ISMSクラウドセキュリティ認証(ISO/IEC 27017)説明
概要
近年、クラウドサービスは、その利便性、拡張性及びコストメリットなどから多くの企業が利用/提供を始めています。一方、その急速な普及とともに、クラウドサービス固有のリスクに対するセキュリティ上の取り組みが必要になってきています。
本規格は、このクラウドサービスを含む情報セキュリティマネジメントシステム(以下、ISMS )を確立し、実施し、維持し、継続的に改善するためのISMS クラウドセキュリティ認証のための要求事項の規格です。ISO27001を基盤とした上乗せ規格です。
クラウドサービス提供者(プロバイダ:CSP)の立場とクラウドサービスユーザー(カスタマ:CSC)の立場及び両方の立場を明確にしてシステムを構築します。
適用規格
JIP-ISMS517-1.0:ISMSクラウドセキュリティ認証に関する要求事項(JIS Q 27017:2016(ISO/IEC 27017:2015))に基づきます。
適用範囲
ISO27001認証範囲と同一またはその一部になります。
審査
ISO27017(JIP-ISMS517-1.0:ISMSクラウドセキュリティ認証に関する要求事項)は単独での審査は出来ません。既にISO27001を取られているか、ISO27017とISO27001と同時に審査を受けます。(既にISO27001を取得している場合、初回認証審査は単独で審査可能ですが、認証期間はISO27001と同一になります。)。審査の流れは以下の通りです。
認証取得
ISO/IEC 27001とISO/IEC 27017(JIP-ISMS517-1.0:ISMSクラウドセキュリティ認証に関する要求事項)の登録証が別々に発行される。当面は、プライベート認証となります(認証の効力は同じです)
ISMSクラウドセキュリティ認証取得のメリット
ISMSクラウドセキュリティ認証は、クラウドサービスを提供する組織、クラウドサービスを利用する組織のどちらに対してもメリットがあります。
■ステークホルダーに対するアカウンタビリティの向上
- クラウドサービスに関係するステークホルダーに対して、クラウドサービスの情報セキュリティが適切に管理されていることを客観的に示すことが可能になります。
- クラウドサービスがビジネスプロセスに深く関わっている組織では、クラウドサービスの情報セキュリティ確保は、事業継続の点からも必須のものです。
■クラウドセキュリティのベストプラクティスの実践
- ISO/IEC 27017は、クラウドサービスの情報セキュリティ管理策のベストプラクティスです。規定されている実施の手引を活用して、グローバル水準のクラウドサービスのための情報セキュリティマネジメントシステムの構築が可能になります。
■新たなリスクへの対応、継続的な改善
- 現行のISMSの枠組みを活かしながら、クラウドサービスに伴う新たな情報セキュリティリスクに体系的に対応して、最適なコストで情報セキュリティの継続的な改善を図ることが可能になります。
- また、クラウドサービスの提供者と利用者の間の役割分担/責任分界点を明確にして、提供者と利用者が協力して、情報セキュリティリスクに対応することが可能になります。
本ウェブサイトは、第三者機関の株式会社日本レジストリサービス(JPRS)により、「サイトの運営主体の実在証明」及び「SSL暗号化通信による情報の保護」が証明されています。また、ご利用の皆様が個人情報を入力されるページには、SSL(Secure Sockets Layer)暗号化通信方式を採用し、ご利用の皆様に関する大切な情報が盗まれたり、故意に書き換えられたりされることを防止しております。