2023年4月13日
ISO27017とは、クラウドセキュリティの認証です。ISO27017を取得することでクラウドセキュリティのマネジメントシステムが構築できます。
クラウドサービスを提供している企業は、ISO27017の認証を取得すると多くのメリットがあり、この記事では、ISMS(ISO27001)とISO27017の違いや、ISO27017を取得するための3つのポイントを記載します。
1.そもそもISO27017とは?
ISO27017の正式名称は『ISO/IEC 27017』で、クラウドサービスにおける情報セキュリティ管理策のガイドライン規格です。
2015年に発行され、国内では2016年に【ISMS-AC】による認証制度が開始されました。
有名な取得企業は、Amazon Web service、Google、Microsoftなどです。
ISO27017の立ち位置は、
「ISMS(ISO27001)にすでにあるクラウドセキュリティの要求事項をより深くし、規格化させたもの」です。
クラウドサービスを扱う組織において、情報を守るセキュリティの仕組みを構築することができます。
2.ISO27017取得のメリット
取得することによって得られる最大のメリットは、
・自社サービスの安全性をアピールすることができる
ということです。
他には、
・クラウドサービスに関するリスクを低減できる
・クラウドサービスを適切に提供し、利用してもらう体制を確立できる
・認証取得による組織内外からの信頼が向上する
・ISO27001との同時審査による効率的な認証取得が可能
などが考えられます。
3.ISO27017需要の増加
近年、情報セキュリティに対する意識は高く、内部だけでなく外部からの脅威も増しており、セキュリティ事故が日常的に発生している状態です。
特に、個人情報の漏洩を伴う、セキュリティ事故は、クライアント・取引先だけでなくあらゆる関係者に影響を与える重大な経営リスクとなっています。
ここ数年、クラウドの市場拡大に伴い、セキュリティマネジメントが複雑になり、全社でリスク評価に取り組む必要があります。
多くの会社が新サービスを提供し各種クラウドが整えられ、企業活動の利便性はさらに高くなりました。
各種クラウドが自社ビジネスにも組み込みやすくなってきている昨今では、自社でIT設備を導入するよりも、
クラウドサービスを利用することでコストが抑えられるので、ISO27017の需要が増加しております。
4.取得するべき業種は?
取得するべき業種は、クラウドサービスを提供している企業で
一般的には【SaaS】【PaaS】【IaaS】関連のサービスを提供する企業になります。
具体的には、下記に当てはまる企業です。
・他社のクラウドサービスを使ってアプリなどのクラウドサービスを提供している企業
・他社のクラウドサービスを利用している企業
・他社のクラウドサービスを使ってビジネスをしている企業
・クラウド設備を自社で保有し、クラウドサービス提供している企業
実際に取得している企業
・Amazon Web service
・Google
・Microsoft
・IDCフロンティア
・NTTデータ
・サイボウズ
・さくらインターネット
・Sansan
・鈴与シンワート
・ソフトバンク
・Chatwork
5.どれくらいで取得できるの?
企業規模を考えないなら、
・ISO27001を取得している:6か月ぐらいで取得可能
・ISO27001を新規で取得する:8か月ぐらいで取得可能
※企業規模やクラウドサービスの種類によっては、12か月ぐらい必要な場合もあります。
| 期間 | 具体的にすること | |
|---|---|---|
| ISMS構築 ①~⑨ | 6か月~ 8か月 | ①基本方針/適用範囲 |
| ②役割及び責任の明確化 | ||
| ③規程/ルールの策定 | ||
| ④適用宣言書の作成 | ||
| ⑤セキュリティ目的設定 | ||
| ⑥サービス契約書・ 利用約款のチェック |
||
| ⑦情報資産の洗い出し | ||
| ⑧リスクアセスメントの実施 | ||
| ⑨従業員への教育 | ||
| ISMS運用 ⑩~⑬ | 3か月~ 5か月 | ⑩事業継続の実施 |
| ⑪内部監査 | ||
| ⑫是正処置対応 | ||
| ⑬マネジメントレビュー | ||
| ISMS審査 ⑭~⑯ | 3か月~ 5か月 | ⑭一次審査 |
| ⑮二次審査 | ||
| ⑯認証完了 |
6.ISO27017取得にかかる費用
取得にかかる費用は、審査費用がマストです。
審査機関/会社人数・規模などで料金が変わるので、審査機関に見積依頼して確認しましょう。
また、ISO 27017単体では取得はできませんので、基本的にISO 27001審査の料金と合算されています。
7.ISO27017を取得する上で注意すべき3つのポイント
ISO27017を取得する上で、気を付けなければならないポイントが3つあります。
① 取得について
すでにISMS(ISO27001)を取得済であるか、ISMSとISO27017を同時に取得する必要があります。
ISO27017は、ISMSのアドオン認証です。 アドオン認証とは、「ISMSを持っている企業が追加で取れる規格」という意味です。
なので、ISO27017を認証取得したい場合、 ISMSと同時にISO27017を構築し、取得する ISMSを持っている企業が、追加でISO27017を構築し取得する のどちらかのパターンになります。
② 適用範囲
ISO27017の適用範囲は、ISMS(ISO27001)と同一、または範囲内となります。
ISMSとISO27017の対象組織・対象拠点・対象部門は同一か、ISMSの範囲にISO27017が包括されている状態にしなければいけません。
③ 審査
ISMS(ISO27001)と同時に審査を受けます。
厳密には、別々の審査も可能ですが、費用や工数の関係から同時審査を推奨します。
8.具体的に何をすればいいの?
ISO27017を取得するために、具体的にやることは2点あります。
① ISMSの114の管理策をクラウドサービス用にアップデート
そもそもISMS(ISO27001)のアドオン認証なので、まずはISMS(ISO27001)を構築することが前提です。
また、ISMS(ISO27001)をすでに構築している企業様では、構築したルールをクラウドサービス用にアップデートする必要があります。
② ISO27017の新しい基準7項目の追加
ざっくりいうと、ISMSには無い7つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要がございます。
いかがISO27017の新しい基準7項目です。
CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
9.似たようなISO27018って何?
ISO27018は、個人情報を含むクラウドサービスに特化した規格です。
よって、個人情報を取り扱うクラウドサービスを提供している企業(提供者)が対象です。
ISO27017・・・クラウドサービス「全般」のセキュリティマネジメントシステム
ISO27018・・・クラウドサービス内の「個人情報」に焦点を当てたセキュリティマネジメントシステム
※注意点
2021年頃から基準がかわり、ISO27018(個人情報のクラウドセキュリティ)は、「クラウド上の個人情報の処理を委託された事業者のみ」が対象となりました。
つまり、クラウド上でのBPO(業務の企画・設計から実施までを一括して外部委託)のような業態でないと対象外になり、ISO27018は取得できないケースがございます。
無駄な作業をやらないためにも、事前に自社がISO27018の対象であるかどうかを、ISO27018ができる審査機関へ問合せすることをオススメします。
まとめ
ISO27017の取得で注意すべきポイントは下記の3点です。
①すでにISO27017(ISMS)を取得済であるか、ISO27001とISO27017同時取得する必要がある
②適用範囲がISO27001と同一、または範囲内であること
③審査はISO27001(ISMS)と同時に受けるべき
ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ