2024年9月19日
ISO27017の内部監査をする際には、利用規約や約款、その他提供クラウドサービスに関するマニュアルやヘルプ・Q&A等がしっかりとISO27017の管理策要求事項に応えているかどうかを気を付けながら監査をすることです。
1.ISO27017の内部監査をする際の注意点
ISO27017の内部監査は、ISO27001と違ってクラウドサービスプロバイダとしての視点とクラウドサービスカスタマとしての視点の監査が必要になります。
どちらかもしくは両方であるかどうか、認証範囲に気を付けてどのような視点で監査を行わなければならないのかに注意が必要となります。
2.そもそもISO27017とは?内部監査とは?
そもそもISO27017というのは、ISO27001のアドオン認証でのクラウド認証ISOとなります。
アドオンとはISO27001を認証取得しないと認証されない決まりのことです。
ですので、ISO27017単体ではISO認証取得ができません。
では、ISO27001とは違う内部監査をしなければならないのか?特別な何かが必要になってくるのか?と思うかもしれませんが、内部監査の実施方法としては変わらないので安心してください。
⑴ISO27017の概要
ISO27017はクラウドサービスを提供する側(クラウドサービスプロバイダ)とクラウドサービスを使用する側(クラウドサービスカスタマ)の観点の管理策が用意されていて、どちらもクラウドサービスを安全に提供・利用するためのものとなっています。
例えば、クラウドサービスプロバイダとしては、サービス利用者と提供者と供給者(クラウドサーバなどの)の三社間のセキュリティに関する責任と役割を決めてサービス利用者に合意してもらわなければならない。という管理策があります。合意とは、双方で意思が合致することを示しており、契約をかわすことと同意と思ってください。
クラウドサービスカスタマとしては、クラウドサービスカスタマの資産目録には、クラウド環境に保存される情報及び関連資産を記載しなければならない。とあります。記載の通りですが、クラウドサービス内に保管される情報資産が何かを資産台帳の中に明記しなければなりません。
このような管理策を実行することがISO27017では求められているのです。
ISO27017についてこちらの記事で詳しく説明しております。
⑵内部監査の目的とメリット
内部監査の目的とメリットは以下になります。
①プロセスの改善: 内部監査を通じて、セキュリティの問題点や非効率的な部分、ルールの浸透度を特定できます。
これにより、改善点が明確になり、次の改善に繋げやすくなります。
②リスク管理の強化: 内部監査によって潜在的なリスクや問題が早期に発見されやすくなるため、リスク管理や対策の強化が可能になります。
③従業員の意識向上: 定期的な監査を実施することで、従業員は規範や標準についての意識が高まります。これにより、規範遵守が根付きやすくなります。
これらのメリットにより、内部監査は組織の全体的なセキュリティパフォーマンスの向上に貢献し、持続可能な成長を支える重要なプロセスとなります。
3.ISO27017内部監査のスケジュールと頻度
ISO27017の内部監査スケジュールは、基本のISO27001と一緒で問題ありません。
通常、ISO27001の規格に従って、年間に最低1回の内部監査を実施することが推奨されます。
ISO27017もISO27001の内部監査に統合される形で実施されるため、年に1回以上の頻度で監査を行うことが望ましいです。
もし、年に2回以上やることとしたら、クラウドサービスプロバイダとして管理策を実行できているかどうかをしっかりと確かめるための実施と考えてよいと思います。
また、情報セキュリティマネジメントシステム(ISMS)に重要な変更があった場合や管理策ルールの変更を行った、例えば、新たなクラウドサービスの導入や主要な変更があった場合などには、追加で監査を実施することが推奨されます。
4.内部監査実施のための流れ
⑴内部監査の範囲と対象の設定
まず、ISO27001及びISO27017の認証対象範囲、特に認証対象の部門が内部監査の範囲になります。
営業所がある場合は、営業所も認証範囲に含めていれば内部監査を実施することが求められます。
また、営業所等が多くある場合は、3年間で1回以上の内部監査が実施できるように3年計画を立てておくと良いでしょう。
⑵内部監査の計画・実施と報告
内部監査責任者は内部監査を実施する前には、どのような監査にするか、監査の観点をどのようにするか、いつ実施するか、どの範囲を監査するかなどを計画しなければなりません。また、内部監査責任者は監査をするための内部監査員を選定しなければなりません。
そしてこれらを計画書に落とし込み、計画日に内部監査を実施します。
実施後は監査で出た指摘を報告書などにまとめ、トップへの報告を行って完了となります。
⑶内部監査のチェックリストの作成
実施前に内部監査責任者や監査員はチェックリストを作成します。
ちなみにチェックリストは必ずしも作成する必要はないですが、監査の基準や監査員の公平性を保つためにチェックリストという標準を作っておくと良いものとなります。
5.ISO27017内部監査によくある課題と解決方法
ISO27017の内部監査を行ううえでよくある課題は、リソースや知識不足です。
ISO27017の規格要求はクラウドに関する知識やプロバイダとしてのセキュリティ機能等を熟知している必要があるので専門性が強くなり、その分のリソースや知識が必要となるのです。
それらをクリアするためには、まずISO27017の規格要求に対する知識を付ける必要があります。どんなことをすればよいかというと内部監査養成研修などの外部研修を受けることや参考書を元に自習などをする必要があります。
ただ、クラウドに関する知識やプロバイダとしてのセキュリティ機能に関する知識は簡単には付けられません。
そこで、すでに知識がある者が内部監査員になることも必要かもしれません。それ以外の者であれば勉強をする必要があり、これには時間が膨大にかかるかもしれません。
6.内部監査の成功事例と紹介
内部監査の成功事例として以下3つを紹介します。
⑴金融機関のクラウド移行プロジェクト
背景:
ある大手金融機関がクラウドサービスを利用するにあたり、情報セキュリティを確保するためにISO 27017の実施を決定しました。クラウド環境に移行する際のリスク管理が重要でした。
アクション:
内部監査チームは、ISO 27017の要件に基づき、クラウドサービスのセキュリティ対策を評価しました。監査では、クラウドサービスプロバイダーとの契約内容、データ保護、アクセス制御、脅威の管理などを重点的にチェックしました。
結果:
内部監査を通じて以下の改善が実現しました
クラウドプロバイダーとの契約において、情報セキュリティに関する明確な合意が形成され、データ保護の取り決めが強化されました。
アクセス管理のポリシーが明確化され、不正アクセスのリスクが低減しました。
クラウド環境でのセキュリティインシデント対応手順が整備され、迅速な対応が可能になりました。
⑵ ヘルスケア業界のクラウドセキュリティ強化
背景:
あるヘルスケア企業が、患者情報の保護を強化するためにISO 27017を導入しました。クラウドサービスを利用して電子カルテシステムを運用しており、規制に対応する必要がありました。
アクション:
内部監査では、ISO 27017に基づいてクラウド環境のセキュリティ対策を徹底的にチェックしました。具体的には、データ暗号化、アクセスログの管理、バックアップとリカバリープロセスの検証などが行われました。
結果:
監査の結果、以下の改善が行われました。
データ暗号化が強化され、患者情報の保護レベルが向上しました。
アクセスログの監視体制が強化され、不正なアクセスの早期発見が可能となりました。
バックアップとリカバリープロセスが最適化され、データの可用性と信頼性が向上しました。
⑶ITサービスプロバイダーのセキュリティ体制の改善
背景:
ITサービスプロバイダーが、顧客に対して安全なクラウドサービスを提供するためにISO 27017の内部監査を実施しました。クラウドサービスの品質とセキュリティの維持が課題でした。
アクション:
内部監査チームは、ISO 27017のガイドラインに従い、セキュリティポリシー、リスク管理、コンプライアンスの状況を評価しました。特に、顧客データのセキュリティとコンプライアンス状況が重点的にチェックされました。
結果:
内部監査の結果、以下の改善が実施されました。
セキュリティポリシーの見直しと強化が行われ、サービスの信頼性が向上しました。
リスク管理プロセスが改善され、リスク評価と対策がより効果的に行えるようになりました。
顧客へのセキュリティに関する透明性が向上し、顧客からの信頼が増しました。
これらの成功事例からもわかるように、ISO 27017の内部監査はクラウド環境における情報セキュリティの強化やリスク管理の改善に大きく寄与します。内部監査を適切に実施することで、クラウドサービスの信頼性と安全性を向上させることができます。
7.ISO27017の内部監査員になる為には
ISO27017の内部監査員になる為には以下のような活動が必要となります。
- 外部機関の内部監査員養成研修を受講し、内部監査の力量を付ける
- 社内の内部監査教育プログラムを受講し、社内承認を得る
- 社内のベテラン内部監査員に同行し、OJTを受けて社内承認を得る
ISOの内部監査員資格を取得する方法についてこちらの記事で詳しく説明しております。
8.まとめ
ISO27017の内部監査を実施するには規格要求事項の知識とクラウドサービスに関する知識を必要とします。それをクリアした内部監査員から責任者を選出し、内部監査計画を立て、実施し、報告を行います。
内部監査を行うことによって自社のクラウドサービスにおける課題を洗い出すことができ、セキュリティの改善・強化に繋げることが可能になります。
改善が行われることによって、カスタマ(顧客)にサービスに対する安心感を与えることができ、サービス利用の促進につながることになるでしょう。
ただし、ISO27017の内部監査員になるために専門的な知識を付ける必要があるため、一朝一夕で監査員になれる保証はありません。これをクリアすればISO27017は組織にとってプラスの側面を与えてくれることでしょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
-
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください