2024年11月13日
ISO27017(クラウドセキュリティ認証)のコンサルを選定するポイントは、実績数、専門知識、サポート体制の3点です。
具体的には、どれだけの支援実績があるか、そして業界特有の知識があるか、書類作成など作業まで支援してもらえるのか、打ち合わせはオンライン会議か訪問かなど、自分たちの要望に合うか確認しましょう。
1.ISO27017とISO27001について
⑴ISO27017とは
ISO/IEC 27017は、クラウドサービスのセキュリティに関するガイドラインを提供する国際規格です。これは、情報セキュリティ管理に関するISO/IEC 27001のアドオン規格として位置づけられ、クラウド環境でのセキュリティ管理に焦点を当てています。
⑵ISO27017の要求事項
ISO27017の要求事項として必要な管理策には以下のようなものがあります。
- CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
- CLD.8.1.5 クラウドサービスカスタマの資産の除去
- CLD.9.5.1 仮想コンピューティング環境における分離
- CLD.9.5.2 仮想マシンの要塞化
- CLD.12.1.5 実務管理者の運用のセキュリティ
- CLD.12.4.5 クラウドサービスの監視
- CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
詳細はこちらの記事をご参考ください。
⑶ISO27017とISO27001の関係
ISO27017は、ISO27001の基本的なフレームワークに基づいています。
ISO27001は、情報セキュリティリスクを管理するための全般的なフレームワークを提供する一方、ISO27017は、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供します。
ISO27017は、ISO27001と密接に関連しており、ISO27001は、情報セキュリティマネジメントシステム(ISMS)の要求事項を定めたもので、ISO27017はその中のクラウドサービスに特化した規格と言えます。
もっと詳しく知りたい方はこちらの記事をご参考ください。
2.ISO27017のコンサル会社を探す際に考慮する4つのポイント
⑴ISO27017コンサルティングの役割とメリット
ISO27017コンサルティングの役割は認証完了、更新までの道案内をすることです。
例えばスケジュールを作成したり、タスクを割り振ったり、進捗状況の確認をおこないます。
また利用するメリットは3つあります。
①タスクの明確化
コンサルタントがタスクを明確にし、役割分担をおこなうのでなにをしなければならないのか悩むことがなくなります。
②事務局負荷の軽減
ルール作成などの原案についてはコンサルから提案が受けられるので、一から自分たちでルールを作成する必要がなく、事務局の工数を削減することができます。
③審査での事例を知ることができる
経験豊富なコンサルタントであれば、それだけ審査での事例も多く持っているので、同業、同規模の審査での指摘事例から事前に対策をおこなうこともできます。
⑵ISO27017コンサルの選び方とポイント
ISO27017コンサルタントのポイントは3つあります。
①実績・経験
ISO27017は2024年10月時点で認証企業数が約600社とまだまだ少ない規格です。しかし、今どんどん認証数が伸びている規格でもあります。
認証数が少ないということは経験のあるコンサルタントが少ないということなので、どれくらいの実績があるのか?同業の実績はあるのか?などは考慮したほうが良いでしょう。
②専門知識・資格
クラウドに関する専門的な知識や、ISMS審査員資格などを持っているコンサルタントが担当してくれるコンサル会社を選ぶことも重要です。
ISO27017コンサル可能と言っているコンサル会社でも、通常のISMSしか経験がない会社もあるかもしれません。専門知識・資格などを持っているコンサルタントが所属しているコンサル会社を選びましょう。
③コンサルティングスタイルです。
契約前の段階で「書類作成はします」という会社は多いです。しかし実際は「作成してくれなかった」という声を耳にすることも多くあります。
事前に、「担当者が何をしないといけないか?」を確認すると良いでしょう。
また、打合せはオンラインなのか対面なのかなどの打合せ方法についても確認しておいた方が良いでしょう。
⑶ISO27017コンサルの費用と全体的な予算設定
ISO27017の予算の概算は以下の通りです。
(例1)
ISMS新規認証+ISO27017新規認証
従業員数100名、1拠点の場合
- 審査費用 :約250万円
- コンサル費用:約100万円
- 合計 :約350万円
(例2)
ISMS認証取得済み+ISO27017新規認証
従業員数100名、1拠点の場合
- 審査費用 :約100万円
- コンサル費用:約60万円
- 合計 :約160万円
詳細はこちらの記事をご参考ください。
⑷ISO27017コンサルの成功事例と実績
新規認証サポート事例
業種:SaaS系サービス提供事業
従業員数:130名
取得期間:6か月
サポート内容:ISMSは取得済みだったため、現在あるルールを活かして認証取得をサポートしました。
運用サポート事例
業種:クラウドサーバ提供事業
従業員数:300名
サポート内容:ISMSと合わせてサポートを実施
長年ISMSを運用していたのでダブルスタンダードになっているところもあり
スリム化をおこなうことで運用の効率化をサポートしました。
3.ISO27017コンサルの導入手順と流れ
ISO27017取得のための流れは以下になります。
- コンサル会社選定
- コンサル会社導入
- ISMS+ISO27017 構築
- ISMS+ISO27017 運用
- ISMS+ISO27017 審査
またISMS、ISO27017の有効期限は取得日から3年間です。
毎年審査もあるのでその点には注意が必要です。
4.そもそもISO27017取得企業はどんな会社か?
取得するべき業種は、クラウドサービスを提供している企業で、一般的には【SaaS】【PaaS】【IaaS】関連のサービスを提供する企業になります。
具体的には、下記に当てはまる企業です。
- 他社のクラウドサービスを使ってアプリなどのクラウドサービスを提供している企業
- 他社のクラウドサービスを利用している企業
- 他社のクラウドサービスを使ってビジネスをしている企業
- クラウド設備を自社で保有し、クラウドサービス提供している企業
実際に取得している企業
- Amazon Web service
- Microsoft
- IDCフロンティア
- NTTデータ
- サイボウズ
- さくらインターネット
- Sansan
- 鈴与シンワート
- ソフトバンク
- Chatwork
他にも、ISO27017を取得している企業の詳しい共通点は下記コラムをご覧ください。
5.まとめ
冒頭でもご説明しましたが、ISO27017 コンサルを選ぶ際に大切なことは3つあります。
1つ目は実績・経験です。
どれだけの認証実績があるのか、同業の企業をサポートしてきたのか 等
2つ目は専門知識・資格です。
業界特有の知識はあるのか、コンサルタントが審査員資格を持っているのか 等
3つ目はコンサルティングスタイルです。
リモート対応がメインなのか、現場に来てくれるのか、ツールの利用はあるのか 等
ISO27017認証取得に関するお悩み・疑問がございましたら是非一度無料相談をご利用ください。
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ