Consulenza ISO/IEC 27017 & 27018

Che cos’è

ISO/IEC 27017 e ISO/IEC 27018 sono due estensioni cloud-specific di ISO/IEC 27001. Non sono standard “separati” — si innestano su un SGSI già conforme a 27001.

• ISO/IEC 27017 estende i controlli di sicurezza di 27002 al contesto cloud, introducendo controlli aggiuntivi per cloud service provider (CSP) e cloud service customer (CSC). Definisce con precisione chi fa cosa nel modello di responsabilità condivisa.
• ISO/IEC 27018 è focalizzato sulla protezione dei dati personali (PII) trattati come processor nel cloud — una sorta di cornice pre-GDPR applicabile a livello internazionale, complementare al Regolamento.

Entrambe sono audit di terza parte e portano a un certificato spendibile commercialmente.

Cosa ottieni

• Gap analysis cloud-specific rispetto ai controlli aggiuntivi di 27017 (CLD.6.3, CLD.8.1, CLD.9.5, CLD.12.1, CLD.12.4, CLD.13.1) e agli obiettivi di 27018.
• Aggiornamento del Statement of Applicability per includere i controlli cloud.
• Accordi chiari con i sub-fornitori cloud — SLA, Data Processing Agreement, piano di egressione dati, gestione dell’incidente in condominio.
• Matrice di responsabilità condivisa documentata e contrattualizzata — chi gestisce cifratura at rest, chi in transit, chi log, chi backup, chi DR.
• Procedure PII per CSP che agiscono come processor: consenso, opposizione, diritti dell’interessato, notifica al titolare in caso di breach.
• Pre-audit simulato e accompagnamento alla visita dell’organismo di certificazione.

A chi si rivolge

• SaaS vendor italiani ed europei che vogliono vendere a clienti enterprise e PA.
• Managed Service Provider e cloud broker che rivendono servizi AWS / Azure / GCP con valore aggiunto.
• Data center e hosting provider che trattano PII per conto di clienti.
• Organizzazioni già certificate ISO 27001 che vogliono estendere il perimetro al cloud — richiesta sempre più frequente in gare pubbliche e contratti B2B.
• Soggetti in perimetro NIS2/DORA che usano cloud critici.

Metodologia

Ipotizzando un SGSI ISO 27001 già in essere:

1. Mappatura dei servizi cloud — pubblici, privati, ibridi; SaaS, PaaS, IaaS; provider di primo e secondo livello.
2. Analisi della responsabilità condivisa — per ogni servizio, chi è responsabile di ciascun controllo.
3. Revisione contrattuale — verifico DPA, SLA, clausole di audit, policy di sub-processing dei fornitori cloud.
4. Estensione del SoA — integro i controlli di 27017 e gli obiettivi di 27018.
5. Implementazione dei controlli tecnici — cifratura lato cliente, gestione delle chiavi, log segregati, segregazione multi-tenant.
6. Documentazione per l’audit — evidenze concrete, non dichiarazioni.

Se il SGSI ISO 27001 non è ancora attivo, consiglio di partire da quello: attivare 27017/27018 senza un SGSI di base è un cortocircuito.

Perché con me

Ho lavorato con provider cloud (Microsoft, DELL, Sophos come partner) e ho seguito configurazioni multi-cloud in Italia, Albania e Malta. Il cloud che conosco non è quello dei brochure: è quello dei log sbilanciati fra sub-fornitori e delle responsabilità scritte male nei contratti. Porto sul tavolo quella consapevolezza concreta.