ISMSクラウドセキュリティ認証（ISO/IEC27017）は時間がかかる？

時間がかかるケースは？

最も多いのは、利用規約やホワイトペーパーといった文書が整備されていないケースです。

CLSはISMSの延長線上にあるのですが、追加で要求される主な文書は上記の利用規約やホワイトペーパーの他、SLA、ユーザーマニュアル、社内の運用マニュアルといった類の文書です。勿論この通りの名称の文書でなくてもよいのですが、要求されるのは、「利用者にサービスの仕様を伝える」「利用者にサービスの利用方法を伝える」「サービスを提供するための社内手順を定める」などといった内容なので、一般的には上記のような文書を策定することになります。これらは、対象とするサービスによって大きく異なるうえに、情報セキュリティ以外の要素も加味する必要があるため、策定に時間を要することが多いです。

しかし、逆に言えばこれらの文書が揃っていれば、あとはクラウドセキュリティの観点を加味してISMSの運用をなぞっていけば良いだけので、短期間での取得も可能となります。既にある程度成熟したサービスの場合、上記の文書類が備わっていることが多いので、短期取得が実現するケースが多いです。

技術部門の協力が不可欠

もうひとつ時間がかかるケースで散見されるのは、技術部門との連携が取れないというケースです。特に、ISMSの構築運用を技術部門以外が主導したケースで、なかなか協力してもらえないというケースが見受けられます。

CLSの審査は、ISMSと違いサービスそのものの信頼性の観点で行われるので、一般的には技術部門がインタビュー対象となります。勿論、サービスの仕様などを熟知していれば技術部門でなくてもよいのですが、通常は難しいと思われます。

また、上記のホワイトペーパーなどの策定にも技術部門の協力が必要となることが多いので、技術部門の協力が円滑なプロジェクト進行のためには必要となります。

したがいまして、CLSにお取組みになる際には、あらかじめ技術部門とのコンセンサスを形成したうえで臨まれることが肝要です。