ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISO27017のコンサルってどうやって選べばいいの?

スタッフ写真
スタッフ写真

2024年11月13日

ISO27017のコンサルってどうやって選べばいいの?

ISO27017(クラウドセキュリティ認証)のコンサルを選定するポイントは、実績数、専門知識、サポート体制の3点です。
具体的には、どれだけの支援実績があるか、そして業界特有の知識があるか、書類作成など作業まで支援してもらえるのか、打ち合わせはオンライン会議か訪問かなど、自分たちの要望に合うか確認しましょう。

1.ISO27017とISO27001について



⑴ISO27017とは

ISO/IEC 27017は、クラウドサービスのセキュリティに関するガイドラインを提供する国際規格です。これは、情報セキュリティ管理に関するISO/IEC 27001のアドオン規格として位置づけられ、クラウド環境でのセキュリティ管理に焦点を当てています。

⑵ISO27017の要求事項 

ISO27017の要求事項として必要な管理策には以下のようなものがあります。

  • CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
  • CLD.8.1.5 クラウドサービスカスタマの資産の除去
  • CLD.9.5.1 仮想コンピューティング環境における分離
  • CLD.9.5.2 仮想マシンの要塞化
  • CLD.12.1.5 実務管理者の運用のセキュリティ
  • CLD.12.4.5 クラウドサービスの監視
  • CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

詳細はこちらの記事をご参考ください。

⑶ISO27017とISO27001の関係 

ISO27017は、ISO27001の基本的なフレームワークに基づいています。

ISO27001は、情報セキュリティリスクを管理するための全般的なフレームワークを提供する一方、ISO27017は、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供します。

ISO27017は、ISO27001と密接に関連しており、ISO27001は、情報セキュリティマネジメントシステム(ISMS)の要求事項を定めたもので、ISO27017はその中のクラウドサービスに特化した規格と言えます。

もっと詳しく知りたい方はこちらの記事をご参考ください。

2.ISO27017のコンサル会社を探す際に考慮する4つのポイント

⑴ISO27017コンサルティングの役割とメリット

ISO27017コンサルティングの役割は認証完了、更新までの道案内をすることです。

例えばスケジュールを作成したり、タスクを割り振ったり、進捗状況の確認をおこないます。

また利用するメリットは3つあります。

①タスクの明確化

コンサルタントがタスクを明確にし、役割分担をおこなうのでなにをしなければならないのか悩むことがなくなります。

②事務局負荷の軽減

ルール作成などの原案についてはコンサルから提案が受けられるので、一から自分たちでルールを作成する必要がなく、事務局の工数を削減することができます。

③審査での事例を知ることができる

経験豊富なコンサルタントであれば、それだけ審査での事例も多く持っているので、同業、同規模の審査での指摘事例から事前に対策をおこなうこともできます。

⑵ISO27017コンサルの選び方とポイント

ISO27017コンサルタントのポイントは3つあります。

①実績・経験

ISO27017は2024年10月時点で認証企業数が約600社とまだまだ少ない規格です。しかし、今どんどん認証数が伸びている規格でもあります。

認証数が少ないということは経験のあるコンサルタントが少ないということなので、どれくらいの実績があるのか?同業の実績はあるのか?などは考慮したほうが良いでしょう。

②専門知識・資格

クラウドに関する専門的な知識や、ISMS審査員資格などを持っているコンサルタントが担当してくれるコンサル会社を選ぶことも重要です。

ISO27017コンサル可能と言っているコンサル会社でも、通常のISMSしか経験がない会社もあるかもしれません。専門知識・資格などを持っているコンサルタントが所属しているコンサル会社を選びましょう。

③コンサルティングスタイルです。

契約前の段階で「書類作成はします」という会社は多いです。しかし実際は「作成してくれなかった」という声を耳にすることも多くあります。

事前に、「担当者が何をしないといけないか?」を確認すると良いでしょう。

また、打合せはオンラインなのか対面なのかなどの打合せ方法についても確認しておいた方が良いでしょう。

⑶ISO27017コンサルの費用と全体的な予算設定

ISO27017の予算の概算は以下の通りです。

(例1)

ISMS新規認証+ISO27017新規認証

従業員数100名、1拠点の場合

  1. 審査費用  :約250万円
  2. コンサル費用:約100万円
  3. 合計    :約350万円

(例2)

ISMS認証取得済み+ISO27017新規認証

従業員数100名、1拠点の場合

  1. 審査費用  :約100万円
  2. コンサル費用:約60万円
  3. 合計    :約160万円

詳細はこちらの記事をご参考ください。

⑷ISO27017コンサルの成功事例と実績

新規認証サポート事例
業種:SaaS系サービス提供事業
従業員数:130名
取得期間:6か月
サポート内容:ISMSは取得済みだったため、現在あるルールを活かして認証取得をサポートしました。
運用サポート事例
業種:クラウドサーバ提供事業
従業員数:300名
サポート内容:ISMSと合わせてサポートを実施
                     長年ISMSを運用していたのでダブルスタンダードになっているところもあり
                     スリム化をおこなうことで運用の効率化をサポートしました。

3.ISO27017コンサルの導入手順と流れ

ISO27017取得のための流れは以下になります。

  1. コンサル会社選定
  2. コンサル会社導入
  3. ISMS+ISO27017 構築
  4. ISMS+ISO27017 運用
  5. ISMS+ISO27017 審査

またISMS、ISO27017の有効期限は取得日から3年間です。

毎年審査もあるのでその点には注意が必要です。

4.そもそもISO27017取得企業はどんな会社か?

取得するべき業種は、クラウドサービスを提供している企業で、一般的には【SaaS】【PaaS】【IaaS】関連のサービスを提供する企業になります。

具体的には、下記に当てはまる企業です。

  • 他社のクラウドサービスを使ってアプリなどのクラウドサービスを提供している企業
  • 他社のクラウドサービスを利用している企業
  • 他社のクラウドサービスを使ってビジネスをしている企業
  • クラウド設備を自社で保有し、クラウドサービス提供している企業

実際に取得している企業

  • Amazon Web service
  • Google
  • Microsoft
  • IDCフロンティア
  • NTTデータ
  • サイボウズ
  • さくらインターネット
  • Sansan
  • 鈴与シンワート
  • ソフトバンク
  • Chatwork

他にも、ISO27017を取得している企業の詳しい共通点は下記コラムをご覧ください。

5.まとめ

冒頭でもご説明しましたが、ISO27017 コンサルを選ぶ際に大切なことは3つあります。

1つ目は実績・経験です。
どれだけの認証実績があるのか、同業の企業をサポートしてきたのか 等

2つ目は専門知識・資格です。
業界特有の知識はあるのか、コンサルタントが審査員資格を持っているのか 等

3つ目はコンサルティングスタイルです。
リモート対応がメインなのか、現場に来てくれるのか、ツールの利用はあるのか 等

ISO27017認証取得に関するお悩み・疑問がございましたら是非一度無料相談をご利用ください。

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

クリップボードにコピーしました

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。