ISMSクラウドセキュリティ認証（ISO27017）よくあるご質問

ISMSクラウドセキュリティ認証やISO27017に関するご質問

Q. ISO27017とは何ですか？

ISO27017とは規格の名称であり、クラウドサービスにおける情報セキュリティ管理策の実践規範です。ただし、日本ではISMSクラウドセキュリティ認証のことをISO27017と呼称することが多いので、認証名と認識されています。

Q. クラウドセキュリティ認証とは何ですか？

ISO27001のアドオン認証のひとつで、ISO27017に基づく要求事項について審査されます。したがって、ISO27001を取得しているか、同時に取得することが認証の条件になります。ただし、ISO27001のようなマネジメントシステムの審査ではなく、対象となるクラウドサービスの信頼性を審査されることになります。

Q. ISMSクラウドセキュリティ認証とISO27017との違いは何ですか？

ISMSクラウドセキュリティ認証は認証制度の名称、ISO27017は規格の名称です。 ISMSクラウドセキュリティ認証は、ISO27017に基づいて作成されたISMSクラウドセキュリティ認証に関する要求事項を満たすことを証明する認証制度です。

Q. ISO27017の管理策には、ISO27001と比べて何が追加されたのでしょうか？

ISO27001の付属書Aに記載されている詳細管理策の実践規範であるISO27002に、クラウドセキュリティ特有の管理策が追加されました。

Q. ISO27017に対応するJIS規格は何ですか？

JIS Q 27017です。なお、JIS Q 27017は、日本規格協会などで購入できます。

Q. ISMSクラウドセキュリティ認証の要求事項はどのようなものですか？

ISMSクラウドセキュリティ認証の要求事項は、ISO/IEC27017をベースにしています。また、ISO/IEC27017は、ISO/IEC27001付属書Aの管理策を拡張した内容となっています。拡張とは、既存の管理策の補足や、新たな管理策の追加とお考え下さい。

Q. クラウドセキュリティガイドラインとは、どのようなものですか？

クラウドサービスを利用する側、提供する側、両社に対する経済産業省が発行しているガイドラインです。詳細は、経済産業省のホームページをご覧ください。

Q. 事故があったら、ISMSクラウドセキュリティ認証を取り消されてしまいますか？

「事故があったから即認証取り消し」ということはありません。ただし、事故後の対応によっては取り消しがあり得ます。

ISMSクラウドセキュリティ認証（ISO27017）に戻る

ISMSクラウドセキュリティ認証取得に関するご質問

Q. ISO27017で要求されるリスクアセスメントとはどのようなものですか？

ISO27017のリスクアセスメントのスキームそのものは、ISO27001と同じです。ただし、クラウドセキュリティ特有のリスクファクターを考慮し、アセスメントを実施する必要があります。ISO27001のリスクアセスメントについては、こちらをご覧ください。

Q. ISMSクラウドセキュリティ認証を取得するまでに、どれぐらいの費用がかかりますか？

ISMSクラウドセキュリティ認証の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。具体的な金額は別途お問い合わせください。

Q. ISMSクラウドセキュリティ認証を取得するメリットは何ですか？

企業間取引などで、判りやすい信用の証となります。例えば、プライバシーマークの審査では、個人情報を取り扱うクラウドサービスを利用する場合は、サービス提供会社を評価する必要があります。その際の評価ポイントになる可能性があります。

Q. ISMSクラウドセキュリティ認証とISO27001を同時に取得することは可能ですか？

同時に取得することは可能です。 ISMSクラウドセキュリティ認証だけを先に取得することはできません。

Q. すでにISO27001を取得済なのですが、ISMSクラウドセキュリティ認証を追加で取得できますか？

ISO27001をすでに取得されているのであれば、ISMSクラウドセキュリティ認証を追加で取得できます。

Q. ISMSクラウドセキュリティ認証は、どのような企業が取得に取り組むべきですか？

クラウドサービスを提供する企業にとってのメリットが大きいですが、利用する側として取得することもできます。

Q. ISMSクラウドセキュリティ認証の登録範囲を教えてください。

提供するクラウドサービス、もしくは利用するクラウドサービスが含まれていることが前提です。なお、ISO27001登録範囲内に含まれていれば、完全にISO27001の登録範囲と同一でなくてもかまいません。

Q. 入退室管理は必要ですか？

ISO27002と同じなので、入退室管理の導入は任意扱いです。

Q. ISMSクラウドセキュリティ認証を取得した後は、どのように運用していったらいいでしょうか？

ISMSクラウドセキュリティ認証は、マネジメントシステムの審査ではないので、単独では「運用」という概念はありません。基本的には、ISMSの運用の中に取り込んでください。

ISMSクラウドセキュリティ認証（ISO27017）に戻る

ISMSクラウドセキュリティ認証の審査に関するご質問

Q. ISMSクラウドセキュリティ認証の審査では、どのようなことをするのでしょうか？

大原則として、マネジメントシステムの審査ではなく、サービスの信頼性の審査となります。

Q. ISMSクラウドセキュリティ認証の認証機関は？

ISMS-ACに認定されている審査機関と、ISMS-ACに認定されていない独自認証の審査機関があります。後者は、一般的に「プライベート認証」と呼ばれています。

ISMSクラウドセキュリティ認証（ISO27017）に戻る

ISMSクラウドセキュリティ認証のコンサルティングに関するご質問

Q. コンサルタントに支援を依頼するメリットは？

ISMSクラウドセキュリティ認証（ISO27017）取得にて、コンサルタントに支援を依頼すると、時間を短縮することができること。審査機関を上手に選択することができることなどのメリットがあります。

Q. ISMSクラウドセキュリティ認証取得コンサルティングは、どのようなことに対応してもらえますか？

基本的なサービス内容は

• カスタマかプロバイダの判断
• 利用しているクラウドサービスもしくは提供しているクラウドサービスの内容の確認
• SLAやユーザマニュアルの整備状況
• 必要に応じたISMS文章の改定案作成
• リスク分析の結果の見直し
• リスク対応計画の検討

ご要望があれば対応するサービスとして

• 内部監査員養成研修実施
• 内部監査の立ち合い
• 従業員教育実施
• マネジメントレビューの立ち合い
• 初回審査／サーベイランス／再認証審査等の立ち合い