Estensione di accreditamento ISO/IEC 27001 alle linee guida ISO/IEC 27017 e ISO/IEC 27018

La certificazione ISO 27001, integrata con le linee guida ISO 27017 e ISO 27018, permette alle aziende che erogano servizi in SaaS, IaaS e PaaS o sono Cloud Service Provider di garantire ai propri clienti una maggiore protezione dei dati trattati.

Le linee guida si basano e rinforzano gli standard ISO/IEC 27001 e ISO/IEC 27002 in materia di Gestione della Sicurezza delle Informazioni, e stabiliscono obiettivi di controllo, regole e procedure per implementare adeguate misure di protezione per i fornitori di servizi in Cloud.

Scenario

Con la diffusione del Cyber Crime sono aumentate le preoccupazioni dei clienti per la trasparenza, la riservatezza e la disponibilità sui servizi erogati dai loro fornitori. I clienti spesso non sono a conoscenza di come siano protette le informazioni archiviate e dove sono localizzate.

Sulla spinta della Commissione Europea, delle Autorità Nazionali e delle Commissioni per la protezione dei dati, ISO e IEC hanno quindi sviluppato delle nuove linee guida per la protezione delle informazioni, tra cui la ISO/IEC 27108:2014 – “Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” e la ISO/IEC 27017:2015 “Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services”.

Inoltre l’Agenzia per l’Italia Digitale (AgID), in attuazione a quanto previsto dal “Piano Triennale per l’informatica nella Pubblica Amministrazione 2017- 2019”, ha definito i requisiti per la qualificazione dei Cloud Service Provider e dei servizi SaaS erogabili sul Cloud della PA, con la finalità di permettere a fornitori qualificati della P.A. di inserire i propri servizi nel Marketplace Cloud della P.A.

Tra i requisiti richiesti per la qualifica AgID esistono anche quelli specifici per la sicurezza delle informazioni. A tale proposito AgID richiede obbligatoriamente ai fornitori/provider di software, di essere in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa ai controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione deve essere stata rilasciata da organismi nazionali accreditati da Organismi di accreditamento riconosciuti dalla Unione Europea (in Italia Accredia).

Destinatari

Destinatari principali di questi servizi sono sicuramente le aziende che offrono servizi software specialistici per la Pubblica Amministrazione, così come indicato da AgID, ma anche le altre aziende che intendano fornire ai propri clienti garanzie aggiuntive e che i servizi informatici in cloud offerti abbiano il corretto livello di sicurezza e protezione delle informazioni dei clienti.

Il servizio offerto da Kiwa

Kiwa Cermet Italia a novembre 2018 ha ottenuto l’estensione dell’accreditamento dello schema di certificazione ISO/IEC 27001:2013 a tutte le linee guida per la protezione delle informazioni, tra cui anche la ISO 27017 e la ISO 27018.

Siamo quindi a disposizione per approfondire le esigenze specifiche (ambito di applicazione richiesto dalla ISO 27001 e dalle Linee guida correlate) e per concordare gli step specifici per formulare la nostra proposta tecnico-economica per la Certificazione.

I vantaggi della Certificazione

L’adozione dell’infrastruttura Cloud consente di migliorare l'efficienza operativa dei sistemi Ict, di conseguire significative riduzioni di costi, di rendere più semplice ed economico l’aggiornamento dei software, di migliorare la sicurezza e la protezione dei dati e di velocizzare l’erogazione dei servizi a cittadini e imprese.

Per questo motivo i fornitori di software che erogano servizi in Cloud per la Pubblica Amministrazione, con l’ottenimento della Certificazione ISO 27001 integrata con le linee guida specifiche ISO 27017 e ISO 27018, possono qualificare i propri servizi e infrastrutture Cloud secondo specifici parametri di sicurezza e affidabilità idonei per le esigenze della P.A., garantendo ai propri clienti:

• Miglioramento dei livelli di servizio, accessibilità, usabilità e sicurezza;
• Interoperabilità dei servizi nell’ambito del modello Cloud della PA;
• Resilienza, scalabilità, «reversibilità» e protezione dei dati.