ISO/IEC 27017(クラウドサービスセキュリティ)

ISO/IEC 27001を強化し、クラウドサービスにも対応した情報セキュリティ管理体制を構築

クラウドサービスは、利便性・拡張性・コストメリットなどから近年多くの企業に採用されており、その急速な普及とともに、セキュリティに関する有効な取り組みを求める気運も高まっています。

ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。また、ISO/IEC 27001とISO/IEC 27017の両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることができます。

ISO 27017

ISO/IEC 27017

ISOの基礎知識

対象組織

クラウドサービスを提供/利用するあらゆる組織

ISO/IEC 27017の対象となるのは、次の組織です。

  • クラウドサービスを提供する組織 [ クラウドサービスプロバイダ(CSP)]
  • クラウドサービスを利用する組織 [ クラウドサービスカスタマ(CSC)]
  • ※営業支援システムや顧客管理システムなど、組織が運用するシステムにクラウドサービスを利用している場合、対象となります。クラウドサービスは急速に普及しており、インターネット上のさまざまなサービスが、意識するかどうかにかかわらず、クラウド上で稼動するようになっています。
  • ※クラウドサービスを提供する過程で他組織の提供するクラウドサービスを利用している場合、CSPとCSC両方に該当します。

ISO/IEC 27017審査によるメリット

クラウドサービス固有のリスクを低減し、企業価値を向上

ISO/IEC 27017に取り組むことにより、クラウドサービスにも対応した情報セキュリティ管理体制を確立でき、さらに組織内外からの信頼向上を実現できます。

  • クラウドサービスに関するリスクの低減
  • クラウドサービスを適切に提供/利用する組織体制の確立
  • 認証取得による、組織内外からの信頼向上
  • ISO/IEC 27001との組合せ審査による効率的な認証取得

認証取得までの流れ

(1)適用範囲の決定

ISO/IEC 27001の適用範囲内またはISO/IEC 27001と同一とする。

認証取得までの流れ1

(2)要求事項への対応(リスクアセスメント)

ISO/IEC 27002を参照しながら、ISO/IEC 27001とISO/IEC 27017に基づくリスクアセスメントを実施する。

認証取得までの流れ2

(3)審査の受審

ISO/IEC 27001とISO/IEC 27017の審査を同時に受審する。

認証取得までの流れ3

(4)認証取得

ISO/IEC 27001とISO/IEC 27017の登録証が別々に発行される。

認証取得までの流れ4