ISO27017は、クラウドセキュリティに関する国際規格です。
ISO27017とは?
ISO27017とは?
ISO27017とは、国際標準化機構(ISO)より2015年に発行されたクラウドセキュリティに関する国際規格です。
この規格は、クラウドサービスの提供及び利用に関する情報セキュリティ管理策のためのガイドラインです。
情報セキュリティ管理策の実践のための規範として広く利用されている国際規格ISO/IEC27002をベースとして、クラウドサービス固有の追加の実践の手引きや追加の管理策が示されています。
ISO27017を認証取得できる事業者
ISO27017を認証取得できる事業者は、以下のA~Cのクラウドサービスを提供している事業者及びクラウドサービスを利用している事象者が対象となります。
A : クラウドサービスプロバイダ
クラウドサービス(IaaS、PaaS、SaaS)を提供している事業者
B : クラウドサービスカスタマ
クラウドサービス(IaaS、PaaS、SaaS)を利用している事業者
C : クラウドサービスプロバイダ かつ クラウドサービスカスタマ
クラウドサービス(IaaS、PaaS、SaaS)を利用し、クラウドサービス(IaaS、PaaS、SaaS)を提供している事業者
例:IaaSを利用し、SaaSを提供している事業者
ISO27017認証取得のメリット
クラウドサービスを提供している事業者は、ISO27017を認証取得することで、サービスの運用においてクラウドサービス特有の情報セキュリティ対策に取り組んでいることを証明することが可能となり、利用者を含むステークホルダーからの信頼を高めることができます。
クラウドサービスを利用している事業者も同様に、サービスの利用においてクラウドサービス特有の情報セキュリティ対策に取り組んでいることを証明することが可能となり、お客様を含むステークホルダーからの信頼を高めることができます。
ISO27017の規格要求事項の概要
規格の構成
1~18の箇条と附属書A及び附属書Bから成り立っています。
1. 適用範囲
2. 引用規格
3. 定義及び略語
4. クラウド分野固有の概念
5. 情報セキュリティのための方針群
6. 情報セキュリティのための組織
7. 人的資源のセキュリティ
8. 資産の管理
9. アクセス制御
10. 暗号
11. 物理的及び環境的セキュリティ
12. 運用のセキュリティ
13. 通信のセキュリティ
14. システムの取得、開発及び保守
15. 供給者関係
16. 情報セキュリティインシデント管理
17. 事業継続マネジメントにおける情報セキュリティの側面
18. 順守
附属書A クラウドサービス拡張管理策集
附属書B クラウドコンピューティングの情報セキュリティリスクに関する参考文献
ISO27002との違い
- 「4.クラウド分野固有の概念」の追加
ISO27017を理解する上での必要な考え方を提示 - ISO27002で示されている実施の手引に対して、追加の実施の手引を提示(以下の管理策が対象/37項目)
5.1.1/6.1.1/6.1.3/7.2.2/8.1.1/8.2.2/9.1.2/9.2.1/9.2.2/9.2.3/9.2.4/9.4.1/9.4.4/10.1.1/10.1.2/11.2.7/ 12.1.2/12.1.3/12.3.1/12.4.1/12.4.3/12.4.4/12.6.1/13.1.3/14.1.1/14.2.1/15.1.1/15.1.2/15.1.3/16.1.1/16.1.2/16.1.7/18.1.1/18.1.2/18.1.3/18.1.5/18.2.1 - 附属書Aの追加
追加の管理目的及び管理策を規定 - 附属書Bの追加
クラウドセキュリティにおける参考文献を提示
認証取得までの4ステップ
ISO/IEC27017を認証取得するためには、次の4ステップが必要となります。
STEP1 ISO27001に基づく、ISMS(情報セキュリティマネジメントシステム)の構築
ISO27017を認証取得する際の前提として、ISMS(情報セキュリティマネジメントシステム)の国際規格であるISO27001の認証取得が必要となります。
すでにISO27001に基づくISMSを構築または認証済みのお客様はSTEP2からとなり、ISMSを構築されていないお客様はSTEP1とSTEP2を並行して行います。
STEP2 ISO27017の規格要求事項を実現するためのルール・体制づくり
ISO27017の規格要求事項を実現するためにルールや手順、体制、管理策(セキュリティ対策)などを整備します。
一般的には「規格要求事項の理解」、「現状のルールや体制と規格要求事項のGAP分析」、「必要なルールや手順、体制、管理策(セキュリティ対策)の整備」を行います。
STEP3 上記STEP2で構築した仕組みの運用
導入教育を行い、組織内に構築した仕組みを導入します。
また、1.0~2.0ヶ月間運用を行った後に、内部監査、マネジメントレビューを行います。
マネジメントレビューまで終了すると、認証審査を受審することができます。
STEP4 第三者認証機関による審査の受審
ISO/IEC27017の認証審査を行っている第三者認証機関から審査を受けます。
審査において適切に構築・運用されていることが確認されると、審査の約1ヶ月後に正式にISO/IEC27017の認証が授与されます。
当社のコンサルティングサービスの内容
ISO27017の認証を全般的にサポートさせていただきます。
ISMSを構築されていないお客様は、下記に加え、ISO27001の構築もサポートさせていただきます。
[1]ISO27017規格解説研修
当社オリジナルの図解でわかりやすいテキスト(日本語版)を提供し、ISO27017の規格要求事項のポイントについて、説明いたします。
[2]GAP分析・基本要件の決定に関するご支援
現状とISO27017の規格要求事項とのGAP分析を効率的か効果的に実施できるワークシートを提供し、貴社の現状分析作業及び基本要件の決定についてサポートいたします。
[3]手順及び管理策の整備に関するご支援
上記[2]で決定した基本要件を、具体的に手順及び管理策(セキュリティ対策)に落とし込む際のミーティングに参加し、事例の紹介や助言を行い、規格要求事項実現のための作業をサポートさせていただきます。
[4]ISO27017の認証審査に関するご支援
実際の審査時の立会、及び審査後のフォローアップをサポートさせていただきます。
お気軽にお問い合わせください
当社では、ISO/IEC27017の新規認証に関するご支援等、各種サービスを取り揃えております。
また、ご要望のお客様には個別相談会やメール・電話でのご質問を承っております。
お気軽にお問い合わせください。