ISMS(ISO27001)認証お役立ちコラム
2022年4月21日

ISO27017とは、クラウドセキュリティの認証です。ISO27017を取得することでクラウドセキュリティのマネジメントシステムが構築できます。
クラウドサービスを提供している企業は、ISO27017の認証を取得すると多くのメリットがあり、この記事では、ISMS(ISO27001)とISO27017の違いや、ISO27017を取得するための3つのポイントを記載します。
1.そもそもISO27017とは?
ISO27017の正式名称はISO/IEC 27017、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。
昨今、クラウドサービスを提供する企業やクラウドサービスを利用する企業が増えてきたことで需要が高まりつつあります。
ISO27017の立ち位置は、
「ISMS(ISO27001)にすでにあるクラウドセキュリティの要求事項をより深くし、規格化させたもの」です。
詳しくは後述しますが、
取得方法としては、
①ISMS(ISO27001)をすでに持っている企業が追加でISO27017を取得する
②ISMS(ISO27001)とISO27017を同時で取得する
の2択になります(=アドオン認証)
ISO27017の立ち位置
2.ISO27017取得のメリットは?需要はあるの?
①取得のメリット
取得のメリットは大きくわけて3つあります。
1)セキュリティ体制の対外的アピール
2)官公庁入札
3)大手クライアントの仕事請負/口座開設
ISMS(ISO27001)と似ていますね。
②ISO27017需要の増加
ISO27017の需要は増えております。
入札条件に入っていたり、
大手クライアントからのアンケートに「ISO27017を取得しているか」が入っていたり、
もしくはオブラートに「クラウドセキュリティ関連の項目が増えた(※中身を詳しく見ると、ISO27017で担保できる項目が多いです。) 」という事例もよく聞きます。
ISMS-ACで調べられるISO27017の取得企業数は277社(2022年4月現在)。
取得企業数が少ない今が、他社との“差別化”のチャンスです。
ISMS(ISO27001)が2000年代初期に流行り出したときと同じですね。
ISMS(ISO27001)も最初は取得企業数が少なく、認証を持っているだけで優位に立つことができました。
ただ今は、ISMS(ISO27001)はもう持っていて当たり前の時代です。
ISO27017は取得企業数が少ない今が、他社との“差別化”のチャンスなのです。
③取得するべき業種は?
取得するべき業種は、クラウドサービスを提供している企業です。
一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業になります。
3.どれくらいで取得できるの?
コンサルタントを導入すると、キックオフから約6~8か月でISO27017の取得が可能です。
自社で構築されるケースだと約1年以上かかるケースが多いようです。
経験豊富なコンサルタントの力をかりることも有効な手段かもしれません。
ご検討の際は、是非コンサルタントにご相談ください。
4.ISO27017を取得する上で注意すべき3つのポイント
ISO27017を取得する上で、気を付けなければならないポイントが3つあります。
① 取得について
すでにISMS(ISO27001)を取得済であるか、ISMSとISO27017を同時に取得する必要があります。
ISO27017は、ISMSのアドオン認証です。 アドオン認証とは、「ISMSを持っている企業が追加で取れる規格」という意味です。 なので、ISO27017を認証取得したい場合、 ・ISMSと同時にISO27017を構築し、取得する ・ISMSを持っている企業が、追加でISO27017を構築し取得する のどちらかのパターンになります。
② 適用範囲
ISO27017の適用範囲は、ISMS(ISO27001)と同一、または範囲内となります。 ISMSとISO27017の対象組織・対象拠点・対象部門は同一か、ISMSの範囲にISO27017が包括されている状態にしなければいけません。
③ 審査
ISMS(ISO27001)と同時に審査を受けます。 厳密には、別々の審査も可能ですが、費用や工数の関係から同時審査を推奨します。
5.具体的に何をすればいいの?
ISO27017を取得するために、具体的にやることは2点あります。
① ISMSの114の管理策をクラウドサービス用にアップデート
そもそもISMS(ISO27001)のアドオン認証なので、まずはISMS(ISO27001)を構築することが前提です。
また、ISMS(ISO27001)をすでに構築している企業様では、構築したルールをクラウドサービス用にアップデートする必要があります。
② ISO27017の新しい基準7項目の追加
ざっくりいうと、ISMSには無い7つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要がございます。
CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
6.似たようなISO27018って何?
ISO27018は、個人情報を含むクラウドサービスに特化した規格です。
よって、個人情報を取り扱うクラウドサービスを提供している企業(提供者)が対象になります。
ISO27017・・・クラウドサービス「全般」のセキュリティマネジメントシステム
ISO27018・・・クラウドサービス内の「個人情報」に焦点を当てたセキュリティマネジメントシステム
※注意点
2021年頃から基準がかわり、ISO27018(個人情報のクラウドセキュリティ)は、「クラウド上の個人情報の処理を委託された事業者のみ」が対象となりました。
つまり、クラウド上でのBPO(業務の企画・設計から実施までを一括して外部委託)のような業態でないと対象外になり、ISO27018は取得できないケースがございます。
無駄な作業をやらないためにも、事前に自社がISO27018の対象であるかどうかを、ISO27018ができる審査機関へ問合せすることをオススメします。
ISO27018の立ち位置
7.まとめ
ISO27017の取得で注意すべきポイントは下記の3点です。
①すでにISO27017(ISMS)を取得済であるか、ISO27001とISO27017同時取得する必要がある
②適用範囲がISO27001と同一、または範囲内であること
③審査はISO27001(ISMS)と同時に受けるべき
ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です。(ISMSとISO27001は同義)
ISMS/ISO27001の認証ページへ