ISO27017のコンサルってどうやって選べばいいの？

１．ISO27017とISO27001について

⑴ISO27017とは

ISO/IEC 27017は、クラウドサービスのセキュリティに関するガイドラインを提供する国際規格です。これは、情報セキュリティ管理に関するISO/IEC 27001のアドオン規格として位置づけられ、クラウド環境でのセキュリティ管理に焦点を当てています。

⑵ISO27017の要求事項　

ISO27017の要求事項として必要な管理策には以下のようなものがあります。

• CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
• CLD.8.1.5 クラウドサービスカスタマの資産の除去
• CLD.9.5.1 仮想コンピューティング環境における分離
• CLD.9.5.2 仮想マシンの要塞化
• CLD.12.1.5 実務管理者の運用のセキュリティ
• CLD.12.4.5 クラウドサービスの監視
• CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

詳細はこちらの記事をご参考ください。

あわせて読みたい記事

初心者のためのISO27017の要求事項と管理策

１．ISO27017とは ISO27017とは、情報セキュリティ管理システム（ISMS）の国際標準であるISO27001に基づいて、クラウドサービスに特化した情報セキュリティのガイドラインを提供するも…

⑶ISO27017とISO27001の関係　

ISO27017は、ISO27001の基本的なフレームワークに基づいています。

ISO27001は、情報セキュリティリスクを管理するための全般的なフレームワークを提供する一方、ISO27017は、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供します。

ISO27017は、ISO27001と密接に関連しており、ISO27001は、情報セキュリティマネジメントシステム（ISMS）の要求事項を定めたもので、ISO27017はその中のクラウドサービスに特化した規格と言えます。

もっと詳しく知りたい方はこちらの記事をご参考ください。

あわせて読みたい記事

ISMSとISO27001の違いは？PマークやISO27017との違いも解説

１．ISMSとは？ ISMSとは、情報セキュリティマネジメントシステム（Information Security Management System）を略して呼びやすくしたもので、組織の情報を守るため…

２．ISO27017のコンサル会社を探す際に考慮する4つのポイント

⑴ISO27017コンサルティングの役割とメリット

ISO27017コンサルティングの役割は認証完了、更新までの道案内をすることです。

例えばスケジュールを作成したり、タスクを割り振ったり、進捗状況の確認をおこないます。

また利用するメリットは3つあります。

①タスクの明確化

コンサルタントがタスクを明確にし、役割分担をおこなうのでなにをしなければならないのか悩むことがなくなります。

②事務局負荷の軽減

ルール作成などの原案についてはコンサルから提案が受けられるので、一から自分たちでルールを作成する必要がなく、事務局の工数を削減することができます。

③審査での事例を知ることができる

経験豊富なコンサルタントであれば、それだけ審査での事例も多く持っているので、同業、同規模の審査での指摘事例から事前に対策をおこなうこともできます。

⑵ISO27017コンサルの選び方とポイント

ISO27017コンサルタントのポイントは３つあります。

①実績・経験

ISO27017は2024年10月時点で認証企業数が約600社とまだまだ少ない規格です。しかし、今どんどん認証数が伸びている規格でもあります。

認証数が少ないということは経験のあるコンサルタントが少ないということなので、どれくらいの実績があるのか？同業の実績はあるのか？などは考慮したほうが良いでしょう。

②専門知識・資格

クラウドに関する専門的な知識や、ISMS審査員資格などを持っているコンサルタントが担当してくれるコンサル会社を選ぶことも重要です。

ISO27017コンサル可能と言っているコンサル会社でも、通常のISMSしか経験がない会社もあるかもしれません。専門知識・資格などを持っているコンサルタントが所属しているコンサル会社を選びましょう。

③コンサルティングスタイルです。

契約前の段階で「書類作成はします」という会社は多いです。しかし実際は「作成してくれなかった」という声を耳にすることも多くあります。

事前に、「担当者が何をしないといけないか？」を確認すると良いでしょう。

また、打合せはオンラインなのか対面なのかなどの打合せ方法についても確認しておいた方が良いでしょう。

⑶ISO27017コンサルの費用と全体的な予算設定

ISO27017の予算の概算は以下の通りです。

（例１）

ISMS新規認証＋ISO27017新規認証

従業員数100名、1拠点の場合

1. 審査費用　　：約250万円
2. コンサル費用：約100万円
3. 合計　　　　：約350万円

（例２）

ISMS認証取得済み＋ISO27017新規認証

従業員数100名、1拠点の場合

1. 審査費用　　：約100万円
2. コンサル費用：約60万円
3. 合計　　　　：約160万円

詳細はこちらの記事をご参考ください。

あわせて読みたい記事

ISO27017取得に必要な費用を徹底解剖

１．ISO27017とは [images_50] [/images_50] ISO27017とは、クラウドセキュリティに関する国際標準規格です。 位置づけとしては、情報セキュリティに関する国際標準規格…

⑷ISO27017コンサルの成功事例と実績

新規認証サポート事例
業種：SaaS系サービス提供事業
従業員数：130名
取得期間：6か月
サポート内容：ISMSは取得済みだったため、現在あるルールを活かして認証取得をサポートしました。
運用サポート事例
業種：クラウドサーバ提供事業
従業員数：300名
サポート内容：ISMSと合わせてサポートを実施
                     長年ISMSを運用していたのでダブルスタンダードになっているところもあり
                     スリム化をおこなうことで運用の効率化をサポートしました。

３．ISO27017コンサルの導入手順と流れ

ISO27017取得のための流れは以下になります。

1. コンサル会社選定
2. コンサル会社導入
3. ISMS＋ISO27017　構築
4. ISMS＋ISO27017　運用
5. ISMS＋ISO27017　審査

またISMS、ISO27017の有効期限は取得日から3年間です。

毎年審査もあるのでその点には注意が必要です。

４．そもそもISO27017取得企業はどんな会社か？

取得するべき業種は、クラウドサービスを提供している企業で、一般的には【SaaS】【PaaS】【IaaS】関連のサービスを提供する企業になります。

具体的には、下記に当てはまる企業です。

• 他社のクラウドサービスを使ってアプリなどのクラウドサービスを提供している企業
• 他社のクラウドサービスを利用している企業
• 他社のクラウドサービスを使ってビジネスをしている企業
• クラウド設備を自社で保有し、クラウドサービス提供している企業

実際に取得している企業

• Amazon Web service
• Google
• Microsoft
• IDCフロンティア
• NTTデータ
• サイボウズ
• さくらインターネット
• Sansan
• 鈴与シンワート
• ソフトバンク
• Chatwork

他にも、ISO27017を取得している企業の詳しい共通点は下記コラムをご覧ください。

あわせて読みたい記事

ISO27017取得企業の共通点は？今取得するべきかも解説

１．ISO27017認証はどんな企業が取得するのか ISO27017認証は、クラウドセキュリティ認証とも呼ばれており、クラウドサービスを利用している企業、または、そのクラウドサービスを提供している企業…

５．まとめ

冒頭でもご説明しましたが、ISO27017 コンサルを選ぶ際に大切なことは3つあります。

1つ目は実績・経験です。
どれだけの認証実績があるのか、同業の企業をサポートしてきたのか　等

2つ目は専門知識・資格です。
業界特有の知識はあるのか、コンサルタントが審査員資格を持っているのか　等

3つ目はコンサルティングスタイルです。
リモート対応がメインなのか、現場に来てくれるのか、ツールの利用はあるのか　等

ISO27017認証取得に関するお悩み・疑問がございましたら是非一度無料相談をご利用ください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️