ISO 27001ISO 27017ISO 27018

ISO 27001 vs 27017 vs 27018: quali servono al tuo cloud?

La 27001 è il framework. La 27017 e la 27018 sono estensioni cloud-specifiche. Quale stack di certificazioni serve davvero in gara con la PA.

2 min di lettura

TL;DR

ISO 27001 è il framework generale di sicurezza dell'informazione. ISO 27017 è l'estensione cloud-specifica. ISO 27018 è l'estensione su privacy e dati personali in cloud. Per un cloud provider serio, servono tutte e tre. Per un cliente B2B, basta verificare che il provider le abbia.

Cosa copre ciascuna norma

ISO/IEC 27001:2022

Lo standard dei sistemi di gestione della sicurezza dell'informazione (ISMS). Definisce policy, ruoli, controlli (Annex A con 93 controlli). Applicabile a qualsiasi azienda, non solo cloud.

ISO/IEC 27017:2015

Linee guida sui controlli di sicurezza per i servizi cloud. Estende l'Annex A di 27001 con controlli cloud-specifici (es. eliminazione sicura dei dati al termine del contratto, segregazione dei tenant).

ISO/IEC 27018:2019

Linee guida per la protezione dei dati personali (PII) nel cloud. Riferimento per cloud provider che trattano dati GDPR.

Quando serve ciascuna

| Scenario | Servono | |---|---| | Azienda non cloud | 27001 | | Cloud provider B2B | 27001 + 27017 | | Cloud provider che tratta dati personali | 27001 + 27017 + 27018 | | Bandi PA italiani | 27001 + 27017 + 27018 |

Sefthy è certificato su tutte e tre + ISO 9001 (qualità).

Differenze pratiche per il cliente

Il cliente che valuta un cloud provider deve guardare lo stack di certificazioni non singole.

  • Solo 27001? Provider generico, non è specializzato cloud.
  • 27001 + 27017? Cloud-aware, ma manca la garanzia GDPR-specifica.
  • Tutte e tre? Cloud provider serio, allineato al GDPR.

Quanto costa certificarsi

Per un cloud provider medio:

  • ISO 27001:2022: €25-50k al primo anno + €10-15k mantenimento.
  • Aggiunta 27017: €5-10k.
  • Aggiunta 27018: €5-10k.
  • Totale primo anno: €35-70k.

ROI in 18-24 mesi per provider che vendono in B2B regolato.

FAQ

Il cliente B2B deve avere 27017?

No. Il fornitore cloud deve averla. Il cliente B2B basta abbia 27001 (se è soggetto a 27001).

27018 è obbligatoria per GDPR?

No, ma facilita molto la documentazione GDPR del cloud provider verso i clienti.

Esistono certificazioni più recenti?

ENISA EUCS è in arrivo. Per ora le ISO restano lo standard de facto.

Per la guida pillar, ISO 27001:2022 e continuità. Per la verifica del cloud provider, Verificare cloud provider ISO 27001.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo