ISMSクラウドセキュリティ認証(ISO27017)よくあるご質問
ISMSクラウドセキュリティ認証やISO27017に関するご質問
- Q. ISO27017とは何ですか?
-
ISO27017とは規格の名称であり、クラウドサービスにおける情報セキュリティ管理策の実践規範です。ただし、日本ではISMSクラウドセキュリティ認証のことをISO27017と呼称することが多いので、認証名と認識されています。
- Q. ISMSクラウドセキュリティ認証とは何ですか?
-
ISMSクラウドセキュリティ認証とは、ISO27001のアドオン認証のひとつで、ISO27017に基づく要求事項について審査されます。したがって、ISO27001を取得しているか、同時に取得することが認証の条件になります。ただし、ISO27001のようなマネジメントシステムの審査ではなく、対象となるクラウドサービスの信頼性を審査されることになります。
- Q. ISMSクラウドセキュリティ認証とISO27017との違いは何ですか?
-
ISMSクラウドセキュリティ認証は認証制度の名称、ISO27017は規格の名称です。 ISMSクラウドセキュリティ認証は、ISO27017に基づいて作成されたISMSクラウドセキュリティ認証に関する要求事項を満たすことを証明する認証制度です。
- Q. ISO27017の管理策には、ISO27001と比べて何が追加されたのでしょうか?
-
ISO27001の付属書Aに記載されている詳細管理策の実践規範であるISO27002に、クラウドセキュリティ特有の管理策が追加されました。
- Q. ISO27017に対応するJIS規格は何ですか?
-
JIS Q 27017です。なお、JIS Q 27017は、日本規格協会などで購入できます。
- Q. ISMSクラウドセキュリティ認証の要求事項はどのようなものですか?
- ISMSクラウドセキュリティ認証の要求事項は、ISO/IEC27017をベースにしています。また、ISO/IEC27017は、ISO/IEC27001付属書Aの管理策を拡張した内容となっています。拡張とは、既存の管理策の補足や、新たな管理策の追加とお考え下さい。
- Q. クラウドセキュリティガイドラインとは、どのようなものですか?
-
クラウドサービスを利用する側、提供する側、両社に対する経済産業省が発行しているガイドラインです。詳細は、経済産業省のホームページをご覧ください。
- Q. 事故があったら、ISMSクラウドセキュリティ認証を取り消されてしまいますか?
-
「事故があったから即認証取り消し」ということはありません。ただし、事故後の対応によっては取り消しがあり得ます。
ISMSクラウドセキュリティ認証取得に関するご質問
- Q. ISO27017で要求されるリスクアセスメントとはどのようなものですか?
-
ISO27017のリスクアセスメントのスキームそのものは、ISO27001と同じです。ただし、クラウドセキュリティ特有のリスクファクターを考慮し、アセスメントを実施する必要があります。ISO27001のリスクアセスメントについては、こちらをご覧ください。
- Q. ISMSクラウドセキュリティ認証を取得するまでに、どれぐらいの費用がかかりますか?
-
ISMSクラウドセキュリティ認証の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。具体的な金額は別途お問い合わせください。
- Q. ISMSクラウドセキュリティ認証を取得するメリットは何ですか?
-
企業間取引などで、判りやすい信用の証となります。例えば、プライバシーマークの審査では、個人情報を取り扱うクラウドサービスを利用する場合は、サービス提供会社を評価する必要があります。その際の評価ポイントになる可能性があります。
- Q. ISMSクラウドセキュリティ認証とISO27001を同時に取得することは可能ですか?
-
同時に取得することは可能です。 ISMSクラウドセキュリティ認証だけを先に取得することはできません。
- Q. すでにISO27001を取得済なのですが、ISMSクラウドセキュリティ認証を追加で取得できますか?
-
ISO27001をすでに取得されているのであれば、ISMSクラウドセキュリティ認証を追加で取得できます。
- Q. ISMSクラウドセキュリティ認証は、どのような企業が取得に取り組むべきですか?
-
クラウドサービスを提供する企業にとってのメリットが大きいですが、利用する側として取得することもできます。
- Q. ISMSクラウドセキュリティ認証の登録範囲を教えてください。
-
提供するクラウドサービス、もしくは利用するクラウドサービスが含まれていることが前提です。なお、ISO27001登録範囲内に含まれていれば、完全にISO27001の登録範囲と同一でなくてもかまいません。
- Q. 入退室管理は必要ですか?
-
ISO27002と同じなので、入退室管理の導入は任意扱いです。
- Q. ISMSクラウドセキュリティ認証を取得した後は、どのように運用していったらいいでしょうか?
-
ISMSクラウドセキュリティ認証は、マネジメントシステムの審査ではないので、単独では「運用」という概念はありません。基本的には、ISMSの運用の中に取り込んでください。
ISMSクラウドセキュリティ認証の審査に関するご質問
- Q. ISMSクラウドセキュリティ認証の審査では、どのようなことをするのでしょうか?
-
大原則として、マネジメントシステムの審査ではなく、サービスの信頼性の審査となります。
- Q. ISMSクラウドセキュリティ認証の認証機関は?
-
ISMS-ACに認定されている審査機関と、ISMS-ACに認定されていない独自認証の審査機関があります。後者は、一般的に「プライベート認証」と呼ばれています。
- Q. どのタイミングで審査を受けることになりますか?
-
- 1.ISMS認証の新規取得のタイミングと同時に受審する
- 2.ISMS認証の提起審査や再認証審査のタイミングで受審する
- 3.1や2とは別に臨時で受審する
結論としては、いつでも受審が可能ですが、ISMS認証と同時取得、もしくは事前にISMS認証を取得していることが条件です。
- Q. ISMSクラウドセキュリティ認証の登録の単位はどうなりますか?
-
サービス毎になります。審査料金は、一般的に対象サービスの数で決まります。
- Q. 審査時にコンサルタントの立ち会いは可能ですか?
-
可能です。審査機関の許可を得ることができれば承ります。
ISMSクラウドセキュリティ認証のコンサルティングに関するご質問
- Q. コンサルタントに支援を依頼するメリットは?
-
ISMSクラウドセキュリティ認証(ISO27017)取得にて、コンサルタントに支援を依頼すると、時間を短縮することができること。審査機関を上手に選択することができることなどのメリットがあります。
- Q. ISMSクラウドセキュリティ認証取得コンサルティングは、どのようなことに対応してもらえますか?
-
基本的なサービス内容は
- カスタマかプロバイダの判断
- 利用しているクラウドサービスもしくは提供しているクラウドサービスの内容の確認
- SLAやユーザマニュアルの整備状況
- 必要に応じたISMS文章の改定案作成
- リスク分析の結果の見直し
- リスク対応計画の検討
ご要望があれば対応するサービスとして
- 内部監査員養成研修実施
- 内部監査の立ち合い
- 従業員教育実施
- マネジメントレビューの立ち合い
- 初回審査/サーベイランス/再認証審査等の立ち合い
- Q. ISMSクラウドセキュリティ認証取得支援は、どれぐらいの規模の組織が多いですか?
-
サービス単位の登録になるので、あまり人的規模は関係ございません。数名から数十名様くらいの登録範囲が多いです。
- Q. 独自でISMSクラウドセキュリティ認証を取得したのですが、運用支援をしてもらえますか?
-
もちろんご支援させていただきます。
- Q. 契約の前に、コンサルタントと顔合わせができますか?
-
ご要望があれば、事前に顔合わせさせていただきます。
- Q. コンサルタントの交代は可能ですか?
-
承ります。交代をご要望いただいた理由をお聞かせいただけると、たいへんありがたく存じます。
- Q. 別のコンサルタントに依頼したが、審査に合格しなかったので、御社のコンサルティングに乗り換えることができますか?
-
過去にそういったケースもございますので、お気軽にご相談ください。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00