【ISMS(ISO27001)】ISO27017:cloud(クラウド)サービスに対応した規格の取得で注意すべきポイント

ISMS(ISO27001)認証を前提に、ISO27017=cloud(クラウド)サービスに対応した規格の取得をすることができます。
ISMSは、情報セキュリティマネジメントシステムの国際規格ですが、ISO27017はcloud(クラウド)サービスにも対応した規格となります。
ISMSの取得で注意すべき3つのポイントは、
①すでにISMS(ISO27001)を取得済であるか、ISMS(ISO27001)とISO27017を同時取得する必要がある
②適用範囲がISMS(ISO27001)と同一、または範囲内であること
③審査はISMS(ISO27001)と同時に受けるべき

の3点です。

WEBサイトで調べてもなかなか情報が出てこないISO27017(クラウドセキュリティ認証)。
ISO27017認証取得について詳しくお話していきます。

そもそもISO27017とは?

正式名称はISO/IEC 27017、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。
(出典:https://www.jqa.jp/service_list/management/forum/seminar.html?themeid=HO2)
昨今、クラウドサービスを提供する企業やクラウドサービスを利用する企業が増えてきたことで需要が高まりつつあります。

取得のメリットは?

取得のメリットは大きくわけて3つあります。
①セキュリティ体制の対外的アピール
②官公庁入札
④大手クライアントの仕事請負/口座開設

ISMS-ACで調べられるISO27017の取得企業数は186社(2020年10月現在)。
取得企業数が少ない今が、“差別化”のチャンスです。

ISMS(ISO27001情報セキュリティマネジメントシステム)が流行りだしたときと同じですね。
ISMSも最初は取得企業数が少なく、認証を持っているだけで優位に立つことができました。
ただ、ISMSはもう持っていて当たり前の時代です。

どれくらいで取得できるの?

弊社のサポートですと、キックオフから約6か月でISO27017の取得が可能です。
自社で構築されるケースだと約1年かかるケースが多いようです。

注意すべき3つのポイント

気を付けなければならない点が3つあります。

① 取得について

すでにISMS(ISO27001)を取得済であるか、ISMSとISO27017同時取得する必要があります。

ISO27017は、ISMSのアドオン認証です。
アドオン認証とは、「ISMSを持っている企業が追加で取れる規格」という意味です。
なので、ISO27017を認証取得したい場合、
・ISMSと同時に構築し、取得する
・ISMSを持っている企業が、追加でISO27017を構築し取得する
のどちらかのパターンになります。

② 適用範囲

ISMS(ISO27001)と同一、または範囲内とします。
ISMSとISO27017の対象組織・対象拠点・対象部門は同一か、ISMSの範囲にISO27017が包括されている状態にしなければいけません。

③ 審査

ISMS(ISO27001)と同時に審査を受けます。
厳密には、別々の審査も可能ですが、費用や工数の関係から同時審査を推奨します。

具体的に何をすればいいの?

具体的にやることは2点あります。

① ISMSの114の管理策をクラウドサービス用にアップデート

そもそもISMS(ISO27001 情報セキュリティマネジメントシステム)のアドオン認証なので、まずはISMSを構築することが前提です。
また、ISMSをすでに構築している企業様では、構築したルールをクラウドサービス用にアップデートする必要があります。

② ISO27017の新しい基準7項目の追加

ざっくりいうと、ISMSには無い7つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要がございます。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化
CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

似たようなISO27018って何?

ISO27018は、個人情報を含むクラウドサービスに特化した規格です。
よって、個人情報を取り扱うクラウドサービスを提供している企業(提供者)が対象になります。

ISO27017・・・クラウドサービス「全般」のセキュリティマネジメントシステム
ISO27018・・・クラウドサービス内の「個人情報」に焦点を当てたセキュリティマネジメントシステム

まとめ

いかがでしたでしょうか?

ISO27017の取得で注意すべき3つのポイントは、以下の通りです。

①すでにISO27017(ISMS)を取得済であるか、ISO27001とISO27017同時取得する必要がある
②適用範囲がISO27001と同一、または範囲内であること
③審査はISO27001(ISMS)と同時に受けるべき

ご興味ある場合は無料相談を受け付けております。お気軽にご相談ください。

  • お客様の声
  • 無料プレゼント

カテゴリー: