ISO/IEC27017とは
ISO/IEC27017とは、ISO/IEC27002(情報セキュリティ管理策の実践のための規範)に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範を規定する国際規格です。2016年8月より、一般社団法人 情報マネジメントシステム認定センター(ISMS-AC)によるISMSクラウドセキュリティ認証制度が開始されました。
クラウドサービスとは、従来はオンプレミスと呼ばれる利用者が自ら運用する情報システムで管理していたデータやソフトウェアを、ネットワーク経由で、クラウドサービス事業者のサービスを利用する形態を言います。利用者側がPCや携帯情報端末などのクライアント、その上で動くWebブラウザ、インターネット接続環境などを使用することで、クラウドサービス事業者よりさまざまなサービスを利用することができます。自ら情報システムを構築・運用することなく、ネットワークを介してクラウドサービスを利用する形態のため、その利便性、コストダウン、スケーラビリティ等のメリットにより急速に普及してきています。
ISO/IEC27001に基づくISMSは、情報やサーバー等所有する資産をベースとしたマネジメントシステムですが、クラウドサービスを利用する場合のリスクマネジメントや管理策が具体的には規定されていなかったため、ISMSの情報セキュリティ管理策にさらにクラウドセキュリティの管理策を付加する形でISO/IEC27017が作成されました。
ISMSにISO/IEC27017に基づくISMSクラウドセキュリティ管理策を付加することにより、クラウドサービスを提供する場合やクラウドサービスを利用する場合のリスクマネジメントの実施、クラウドセキュリティ管理レベルの向上により、クラウドサービスに伴う様々なリスク対応としての効果が期待できます。また、ISO/IEC27001に加えてISO/IEC27017の認証を取得することで、クラウドサービスに対応した情報セキュリティ管理の取組みを外部組織にアピールすることができます。
ISO/IEC27017の認証対象
クラウドサービスは、調達者、供給者の関係によるサプライチェーンを形成することがあります。クラウドサービスカスタマを調達者、クラウドサービスプロバイダを供給者とする関係を構成するため、規格が規定する 「認証対象」は3通りあります。
- クラウドサービスカスタマ - クラウドサービス利用者-
- クラウドサービスプロバイダ - クラウドサービス事業者-
- クラウドサービスカスタマとクラウドサービスプロバイダの複合 -他社のクラウドサービスを利用し、サービス提供している事業者-
ISO/IEC27017の適用範囲
ISMSクラウドセキュリティの認証はISMSの認証が必須です。そのため、ISMSを既に認証している組織がISMSクラウドセキュリティを追加認証するか、ISMSとISMSクラウドセキュリティを同時に新規認証することになります。ISMSの適用範囲の中にISMSクラウドセキュリティの適用範囲が定義され、ISMSの適用範囲を越えることはできません。適用範囲は、次に図示する範囲のどちらかとなります。
ISO/IEC27017の規格構成
(ご参考) ISO/IEC 27017:2015の条項
- 0.序文
- 1.適用範囲
- 2.引用規格
- 3.定義及び略語
- 4.クラウド分野固有の概念
- 5.情報セキュリティのための方針群
- 6.情報セキュリティのための組織
- 7.人的資源のセキュリティ
- 8.資産の管理
- 9.アクセス制御
- 10.暗号
- 11.物理的及び環境的セキュリティ
- 12.運用のセキュリティ
- 13.通信のセキュリティ
- 14.システムの取得・開発及び保守
- 15.供給者関係
- 16.情報セキュリティインシデント管理
- 17.事業継続マネジメントにおける情報セキュリティの側面
- 18.順守
- 附属書A クラウドサービス拡張管理策集
- 附属書B クラウドコンピューティングの情報
セキュリティリスクに関する参考文献
JICQAのISO/IEC27017の審査の特色
- お客様のマネジメントシステムを向上させるため、継続的な改善に貢献します。
- 審査チームリーダーは、原則、3年継続して審査を担当いたします。
- 審査員は、ISO/IEC27001、ISO/IEC27017だけではなく、ISO9001(品質)、ISO14001(環境)等の2種類以上のマネジメントシステムの審査員資格を有しており、幅広い見地からの審査が可能です。
JICQAの審査プロセス
当社の審査プロセスを以下に示します。
6カ月から8カ月
-
- 見積りのご依頼
- お見積りはこちらからお申込みください。
-
- 見積書のご検討
- 見積内容でご不明な点がございましたら、営業部までお問い合わせください。
-
- 審査登録のお申し込み / ご契約
- マネジメントシステム審査申請書等をご提出下さい。(※1)
-
- 審査チームリーダー決定
- 幅広い専門性、高い審査技術を持つチームリーダーを選定します。
-
- 第1段階審査
- ISMS文書の整備状況の確認と第2段階審査で不適合が懸念される領域(懸念領域)の特定を目的に行います。
-
- 第2段階審査
- 組織が自ら定めた方針、目的、手順、運用状況の確認、実作業の観察等により、文書化された手順が理解され、実施され、維持されていることを確認します。(※2)
-
- 登録の可否決定
- 初回審査の審査結果に基づき、認証決定プロセスにおいて登録の可否を決定します。
-
- 登録証発行
- 登録の決定後、登録証(有効期間は登録日から3年間)を発行します。(※3)
-
- サーベイランス審査
- 少なくとも年1回、定期的に組織を訪問し、組織のISMS及びISMSクラウドセキュリティの要求事項について引き続き適合し、維持されていることを確認します。
-
- 更新審査
- 3年に1回、組織のISMS及びISMSクラウドセキュリティが要求事項に引き続き適合しているかどうかを審査し、また組織のマネジメントシステムの有効性ならびに登録範囲の適切性についても確認し、評価します。
-
- 登録更新の可否決定
- 更新審査の審査結果に基づき、登録の有効期限満了日までに認証決定プロセスにおいて登録更新可否の決定を行い、登録更新可と決定した組織の登録証を更新します。
(※1) 審査申請書には、クラウドサービスに関して、下記をご記入ください。
(1) クラウドサービスカスタマ 〜クラウドサービス利用者
(2)クラウドサービスプロバイダ〜クラウドサービス事業者
(3)両者の複合
(※2) ISMSの既登録組織がISMSのサーベイランス審査時、もしくは更新審査時に併せてISO/IEC27017を拡張する場合は、初回審査相当の第1段階審査、第2段階審査を実施しません。
(※3) ISMSの登録証とは別に、ISMSクラウドセキュリティに関する登録証を発行します。
こちらもオススメ
ISO/IEC27017の認証取得をご検討中の方に!