ISO27018とは
ISO27018とは
クラウドサービスの本格的な普及に伴い、クラウドセキュリティに関する信頼は低下傾向にあります。ISO/IEC27018は、クラウド業界に適切な信頼をもたらすような実用的な基盤を提供すべく発行されました。
この規格は、クラウドサービス上に保管されている個人情報の取り扱いに対するガイドラインとして位置づけられ、ISO/IEC27002をベースとして、クラウド上で取り扱われる個人情報管理の追加の管理策を定め、ベストプラクティスを提供しています。
ISO27018の認証は、 ISMS(ISO/IEC27001)の「アドオン認証」としての認証登録制度になりますが、JIPDECでは取り扱っていません。一部の審査機関が認証を行っています。
規格の構成は、ISO/IEC27002の項目にパブリッククラウド固有の事項を追加補足し、附属書AとしてISO/IEC29100(プライバシー・フレームワーク)に基づく追加の管理策が含められている。
ISO27018認証の対象となる組織
ISO27018の認証を取得できる組織は、個人情報を取り扱っているパブリッククラウドサービス(企業や組織をはじめとした不特定多数のユーザにインターネットを通じて提供するサービス)の提供者が対象となります。
パブリッククラウドサービスで取り扱う個人情報の保護に特化した規格といえます。
ISO27018取得の流れ
ISO27018(ISMSクラウドセキュリティ認証)取得の流れ
ISO27018の構築作業から審査受審までの流れは、以下のようになります。
※詳細は各フェーズをクリックしてください。
1.体制・適用範囲の決定
ISO27018認証を取得する適用範囲を決定し、社内の運用体制を整備します。
2.現状の把握(個人情報の洗い出し、リスクアセスメント・リスク対応)
ISMSの適用範囲に含まれるクラウドサービスで取り扱う個人情報を洗い出し、リスクアセスメントを実施し、適切な情報セキュリティリスク対応の選択肢と管理策を決定します。管理策の決定には、ISO/IEC27018に記載されているガイダンスを参照し、パブリッククラウドサービス固有のリスクに対する管理策として必要な事項を選択し、実施します。
3. 文書化
採用した管理策(セキュリティ対策)の手順を定めた手順書類、関連する記録類のフォーマット(様式)などを策定していきます。
4. 運用
ISO27018認証はISMSのアドオン認証ですから、ISMSに組み込んで運用します。
リスクアセスメントの結果策定した「情報セキュリティ対応計画」、リスク対応の検討後明らかになった「残留リスク」について「リスク所有者」の承認を受け対応計画を実施していきます。
教育・訓練、有効性の評価、内部監査にもISO27018固有の情報を盛り込み、マネジメントレビューではこれらの運用状況の報告を受け、経営者が評価や改善指示を行います。これらの活動記録の維持が要求されています。
5.受審
ISO27018の認証審査を行っている第三者認証機関から審査を受けます。認証審査は、ISMS審査(サーベイランス・更新)時の追加実施もしくは、単独で審査を受ける拡大審査が可能です。ISO27018に沿っているかの文書審査とその実施状況が確認されます。
審査後、指摘された不適合に対する是正処置を書面にて報告し、処置内容に問題なしと判断されれば審査登録(認証)に進みます。