Certificação ISO 27017 - Segurança de serviços em nuvem

Comprovação de segurança da informação em serviços de CLOUD

ISO/IEC 27017 é uma norma internacionalmente reconhecida para assegurar serviços de nuvem/Cloud e destina-se a todos os fornecedores de serviços que atuam nesse segmento. A implementação destes sistema de gestão apoia as melhores medidas de segurança de informação específicas para serviços em nuvem/cloud. A norma tem entre as suas recomendações de implementação ao apoio da ISO/IEC 27002 e, portanto, encaixa-se perfeitamente num sistema de gestão de segurança de TI de acordo com a ISO/IEC 27001.

Informação sobre a norma ISO/IEC 27017

Os requisitos da norma ISO?IEC 27017 são especificamente adaptados aos prestadores de serviços na nuvem/cloud. Para cada área da norma global de segurança da informação, a ISO/IEC 27001, são delineadas as potenciais especificidades de segurança na nuvem. Esta metodologia permite identificar e integrar mais rapidamente estes requisitos de segurança no seu sistema de gestão de segurança.

A ISO/IEC 27017 baseia-se na conhecida norma ISO/IEC 27001 para sistemas de gestão de segurança da informação e acrescenta aspectos de segurança para a computação em nuvem. Desta forma, a certificação à ISO/IEC 27001 é também um pré-requisito para uma extensão da certificação para a ISO/IEC 27017.

A norma atual foi revista e confirmada pela ISO em 2021.

ISO/IEC 27017:2015 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base na ISO/IEC 27002 para serviços na nuvem/cloud.

A estrutura do conteúdo:

1 Escopo

2 Referências normativas

3 Termos e abreviaturas

4 Conceitos específicos do setor cloud

5 Políticas de segurança da informação

6 Organização da segurança da informação

7 Segurança de recursos humanos

8 Gestão de ativos

9 Controle de acesso

10 Criptografia

11 Segurança física e ambiental

12 Segurança operacional

13 Segurança das comunicações

14 Aquisição, desenvolvimento e manutenção de sistemas

15 Relações com fornecedores

16 Tratamento de incidentes de segurança da informação

17 Aspectos de segurança da informação e da gestão da continuidade do negócio

18 Compliance

Apêndice A Conjunto de medidas de expansão para serviços na nuvem.

Anexo B Referências ao risco de segurança da informação no contexto da nuvem computacional

A ISO/IEC 27017 está disponível no site da ISO.

Mostrar mais

Mostrar menos

Porque a certificação ISO/IEC 27017 é útil para a sua empresa?

A ISO/IEC 27017 enfatiza a importância da comunicação entre empresas de qualquer segmento ou área de atuação e os seus clientes para que possam desenvolver processos adequados de gestão de segurança. Além disso, a ISO/IEC 27017 especifica a relação entre os clientes de serviços e os fornecedores de serviços na nuvem. A norma descreve em detalhes o que os clientes podem esperar do seu fornecedor e o que os próprios fornecedores de informação devem providenciar e ter disponível para os seus clientes. Assim, a ISO/IEC 27017 diz respeito não só aos próprios fornecedores de serviços de nuvem, mas também à segurança da nuvem como um todo.

Se os requisitos da norma forem cumpridos, os fornecedores e clientes podem assumir que todos os pontos importantes relacionados com a segurança da informação para os serviços de cloud está sendo observados e monitorados.

Mostrar mais

Mostrar menos

Quais são os benefícios da ISO/IEC 27017?

A norma internacional para a segurança dos serviços na nuvem pode ajudar os fornecedores deste segmento a identificar aspectos de segurança importantes, a fim de escolher um parceiro adequado. Os gestores de TI querem muitas vezes mais flexibilidade para poder selecionar o melhor fornecedor de cloud computing. Como resultado, a prestação de serviços de TI está evoluindo de uma cadeia para uma rede mais ampla. As relações comerciais e técnicas multiplicam-se e isto, por sua vez, leva a um nível de complexidade totalmente novo.

A ISO/IEC 27017:2015 normaliza as relações entre os clientes e os fornecedores de serviços de cloud computing através de uma análise e da troca orientada de informações, facilitando a gestão da relação comercial.

Mostrar mais

Mostrar menos

Quem está autorizado a certificar a ISO/IEC 27017?

Para certificar um sistema de gestão da segurança da informação, o próprio organismo de certificação deve ser acreditado junto da ISO/IEC 17021 e ISO/IEC 27006. A DQS é acreditada pela Deutsche Akkreditierungsstelle GmbH (DAkkS) e outros, e está, portanto, autorizada a realizar auditorias e certificações de acordo com a ISO/IEC 27001 e a ISO/IEC 27017.

Como é a certificação ISO/IEC 27017?

Inicialmente você nos fornecerá informações sobre a sua empresa, seus sistema de gestão de segurança da informação e os objetivos das certificações ISO/IEC 27001 e ISO/IEC 27017. Com base nessas informações, você receberá uma proposta detalhada e transparente adaptada às necessidades da sua empresa ou organização.

As reuniões de projeto podem ser uma ferramenta muito útil para o planejamento de projetos maiores, a fim de planejar, elaborar os cronogramas e as etapas para a realização das auditorias para a sua empresa, além de esclarecer dúvidas do processo de certificação.
Após a aprovação da proposta de certificação, nós realizamos o planejamento e o cronograma da auditoria de certificação o qual envolverá as etapas iniciais de auditoria que será realizada na empresa envolvendo todos os departamentos.

Mediante solicitação, a DQS poderá realizar uma pré-auditoria como primeira avaliação do sistema de gestão, identificando pontos fortes e eventuais necessidades de ajustes, além de verificar se a empresa se encontra apta para o processo de certificação. Ambos os serviços são opcionais.

A auditoria de certificação começa com a auditoria conhecida como uma análise do sistema de gestão (1ª fase). Nesta etapa é realizada a avaliação da documentação do sistema de gestão, objetivos resultados das auditorias internas e da reunião da alta direção. Ao fazer isso, determinamos se o sistema de gestão da sua empresa está suficientemente desenvolvido e pronto para a próxima etapa da certificação.

Na etapa seguinte conhecida como auditoria do sistema (2ª fase), o seu auditor avalia a eficácia de todos os processos do sistema de gestão localmente na empresa, tendo como base as normas de referência seus requisitos e anexos, além de eventuais obrigações legais e legislações que eventualmente sua empresa tenha que cumprir. O resultado da auditoria é apresentado em uma reunião de fechamento, com apresentação do andamento da auditoria e pontos fortes. Caso seja necessário, planos de ação são acordados.

Após a auditoria de certificação, os resultados da auditoria são avaliados pelo comitê de certificação independente da DQS e a sua empresa receberá um relatório documentando os resultados da auditoria. Se todos os requisitos da norma, anexos e eventualmente requisitos regulamentares e legais estiverem sido cumpridos, sua empresa receberá o certificado de conformidade da DQS de acordo com a ISO/IEC 27017. O período de validade do certificado de conformidade está diretamente ligado à validade do certificado ISO/IEC 27001 principal.

Com vistas a manter à melhoria contínua e à manter a eficácia do sistema de gestão, auditorias de manutenção devem ser realizadas na empresa, verificando os processos-chave do seu sistema de gestão visando garantir que a empresa continue a cumprir com todos os critérios importantes da ISO/IEC 27017 e seus anexos e requisitos regulamentares, pelo menos uma vez por ano.

O certificado de conformidade é válido por um período máximo de três anos, de acordo com a validade do certificado da ISO/IEC 27001 principal. A auditoria de recertificação deve ser realizada com bastante antecedência com relação a data de expiração do ciclo de auditoria e do certificado. Isso assegura a conformidade contínua dos requisitos da norma aplicável. Após a realização com sucesso da auditoria de recertificação é emitido um novo certificado de conformidade com duração de mais um ciclo de 3 anos.

Quanto custa a certificação ISO/IEC 27017?

A segurança das operações de uma empresa é um item muito importante e estratégico e geralmente possui um valor muito grande.

Por esse motivo, ter na sua empresa um sistema de gestão implementado e certificado trará inúmeros benefícios e muitas vezes diferenciais competitivos para a sua empresa.

O valor da certificação com a ISO/IEC 27017 pode variar de empresa para empresa, dependendo de vários fatores, tais como: o tamanho da sua empresa, quantidade de funcionários, a complexidade da sua organização e os processos.

Porquê a DQS?

Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
Auditorias que agregam valor a sua organização
Auditores com experiência prática e alto nível de competência no ramo de atuação da sua empresa
Certificados com aceitação internacional
Presença global com mais de 80 escritório em aproximadamente 66 países
Portfólio de serviços que incluem mais de 200 serviços em certificações de sistemas de gestão

A DQS entende o seu negócio e trabalha de forma a dar suporte a sua empresa através dos nossos especialistas - a nível local, nacional e internacional
Relatórios de auditoria significativos, incluindo recomendações de ações e pontos de melhoria
Propostas claras e transparentes de acordo com as características da empresa
Auditores multi-normas (ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001, etc), proporcionando a sua empresa uma amplo atendimento as normas de Tecnologia
Pronto atendimento para a sua empresa, através de equipe da DQS localmente

Mostrar mais

Mostrar menos

Escolha o seu idioma

Certificação ISO/IEC 27017

Comprovação de segurança da informação em serviços de CLOUD

Informação sobre a norma ISO/IEC 27017

Porque a certificação ISO/IEC 27017 é útil para a sua empresa?

Quais são os benefícios da ISO/IEC 27017?

Quem está autorizado a certificar a ISO/IEC 27017?

Como é a certificação ISO/IEC 27017?

Quanto custa a certificação ISO/IEC 27017?

Porquê a DQS?

Peça uma proposta

Sua pessoa de contato local

Alguma pergunta?