ISO 27017: Controlos de segurança para serviços em nuvem
O que é a norma ISO 27017?
A ISO/IEC 27017:2015 é um código de boas práticas de segurança da informação para serviços em nuvem. É uma extensão da ISO/IEC 27001:2022 e da ISO/IEC 27002, e fornece controlos de segurança adicionais para os fornecedores e clientes de serviços de computação em nuvem. Uma organização que implemente a norma selecionará os controlos relevantes para as suas circunstâncias.
Como extensão da ISO 27002, a ISO 27017 fornece orientações sobre 33 controlos da ISO 27002, bem como alguns controlos adicionais:
- Partilha de funções e responsabilidades entre os fornecedores de serviços de computação em nuvem e os clientes.
- Retirada e devolução dos activos dos clientes de serviços de computação em nuvem quando um contrato é rescindido.
- Segregação em ambientes informáticos virtuais.
- Fortalecimento seguro de máquinas virtuais.
- Documentação de procedimentos operacionais críticos.
- Monitorização pelo cliente das actividades relevantes na nuvem.
- Alinhamento da gestão da segurança para redes virtuais e físicas.
Útil com
- Confiança do cliente
- Reputação da empresa
- Vantagem competitiva
- Fugas de dados
- Confidencialidade permanente
- Cumprir os regulamentos
- Gestão do risco
- Aumento da segurança
- Aquisições
Outras normas de gestão do risco:
- ISO 27001 - Segurança da informação
- ISO 27701 - Privacidade das informações
- ISO 20000-1 - Gestão de serviços de TI
- ISO 27018 - Proteção de informações pessoais identificáveis
- ISO 22301 - Continuidade das actividades
- ISO 44001 - Relações de trabalho colaborativas
- ISO 55001 - Gestão de activos
- ISO 41001 - Gestão de propriedades
Benefícios da certificação ISO 27017
Garantia externa para os clientes
Fornece garantias externas aos clientes de que as informações processadas na nuvem pelo seu fornecedor de serviços de nuvem são seguras.
Redução dos riscos
Ajuda a reduzir os riscos de violações da segurança e outros riscos, o que aumenta a confiança das partes interessadas.
Quadro para clientes de serviços em nuvem
Fornece um quadro abrangente de gestão da segurança da informação para os clientes de serviços em nuvem e, ao fazê-lo, responsabiliza os seus fornecedores.
Alarga e melhora a certificação
Amplia e melhora a certificação ISO 27001.
Quadro de gestão da segurança da informação
Fornece um quadro abrangente de gestão da segurança da informação para os fornecedores de serviços de computação em nuvem que pretendem maiores garantias sobre a segurança das suas operações e das informações dos seus clientes.
Porquê implementar a norma ISO 27017?
É vital que os clientes se sintam confiantes de que os seus dados estão armazenados na nuvem. A norma ISO/IEC 27017 fornece uma estrutura internacional normalizada que pode ajudar a reduzir o risco de violações de dados e aumentar a confiança dos clientes, demonstrando um compromisso com a segurança das informações. A norma também fornece orientações aos clientes da nuvem sobre o que devem esperar dos seus fornecedores de serviços de nuvem.
A norma abrange uma série de tópicos, como a propriedade de activos, a remoção e a devolução de activos aquando da rescisão de um contrato com um cliente, a proteção e a separação do ambiente virtual de um cliente, etc. Com o risco crescente de violações de dados na nuvem, agora, mais do que nunca, é importante saber que você e a sua organização estão a fazer tudo o que é possível para tentar reduzir esses riscos enquanto fornecedor e/ou cliente de serviços na nuvem.
Uma vez que a ISO 27017 assenta nas bases da ISO 27001 e da ISO 27002, a certificação demonstra a conformidade a nível internacional e ajuda a sua organização, tanto os fornecedores como os clientes de serviços na nuvem, a proteger-se contra os riscos na nuvem.
Como o NQA o pode ajudar
Com uma vasta experiência na certificação de sistemas de gestão acreditados, o NQA está numa posição ideal para trabalhar com a sua empresa de modo a cumprir os requisitos das partes interessadas e exceder as expectativas da indústria.
- Comités técnicos e relações com a indústria. O NQA participa ativamente numa vasta gama de comités da indústria e equipas de elaboração de normas, ajudando-nos a mantermo-nos a par das mudanças na indústria.
- Transferência de conhecimentos para os nossos clientes. O NQA está empenhado em assegurar a sensibilização dos clientes para as mudanças na estratégia da indústria, regulamentos e requisitos regulamentares que possam afetar a abordagem do seu sistema de gestão.
Se estiver interessado em saber como o NQA o pode ajudar a obter a certificação ISO 27017, contacte-nos ou solicite um orçamento online.
PROCESSO DE CERTIFICAÇÃO
-
Passo 1
Terá de preencher o formulário de candidatura para que o NQA possa compreender as necessidades e os requisitos da sua empresa. Também pode apresentar o seu pedido preenchendo o orçamento rápido ou formal. Utilizaremos as informações fornecidas para definir o âmbito da auditoria e fornecer-lhe um orçamento de certificação.
-
Passo 2
Depois de ter aceite e assinado o orçamento, marcaremos uma data para a auditoria. A certificação inicial é composta por duas visitas (fase 1 e fase 2). O seu sistema de gestão deve estar a funcionar há pelo menos 3 meses e ter sido aprovado numa análise da gestão e numa auditoria interna.
-
Passo 3
Se passar com sucesso a fase 1 e a fase 2 da auditoria, o NQA emitirá um certificado para a norma auditada. Receberá uma cópia do seu certificado válida por 3 anos, sujeita à aprovação em auditorias de manutenção anuais e à recertificação trienal.