstancias.
Como ampliación de la norma ISO 27002, la norma ISO 27017 proporciona orientación sobre 33 controles de la norma 27002, así como algunos controles adicionales:
- Funciones y responsabilidades compartidas entre los proveedores de servicios en nube y los clientes.
- Retirada y devolución de los activos de los clientes de servicios en nube cuando se ha rescindido un contrato.
- Segregación en entornos informáticos virtuales.
- Refuerzo seguro de máquinas virtuales.
- Documentación de procedimientos operativos críticos.
- Supervisión por parte de los clientes de las actividades relevantes dentro de la nube.
- Alineación de la gestión de la seguridad para redes virtuales y físicas.
Útil con
- Confianza del cliente
- Reputación empresarial
- Ventaja competitiva
- Filtraciones de datos
- Confidencialidad permanente
- Cumplir con la normativa
- Gestión de riesgos
- Mayor seguridad
- Adquisiciones
Otras normas de gestión de riesgos:
- ISO 27001 - Seguridad de la información
- ISO 27701 - Privacidad de la información
- ISO 20000-1 - Gestión de servicios TI
- ISO 27018 - Protección de la información de identificación personal
- ISO 22301 - Continuidad de negocio
- ISO 44001 - Relaciones de trabajo colaborativas
- ISO 55001 - Gestión de activos
- ISO 41001 - Gestión de inmuebles
Beneficios de la certificación ISO 27017
Garantía externa para los clientes
Proporciona garantías externas a los clientes de que la información procesada en la nube por su proveedor de servicios en la nube es segura.
Reducir riesgos
Ayuda a reducir riesgos de brechas de seguridad y otros riesgos, lo que aumenta la confianza de las partes interesadas.
Marco para clientes de servicios en nube
Proporciona un marco completo de gestión de la seguridad de la información para los clientes de servicios en nube y, al hacerlo, exige responsabilidades a sus proveedores.
Amplía y mejora la certificación
Amplía y mejora la certificación ISO 27001.
Marco de gestión de la seguridad de la información
Proporciona un marco completo de gestión de la seguridad de la información para los proveedores de servicios en la nube que deseen mayores garantías sobre la seguridad de sus operaciones y de la información de sus clientes.
¿Por qué implantar la norma ISO 27017?
Es vital que los clientes se sientan seguros de que sus datos se almacenan en la nube. Contar con la norma ISO/IEC 27017 permite disponer de un marco normalizado internacional que puede ayudar a reducir el riesgo de filtración de datos y generar confianza en el cliente al demostrar su compromiso con la seguridad de la información. La norma también orienta a los clientes de servicios en la nube sobre lo que deben esperar de sus proveedores de servicios en la nube.
La norma abarca una serie de temas como la propiedad de activos, la retirada y devolución de activos cuando se rescinde el contrato con un cliente, la protección y separación del entorno virtual de un cliente, etc. Con el creciente riesgo de filtración de datos en la nube, ahora más que nunca es importante saber que usted y su organización están haciendo todo lo posible para tratar de reducir estos riesgos como proveedor de servicios en la nube y/o cliente de servicios en la nube.
Como la norma ISO 27017 se construye a partir de los cimientos de las normas ISO 27001 e ISO 27002, la certificación demuestra el cumplimiento a nivel internacional y ayuda a su organización, tanto a los proveedores de servicios en la nube como a los clientes de servicios en la nube, contra los riesgos dentro de la nube.
Cómo puede ayudarle NQA
Con una amplia experiencia en la certificación de sistemas de gestión acreditados, NQA está en una posición ideal para colaborar con su empresa con el fin de cumplir los requisitos de las partes interesadas y superar las expectativas del sector.
- Comités técnicos y relaciones con la industria. NQA participa activamente en una gran variedad de comités industriales y equipos de redacción de normas, lo que nos ayuda a mantenernos al tanto de los cambios que se producen en el sector.
- Transferencia de conocimientos a nuestros clientes. NQA se compromete a garantizar la concienciación del cliente con respecto a los cambios en la estrategia del sector, los reglamentos y los requisitos normativos que puedan afectar al enfoque de su sistema de gestión.
Si está interesado en saber cómo NQA puede ayudarle a obtener la certificación ISO 27017, póngase en contacto con nosotros o solicite presupuesto online.
PROCESO DE CERTIFICACIÓN
-
Paso 1
Necesitará rellenar el formulario de solicitud para que NQA puede comprender las necesidades y requisitos de su empresa. También puede hacernos llegar su solicitud rellenando el presupuesto rápido o formal. Utilizaremos la información proporcionada para definir el alcance de la auditoría y proporcionarle un presupuesto de certificación.
-
Paso 2
Una vez haya aceptado y firmado el presupuesto, estableceremos una fecha de auditoría. La certificación inicial está compuesta por dos visitas (fase 1 y fase 2). Por favor, tenga en cuenta que su sistema de gestión habrá tenido que estar en funcionamiento por al menos 3 meses y haber superado una revisión por la dirección y una auditoría interna.
-
Paso 3
Si supera con éxito la fase 1 y fase 2 de la auditoría satisfactoriamente, NQA emitirá un certificado de la norma auditada. Recibirá una copia de su certificado con una validez de 3 años, sujeto a la superación de auditorías de mantenimiento anuales y una recertificación trienal.