2023年11月24日
ISO27017の要求事項は、情報セキュリティ管理システム(ISMS)の国際標準であるISO27001に基づいています。ISO27001の基本的なフレームワークを理解していることが、ISO27017の要求事項を理解する上で非常に重要です。
1.ISO27017とは
ISO27017とは、情報セキュリティ管理システム(ISMS)の国際標準であるISO27001に基づいて、クラウドサービスに特化した情報セキュリティのガイドラインを提供するものです。
クラウドサービスの提供者と利用者の両方に対して、情報セキュリティリスクを管理するための具体的な措置を示しています。
ISO27017を取得することで対外的信頼が得られ、入札参加の条件を満たすことができる、大手取引でのセキュリティチェックシートの一部を免除できる、資金調達の際の説得材料のひとつになる、 などのメリットがあります。
2.ISO27001(ISMS)とISO27017との関連性
ISO27017は、ISO27001の基本的なフレームワークに基づいています。
ISO27001は、情報セキュリティリスクを管理するための全般的なフレームワークを提供する一方、ISO27017は、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供します。
ISO27017は、ISO27001と密接に関連しており、ISO27001は、情報セキュリティマネジメントシステム(ISMS)の要求事項を定めたもので、ISO27017はその中のクラウドサービスに特化した規格と言えます。
また、ISO27017はアドオン認証と呼ばれるものになっており、「ISO27001(ISMS)とISO27017を同時取得」
もしくは、「ISO27001(ISMS)をすでに持っている企業がISO27017を追加で取得」の2パターンの取得方法しかありません。
3.ISO27017認証の対象業者
ISO27017の認証対象は、クラウドサービスを提供する企業や、そのサービスを利用する企業です。
クラウドサービスの提供者と利用者が共に情報セキュリティを確保することが求められます。
例えば、人事労務システム、決済管理システム、大容量データをクラウドで管理しているシステムなどを提供・利用している企業が認証対象に当てはまります。
4.ISO27017の要求事項の入手方法
ISO27017の要求事項は、ISOの公式ウェブサイトから購入することができます。(「ISO27017 規格本文」と検索すると出てきます。)
また、ISO27017の要求事項を理解するためのガイドブックやセミナーも提供されています。
これらを活用することで、ISO27017の要求事項に対する理解を深め、適切な対応策を立てることが可能です。
また、ISO27017の要求事項は、情報セキュリティ管理システム(ISMS)の国際標準であるISO27001に基づいています。したがって、ISO27001の基本的なフレームワークを理解していることが、ISO27017の要求事項を理解する上で非常に重要です。
ISO27017の認証を取得するためには、ISO27001の基本的なフレームワークに基づいた情報セキュリティ管理システムを設計・実装・運用する必要があります。
その上で、ISO27017の要求事項に対応するための具体的な措置を講じる必要があります。
5.審査に向けて対応が必要な要求事項
ISO27017の認証を取得するためには、審査を受けなければなりません。
審査に向けては、対応が必要な要求事項があります。これらの要求事項は、情報セキュリティ管理システム(ISMS)の国際標準であるISO27001と、クラウドサービスに特化した情報セキュリティのガイドラインであるISO27017に基づいています。
⑴ISO27001を認証していない場合
まず、ISO27001の基本的なフレームワークに基づいた情報セキュリティ管理システムを設計・実装・運用する必要があります。
これには、情報セキュリティリスクを管理するための全般的なフレームワークを提供することが含まれます。
その上で、ISO27017の要求事項に対応するための具体的な措置を講じる必要があります。
これには、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供することが含まれます。
⑵ISO27001をすでに認証している場合
既存の情報セキュリティ管理システムに対して、ISO27017の要求事項に対応するための具体的な措置を追加する必要があります。
これには、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供することが含まれます。
以上のように、ISO27017の認証を取得するためには、ISO27001の基本的なフレームワークとISO27017の要求事項に対応するための具体的な措置を講じることが必要です。
これにより、クラウドサービスの提供者と利用者が情報セキュリティリスクを共有し、それぞれが責任を果たすことで、情報セキュリティを確保することを目指します。
6.ISO27017認証に必須の管理策
ISO27017認証を取得するためには、具体的な管理策が必要です。
管理策とは、情報セキュリティリスクを適切に管理し、クラウドサービスの安全性を確保するためのものです。
⑴管理策一覧
ISO27017の要求事項に対応するための管理策を一覧化することが重要です。
ISO27017特有の管理策としては、次のようなものが挙げられます。
CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化
CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
これには、情報セキュリティポリシーの策定、リスク評価とリスク処理のプロセス、人的資源のセキュリティ、物理的および環境的セキュリティ、運用のセキュリティ、通信のセキュリティ、システム取得、開発および保守のセキュリティ、サプライヤー関係のセキュリティ、情報セキュリティ事故対応、情報セキュリティの継続的改善などが含まれます。
⑵各管理策の概要
各管理策の目的とその達成方法を明確にすることが求められます。
例えば、情報セキュリティポリシーの策定では、組織の情報セキュリティに関する方針を明文化し、全従業員に周知することが目的です。
これを達成するためには、情報セキュリティポリシーを作成し、定期的に見直し、必要に応じて更新することが求められます。
また、リスク評価とリスク処理のプロセスでは、情報セキュリティリスクを適切に管理するためのフレームワークを設定することが目的です。
これを達成するためには、リスク評価とリスク処理のプロセスを定義し、リスク評価を定期的に実施し、評価結果に基づいてリスク処理を行うことが求められます。
これらの管理策は、ISO27017の要求事項に対応するための具体的な手段であり、これらを適切に実施することで、クラウドサービスの情報セキュリティを確保することができます。
⑶設備投資必須の管理策はあるのか
設備投資必須の管理策は基本的にはありません。
しかし、管理策には情報セキュリティポリシーの策定、リスク評価とリスク処理、人的資源のセキュリティ、物理的環境のセキュリティなどがあり、従業員規模が大きな会社に関しては設備投資が必要な場合もあります。
7.ISO27017認証取得までの流れ
ISO27017を認証取得するために、いくつかの工程を踏まなければなりません。
大きく7つのステップがあります。
①体制を決める
②審査機関を決める
③ISMS、ISO27017の要求に従って運用ルールを構築する
④資産管理、リスクアセスメントを行う
⑤内部監査を行う
⑥マネジメントレビューを行う
⑦審査を受ける
ISO27017認証取得までの流れの詳細については、下記記事にて詳しく解説しています。
まとめ
ISO27017は、クラウドサービスに特化した情報セキュリティのガイドラインを提供するもので、クラウドサービスの提供者と利用者が情報セキュリティリスクを共有し、それぞれが責任を果たすことで、情報セキュリティを確保することを目指しています。
情報セキュリティは、クラウドサービスを提供する企業にとって、避けては通れない課題です。ISO27017を理解し、適切に対応することで、その課題を乗り越えていきましょう。
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ