ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISO27017【ISMS(ISO27001)】:cloud(クラウド)サービスに対応した規格の取得で注意すべきポイント

2022年4月21日

ISO27017【ISMS(ISO27001)】:cloud(クラウド)サービスに対応した規格の取得で注意すべきポイント

ISO27017とは、クラウドセキュリティの認証です。ISO27017を取得することでクラウドセキュリティのマネジメントシステムが構築できます。
クラウドサービスを提供している企業は、ISO27017の認証を取得すると多くのメリットがあり、この記事では、ISMS(ISO27001)とISO27017の違いや、ISO27017を取得するための3つのポイントを記載します。

1.そもそもISO27017とは?

ISO27017の正式名称はISO/IEC 27017、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。
昨今、クラウドサービスを提供する企業やクラウドサービスを利用する企業が増えてきたことで需要が高まりつつあります。

ISO27017の立ち位置は、
「ISMS(ISO27001)にすでにあるクラウドセキュリティの要求事項をより深くし、規格化させたもの」です。

詳しくは後述しますが、
取得方法としては、
①ISMS(ISO27001)をすでに持っている企業が追加でISO27017を取得する
②ISMS(ISO27001)とISO27017を同時で取得する
の2択になります(=アドオン認証)

ISO27017の立ち位置 iso27017、iso2018、ismsの立ち位置

2.ISO27017取得のメリットは?需要はあるの?

①取得のメリット

取得のメリットは大きくわけて3つあります。

1)セキュリティ体制の対外的アピール
2)官公庁入札
3)大手クライアントの仕事請負/口座開設

ISMS(ISO27001)と似ていますね。

②ISO27017需要の増加

ISO27017の需要は増えております。

入札条件に入っていたり、
大手クライアントからのアンケートに「ISO27017を取得しているか」が入っていたり、
もしくはオブラートに「クラウドセキュリティ関連の項目が増えた(※中身を詳しく見ると、ISO27017で担保できる項目が多いです。) 」という事例もよく聞きます。

ISMS-ACで調べられるISO27017の取得企業数は277社(2022年4月現在)。
取得企業数が少ない今が、他社との“差別化”のチャンスです。

ISMS(ISO27001)が2000年代初期に流行り出したときと同じですね。
ISMS(ISO27001)も最初は取得企業数が少なく、認証を持っているだけで優位に立つことができました。

ただ今は、ISMS(ISO27001)はもう持っていて当たり前の時代です。
ISO27017は取得企業数が少ない今が、他社との“差別化”のチャンスなのです。

③取得するべき業種は?

取得するべき業種は、クラウドサービスを提供している企業です。
一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業になります。

3.どれくらいで取得できるの?

コンサルタントを導入すると、キックオフから約6~8か月でISO27017の取得が可能です。
自社で構築されるケースだと約1年以上かかるケースが多いようです。

経験豊富なコンサルタントの力をかりることも有効な手段かもしれません。
ご検討の際は、是非コンサルタントにご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.ISO27017を取得する上で注意すべき3つのポイント

ISO27017を取得する上で、気を付けなければならないポイントが3つあります。

① 取得について

すでにISMS(ISO27001)を取得済であるか、ISMSとISO27017を同時に取得する必要があります。

ISO27017は、ISMSのアドオン認証です。 アドオン認証とは、「ISMSを持っている企業が追加で取れる規格」という意味です。 なので、ISO27017を認証取得したい場合、 ・ISMSと同時にISO27017を構築し、取得する ・ISMSを持っている企業が、追加でISO27017を構築し取得する のどちらかのパターンになります。

② 適用範囲

ISO27017の適用範囲は、ISMS(ISO27001)と同一、または範囲内となります。 ISMSとISO27017の対象組織・対象拠点・対象部門は同一か、ISMSの範囲にISO27017が包括されている状態にしなければいけません。

③ 審査

ISMS(ISO27001)と同時に審査を受けます。 厳密には、別々の審査も可能ですが、費用や工数の関係から同時審査を推奨します。

5.具体的に何をすればいいの?

ISO27017を取得するために、具体的にやることは2点あります。

① ISMSの114の管理策をクラウドサービス用にアップデート

そもそもISMS(ISO27001)のアドオン認証なので、まずはISMS(ISO27001)を構築することが前提です。
また、ISMS(ISO27001)をすでに構築している企業様では、構築したルールをクラウドサービス用にアップデートする必要があります。

② ISO27017の新しい基準7項目の追加

ざっくりいうと、ISMSには無い7つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要がございます。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

6.似たようなISO27018って何?

ISO27018は、個人情報を含むクラウドサービスに特化した規格です。
よって、個人情報を取り扱うクラウドサービスを提供している企業(提供者)が対象になります。

ISO27017・・・クラウドサービス「全般」のセキュリティマネジメントシステム
ISO27018・・・クラウドサービス内の「個人情報」に焦点を当てたセキュリティマネジメントシステム

※注意点
2021年頃から基準がかわり、ISO27018(個人情報のクラウドセキュリティ)は、「クラウド上の個人情報の処理を委託された事業者のみ」が対象となりました。
つまり、クラウド上でのBPO(業務の企画・設計から実施までを一括して外部委託)のような業態でないと対象外になり、ISO27018は取得できないケースがございます。
無駄な作業をやらないためにも、事前に自社がISO27018の対象であるかどうかを、ISO27018ができる審査機関へ問合せすることをオススメします。

ISO27018の立ち位置 iso27017、iso2018、ismsの立ち位置

7.まとめ

ISO27017の取得で注意すべきポイントは下記の3点です。

①すでにISO27017(ISMS)を取得済であるか、ISO27001とISO27017同時取得する必要がある
②適用範囲がISO27001と同一、または範囲内であること
③審査はISO27001(ISMS)と同時に受けるべき

ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。