ISO27017とは
ISO27017とは
クラウドサービスの本格的な普及に伴い、クラウドサービスのセキュリティ要求事項の明確化が求められ、クラウドサービス向けの国際規格(ISO/IEC27017:2015 情報技術-セキュリティ技術-ISO/IEC27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範)が発行されました。
この規格は、クラウドサービスのための情報セキュリティ管理策の実践の規範を提供するガイドラインと位置づけられ、ISO/IEC27002をベースとして、クラウドサービス固有の追加の実施の手引きや追加の管理策が示されています。
ISMS(ISO/IEC27001)認証を前提として、このISO/IEC27017のガイドラインに沿ったクラウドサービスの情報セキュリティを満たしている組織を認証する仕組みとして、ISMSクラウドセキュリティ認証が開始されました。
ISMSクラウドセキュリティ認証とは
ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC27001)において、その適用範囲内に含まれるクラウドサービスの提供もしくは利用に関して、ISO/IEC27017に規定されるクラウドサービス固有の管理策が実施されていることを認証するもので、ISMS(ISO/IEC27001)の「アドオン認証」としての認証登録制度になります。
ISMSクラウドセキュリティ認証を受けるためには、ISMS(ISO/IEC27001)及びJIP-ISMS517-1.0への適合が求められます。
JIP-ISMS517-1.0は、ISO/IEC27017をガイドラインではなく、ISMS認証に取り込むための要求事項とするため、一般財団法人 日本情報経済社会推進協会(JIPDEC)が「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517-1.0」として策定しました。
ISMSクラウドセキュリティ認証の対象となる組織
ISMSクラウドセキュリティ認証は、クラウドサービス(SaaS、IaaS、PaaSなど)のプロバイダ(提供者)及びカスタマ(利用者)が対象となります。クラウドサービスプロバイダの中で、他社のクラウドサービスを利用してサービスを提供している組織は、プロバイダとカスタマの両方が該当します。
「クラウドサービスプロバイダ」
クラウドサービスを提供する組織
「クラウドサービスカスタマ」
クラウドサービスを利用している組織
「クラウドサービスプロバイダ かつ クラウドサービスカスタマ」
クラウドサービスを利用して、クラウドサービスを提供している組織
ISO27017取得の流れ
ISO27017(ISMSクラウドセキュリティ認証)取得の流れ
ISO27017の構築作業から審査受審までの流れは、以下のようになります。
※詳細は各フェーズをクリックしてください。
1.適用範囲の決定
ISMSクラウドセキュリティ認証を取得する適用範囲を決定します。適用範囲は、ISMSの適用範囲を超えないことが求められています。クラウドサービスのカスタマ(利用者)かプロバイダ(提供者)もしくは、その両方かの立場を明確にし、適用するクラウドサービス名を決定します。
2.現状の把握(リスクアセスメント・リスク対応)
ISMSの適用範囲内のクラウドサービスに関する情報のリスクアセスメントを実施し、適切な情報セキュリティリスク対応の選択肢と管理策を決定します。管理策の決定には、ISO/IEC27017に記載されている実施の手引きを参照し、クラウドサービス固有のリスクに対する管理策として必要な事項を選択し、実施します。
3. 文書化
採用した管理策(セキュリティ対策)の手順を定めた手順書類、関連する記録類のフォーマット(様式)、「適用宣言書」などを策定していきます。「適用宣言書」は、クラウドサービスカスタマとクラウドサービスプロバイダの管理策に分け、採否とその理由を記述します。
4. 運用
ISMSクラウドセキュリティ認証はISMSのアドオン認証ですから、ISMSに組み込んで運用します。
リスクアセスメントの結果策定した「情報セキュリティ対応計画」、リスク対応の検討後明らかになった「残留リスク」について「リスク所有者」の承認を受け対応計画を実施していきます。
教育・訓練、有効性の評価、内部監査にもクラウドサービス固有の情報を盛り込み、マネジメントレビューではこれらの運用状況の報告を受け、経営者が評価や改善指示を行います。これらの活動記録の維持が要求されています。
5.受審
ISMSクラウドセキュリティ認証審査は、ISMS審査(サーベイランス・更新)時の追加実施もしくは、単独で審査を受ける拡大審査が可能です。ISMSクラウドセキュリティ認証の要求事項に沿っているかの文書審査とその実施状況が確認されます。
審査後、指摘された不適合に対する是正処置を書面にて報告し、処置内容に問題なしと判断されれば審査登録(認証)に進みます。
また、審査工数は、認証の立場(クラウドサービスプロバイダ、クラウドサービスカスタマのいずれか、もしくは両方とも該当する場合)、クラウドサービス種別、システム構成、サービス利用者数等を加味して決められます。