Conformità ad ISO 27001¶
La GARR Cloud Platform è stata certificata conforme ad ISO 27001, ISO 27017 e ISO27018.
ISO/IEC 27001:2013 è uno standard di gestione della sicurezza che specifica le migliori pratiche di gestione della sicurezza e controlli di sicurezza completi. La base di questa certificazione è lo sviluppo e l’implementazione di un adeguato Sistema di Gestione della Sicurezza delle Informazioni (ISMS), che definisce come GARR gestisce la sicurezza e la protezione dei dati. Il processo di certificazione verifica che GARR esegua le seguenti azioni:
valutare i rischi per la sicurezza delle informazioni dei servizi cloud, tenendo conto dell’impatto delle minacce e delle vulnerabilità.
implementare una serie completa di controlli sulla sicurezza delle informazioni e altre forme di gestione del rischio.
effettuare verifiche periodiche per valutare che i controlli sulla sicurezza delle informazioni soddisfino i requisiti.
ISO/IEC 27017:2015 fornisce indicazioni sugli aspetti della sicurezza delle informazioni del cloud computing, raccomandando l’implementazione di controlli di sicurezza delle informazioni specifici per il cloud che integrano gli standard ISO/IEC 27002 e ISO/IEC 27001. Questo codice di condotta fornisce indicazioni aggiuntive sull’implementazione dei controlli di sicurezza delle informazioni specifiche per i fornitori di servizi cloud.
ISO/IEC 27018:2019 è un codice di condotta che ha come obiettivo la protezione dei dati personali nel cloud. Si basa sullo standard di sicurezza delle informazioni ISO/IEC 27002 e fornisce una guida all’implementazione sui controlli ISO/IEC 27002 applicabili alle informazioni di identificazione personale (PII.) nel cloud pubblico. La Piattaforma Cloud GARR delega l’autenticazione agli Identity Provider della propria organizzazione utente, quindi non detiene PII.
ISO 27001 Compliance¶
The GARR Cloud Platform has been certified compliant to ISO 27001, ISO 27017 and ISO27018.
ISO/IEC 27001:2013 is a security management standard that specifies security management best practices and comprehensive security controls. The basis of this certification is the development and implementation of a suitable Information Security Management System (ISMS), which defines how GARR manages security and data protection. The certification process verifies that GARR does the following:
evaluatie the information security risks of the cloud services, taking into account the impact of threats and vulnerabilities.
implement a comprehensive set of information security controls and other forms of risk management to address customer and architecture security risks.
perform periodic checks that the information security controls meet the requirements.
ISO/IEC 27017:2015 provides guidance on the information security aspects of cloud computing, recommending the implementation of cloud-specific information security controls that supplement the guidance of the ISO/IEC 27002 and ISO/IEC 27001 standards. This code of practice provides additional information security controls implementation guidance specific to cloud service providers.
ISO/IEC 27018:2019 is a code of practice that focuses on protection of personal data in the cloud. It is based on ISO/IEC information security standard 27002 and provides implementation guidance on ISO/IEC 27002 controls applicable to public cloud Personally Identifiable Information (PII). The GARR Cloud Platform delegates authentication to the Identity Providers of the user own organization, therefore it does not hold PII.