In un’epoca in cui la protezione dei dati è una priorità strategica per aziende di ogni settore, le certificazioni ISO rappresentano uno strumento fondamentale per garantire sicurezza, conformità e fiducia. Tuttavia, tra le numerose norme esistenti, spesso si fa confusione su quali siano le differenze reali tra ISO 27001, ISO 27017 e ISO 27018.
Sono tutte normative che appartengono alla famiglia ISO/IEC 27000, focalizzata sulla sicurezza delle informazioni, ma ciascuna ha un ambito specifico:
- ISO 27001 definisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (ISMS);
- ISO 27017 fornisce linee guida specifiche per la sicurezza delle informazioni nei servizi cloud;
- ISO 27018 si concentra sulla protezione dei dati personali nel cloud, in conformità con i principi della privacy.
In questa guida completa analizzeremo nel dettaglio le caratteristiche di ciascuna norma, i punti in comune, le principali differenze e i contesti in cui è consigliabile adottarle.
L’obiettivo è offrire una panoramica chiara e utile per aiutare aziende, DPO, consulenti e responsabili IT a orientarsi in modo consapevole nel panorama delle certificazioni ISO in ambito sicurezza e privacy.
Differenze tra le certificazioni ISO 27001, 27017 e 27018
Le certificazioni ISO/IEC 27001, 27017 e 27018 rappresentano standard complementari che, pur condividendo l’obiettivo comune della tutela della sicurezza delle informazioni, si focalizzano su aspetti differenti e rispondono a esigenze specifiche.
Comprendere le peculiarità di ciascuna certificazione è fondamentale per selezionare quella più adeguata al contesto operativo e agli obiettivi di compliance della propria organizzazione.
Di seguito viene proposta una panoramica comparativa che evidenzia le principali differenze in termini di ambito di applicazione, caratteristiche tecniche, durata e costi.
| Caratteristica | ISO/IEC 27001:2017 | ISO/IEC 27017:2015 | ISO/IEC 27018:2019 |
| Tipo di documento | Standard internazionale | Codice di condotta | Codice di condotta |
| Obiettivo principale | Definire un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) | Sicurezza delle informazioni nei servizi cloud | Protezione dei dati personali nel cloud |
| Ambito applicativo | Qualsiasi organizzazione pubblica o privata | Fornitori e clienti di servizi cloud | Fornitori di servizi cloud che trattano dati personali |
| Focus specifico | Sicurezza delle informazioni a 360° | Estensione della ISO 27001 ai contesti cloud | Protezione delle informazioni personali identificabili (PII) in ambienti cloud |
| Destinatari principali | Tutte le organizzazioni | Provider e clienti di servizi cloud | Provider cloud che trattano dati personali |
| Anno di ultima versione | 2017 | 2015 | 2019 |
| Validità certificazione | 3 anni, con audit annuali di sorveglianza | 3 anni, se certificata come estensione della ISO 27001 | 3 anni, se certificata come estensione della ISO 27001 |
| Costo indicativo | Variabile in base a dimensioni e complessità; a partire da circa 5.000–10.000 €/anno | Aggiuntiva rispetto a ISO 27001; +20-30% in media | Aggiuntiva rispetto a ISO 27001; +15-25% in media |
| Esempi di aziende certificate | Descor, OVHcloud, Microsoft, Google, AWS | Descor, OVHcloud, Microsoft Azure | Descor, AWS, Microsoft, Oracle |
| Rilevanza GDPR / privacy | Indiretta | Indiretta | Alta – specifica per dati personali nel cloud |
| Link di approfondimento | Approfondisci la ISO 27001 | Approfondisci la ISO 27017 | Approfondisci la ISO 27018 |
ISO 27017 vs ISO 27018: principali differenze operative
Sebbene le norme ISO/IEC 27017 e ISO/IEC 27018 rientrino entrambe nella famiglia degli standard ISO/IEC 27000 e si configurino come estensioni della ISO/IEC 27001, esse presentano differenze sostanziali in termini di obiettivi e ambiti di applicazione, in particolare nel contesto del cloud computing.
La ISO/IEC 27017:2015 fornisce linee guida specifiche per l’implementazione di controlli di sicurezza delle informazioni nei servizi cloud.
Tale norma è destinata sia ai fornitori di servizi cloud (Cloud Service Provider – CSP) sia ai clienti, con l’obiettivo di chiarire le responsabilità condivise e supportare l’adozione di misure di sicurezza efficaci. I controlli proposti riguardano aspetti come la gestione degli accessi, la segregazione dei dati, il monitoraggio delle attività, nonché la protezione delle infrastrutture cloud.
L’attenzione è rivolta alla sicurezza in senso generale, indipendentemente dalla natura dei dati trattati.
La ISO/IEC 27018:2019 si concentra sulla protezione delle informazioni personali identificabili (PII) trattate in ambienti cloud ed è particolarmente rilevante per i fornitori di servizi cloud che operano come responsabili del trattamento per conto dei propri clienti.
La ISO 27018 introduce controlli orientati alla conformità normativa in materia di privacy, con riferimento a principi quali il consenso informato, la limitazione della finalità, la minimizzazione dei dati, la trasparenza, la cancellazione sicura e la gestione delle violazioni di dati personali.
In sintesi, la ISO/IEC 27017 si concentra sulla sicurezza tecnica e organizzativa del cloud, mentre la ISO/IEC 27018 è progettata per assicurare la conformità alle normative sulla protezione dei dati personali, come il Regolamento Generale sulla Protezione dei Dati (GDPR).
L’adozione congiunta di entrambi gli standard rappresenta una scelta strategica per i fornitori di servizi cloud che intendono garantire elevati livelli di sicurezza e tutela della privacy, rafforzando al contempo la fiducia dei propri clienti.
Come scegliere tra ISO 27001, 27017 e 27018?
La scelta tra le certificazioni ISO/IEC 27001, 27017 e 27018 dipende essenzialmente dalla natura dei servizi offerti, dal tipo di dati trattati e dagli specifici obiettivi di sicurezza e conformità dell’organizzazione.
In termini generali, la ISO/IEC 27001 rappresenta il punto di partenza imprescindibile. Questo standard costituisce il riferimento principale per l’implementazione di un ISMS e funge da base sulla quale si fondano le altre due certificazioni.
Pertanto, qualsiasi organizzazione, indipendentemente dal settore di appartenenza, che intenda strutturare e certificare il proprio approccio alla sicurezza delle informazioni dovrebbe iniziare da questa norma.
La ISO/IEC 27017 si rivolge, invece, alle organizzazioni che erogano o utilizzano servizi cloud e desiderano rafforzare la propria postura di sicurezza in ambienti virtualizzati. Essa fornisce indicazioni specifiche per il cloud computing e chiarisce le responsabilità condivise tra fornitori di servizi e clienti, risultando particolarmente utile per i Cloud Service Provider (CSP), nonché per le aziende che migrano o gestiscono infrastrutture cloud.
La ISO/IEC 27018 assume invece un’importanza prioritaria per i fornitori di servizi cloud che trattano dati personali identificabili (Personally Identifiable Information – PII) per conto dei propri clienti, desiderando assicurare un elevato livello di protezione della privacy in linea con i principali regolamenti in materia di tutela dei dati, come il Regolamento Generale sulla Protezione dei Dati (GDPR). Tale certificazione rappresenta una scelta strategica per le aziende operanti in settori altamente regolamentati o caratterizzati da una particolare sensibilità dei dati, quali sanità, finanza e servizi digitali su larga scala.
In sintesi, per le organizzazioni che non dispongono ancora di un Sistema di Gestione della Sicurezza delle Informazioni certificato, la ISO/IEC 27001 costituisce il primo passo indispensabile, essendo la base su cui si fondano le altre certificazioni e il presupposto per un approccio strutturato e documentato alla sicurezza delle informazioni.
Qualora l’organizzazione operi nel cloud, sia in qualità di fornitore di servizi sia come utilizzatore, è opportuno considerare l’adozione della ISO/IEC 27017, che introduce controlli specifici per il cloud computing e definisce ruoli e responsabilità tra provider e cliente.
Infine, nel caso in cui l’azienda gestisca dati personali nel cloud, specialmente per conto terzi, la ISO/IEC 27018 risulta fortemente raccomandata, in quanto orientata alla protezione della privacy e alla conformità alle normative vigenti in materia di protezione dei dati.
L’adozione combinata di tali certificazioni consente di implementare un sistema di gestione della sicurezza delle informazioni solido, affidabile e conforme agli standard internazionali, rafforzando così la fiducia di clienti, partner commerciali e autorità regolatorie.
Altri articoli interessanti:
- Direttiva NIS 2: cos’è, aziende a chi si applica e recepimento Italia
- Certificazione ISO 9001: cos’è, la norma, requisiti e costi per ottenerla
- Certificazione B Corp: cos’è, requisiti e lista aziende in Italia
- Obiettivi e direttiva Corporate Sustainability Due Diligence Directive
FAQ
ISO 27001 definisce il sistema di gestione della sicurezza delle informazioni. ISO 27017 aggiunge controlli specifici per la sicurezza nei servizi cloud.
Serve a proteggere i dati personali (PII) trattati nel cloud, garantendo la conformità a normative come il GDPR e tutelando la privacy dei clienti.
Sì, la certificazione ISO 27001 è un prerequisito necessario per ottenere sia la ISO 27017 che la ISO 27018, essendo la base comune.
Una SaaS dovrebbe partire da ISO 27001, integrare ISO 27017 per la sicurezza cloud e adottare ISO 27018 se gestisce dati personali di terzi.
In media dai 3 ai 6 mesi, a seconda della prontezza del sistema di gestione e dell’esistenza di una certificazione ISO 27001 attiva.