ISO 27017
ISO/IEC 27017 – Sicurezza Cloud
Code of practice per la sicurezza dei servizi cloud. Estensione di ISO 27001 con 37+7 controlli.
Che cos'è ISO 27017
ISO/IEC 27017 è un code of practice internazionale per la sicurezza dei servizi cloud. Estende ISO 27001 con 37 controlli aggiuntivi e introduce 7 controlli specifici per il cloud.
L'obiettivo
Chiarire la responsabilità condivisa nel cloud. Chi gestisce le chiavi? Chi è responsabile della segregazione tra tenant? ISO 27017 risponde con linee guida operative.
I vantaggi concreti
Perché ISO 27017 conviene davvero.
Marketplace ACN
Requisito di accesso per fornitori di software/cloud alla PA.
Trasparenza con i clienti
Gestione cloud secondo standard internazionali.
Differenziale competitivo
Nelle gare cloud-aware (PA, banche) sempre più richiesta.
Estensione ISO 27001
Scope aggiuntivo, tempi e costi contenuti.
Come lavoriamo
Il nostro approccio.
01
Gap analysis
Audit iniziale per fotografare lo stato attuale e identificare i gap rispetto alla norma.
02
Implementazione
Progettazione del sistema, redazione documentale, formazione del personale.
03
Audit interno + Riesame
Verifica interna di funzionamento del sistema prima dell'audit di certificazione.
04
Mantenimento
Assistenza continua, audit annuali, aggiornamenti normativi.
Domande frequenti
Tutto quello che vuoi sapere su ISO 27017 .
Le domande che ci fanno più spesso. Non trovi la tua? Scrivici.
Devo già avere ISO 27001 per certificarmi ISO 27017?
Sì. ISO 27017 non è una norma autonoma ma un’estensione di ISO 27001 che aggiunge 37 controlli specifici per il cloud più 7 nuovi controlli cloud-only. Si certifica come scope aggiuntivo del certificato ISO 27001 esistente, non come certificato separato.
ISO 27017 è solo per cloud provider o anche per chi usa cloud?
Per entrambi. La norma ha sezioni specifiche per Cloud Service Provider (CSP – chi eroga servizi cloud) e per Cloud Service Customer (CSC – chi usa cloud per i propri dati). Le aziende che ospitano dati critici in AWS/Azure/GCP traggono valore certificandosi come CSC: dimostra una governance cloud strutturata.
Quanto costa aggiungere ISO 27017 al certificato 27001?
L’estensione costa indicativamente 3.000-6.000€ aggiuntivi (consulenza + costo aggiuntivo dell’ente). I tempi di implementazione sono brevi (2-4 mesi) se ISO 27001 è solido. Il ROI è alto soprattutto per chi punta al Marketplace ACN o a clienti enterprise cloud-aware.
È compatibile con la qualifica AGID per la PA italiana?
Sì. La ISO 27017 è considerata un requisito di partenza per la qualifica AGID dei servizi cloud destinati alla Pubblica Amministrazione italiana. Da sola non basta, ma è un building block fondamentale insieme alla 27001 e alla 27018.
Esistono contributi pubblici per coprire i costi del percorso di certificazione?
Sì, ci sono diverse linee di finanziamento che spesso coprono una quota significativa della spesa (consulenza + ente di certificazione). I principali per le aziende altoatesine:
- Provincia Autonoma di Bolzano – Legge Provinciale 14/2006 e direttive collegate sull’innovazione, digitalizzazione e sostenibilità, con contributi a fondo perduto fino al 40-50% delle spese di consulenza e certificazione per PMI.
- IDM Südtirol – bandi specifici per innovazione, transizione digitale e sostenibilità (anche per processi di certificazione).
- Camera di Commercio di Bolzano – voucher digitalizzazione PID (Punto Impresa Digitale), contributi per formazione 4.0, bandi periodici per certificazioni qualità, ambiente, sicurezza e cyber.
- PNRR e fondi europei – bandi periodici (Transizione 5.0, ISI INAIL, GOL, ecc.) a seconda della norma e del settore.
PL Consulting assiste le aziende nella ricerca dei contributi pubblici più appropriati e delle migliori pratiche di finanziamento tramite propri partner specializzati, dall’analisi di ammissibilità fino alla predisposizione e rendicontazione della domanda.
Strumenti correlati
Provali in 2 minuti.
Contatti
Parliamone.
Risposta entro 24 ore lavorative. Oppure chiamaci direttamente – preferiamo le voci ai form.