認証取得に関するコラム
ISMSクラウドセキュリティ認証お取組みのその前に ~登録範囲の注意点~

登録範囲に含まれているとは

ISMSクラウドセキュリティ認証(以下「クラウドセキュリティ認証」)のご相談をいただくことが増えておりますが、ベースとなるISO27001の登録範囲にクラウドセキュリティ認証の対象となるサービスが含まれていなかったというケースが見受けられます。

正確には、「対象となる事業活動は含まれているが、対象となるサービスが含まれていることが明確でない」というケースです。プロバイダとしてクラウドセキュリティ認証の登録対象とするサービスは、ベースとなるISO27001の登録範囲内である必要がありますが、ISO27001の登録範囲に含まれていることが明確であることが要求されます。

「明確である」とは

例えば、クラウドセキュリティ認証でAというサービスを登録したい場合、ISO27001が「ソフトウェアの設計開発」として登録されていても、そのままクラウドセキュリティ認証においてAを登録できるとは限らないということです。

通常はそのまま登録可能であることが多いのですが、ISO27001の審査でAが取り上げられていない場合、ISO27001の拡大審査が必要になることがあります(Aが対象であることを明確にするための拡大審査)。具体的には、審査レポートの中でAについて触れられていることが明確である、もしくはストレートに「Aの設計開発」と登録されていることが必要です。

直近のISO27001の審査後にリリースされたサービスや、たまたま審査でインタビュー対象にならなかったサービスなどが想定されます。

そんな時はどうすれば?

明確でないと判断された場合、

  1. 1.クラウドセキュリティ認証の審査前にISO27001の拡大審査を受審する(上記の例で言えば「登録範囲にAが含まれることを明確にするための審査」です)
  2. 2.クラウドセキュリティ認証の審査と同時にISO27001の拡大審査を受審する必要があります。

クラウドセキュリティ認証をご検討される際は、あらかじめ過去の審査レポートの内容を読み直し対象サービスが登録範囲に含まれることを確認するか、審査機関に問い合わせる等で確認することをお奨めします。

認証取得お役立ち情報一覧に戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。


帝国データバンクNC

ISO27001
情報を適切に管理・運用し、一定以上のセキュリティレベルに。
プライバシーマーク
個人情報に対して適切な保護措置を講ずる体制を整備。
お問い合わせ・資料請求