ISO27017認証支援サービス
ISO27017は国際標準化機構(ISO)より発行されたクラウド分野のセキュリティに特化した国際規格です。
当社が提供する認証取得支援サービスは専門性をもつコンサルタントが、お客様企業の認証取得活動に関する一連の活動をワンストップで支援するものです。
※ISO27017を認証取得する際は、前提としてISMS(情報セキュリティマネジメントシステム)の国際規格であるISO27001の認証取得が必要となります。
「ISO27017」とは
ISMS(情報セキュリティマネジメントシステム)の国際規格であるISO27001の認証を前提として、
クラウドサービスの提供及び利用に関する手引きや管理策のためのガイドラインが「ISO27017」です。
認証取得によるメリット
ISO27017認証に成功すると、適切な情報セキュリティ対策に取り組んでいることを証明することが可能となり、以下のメリットが得られます。
【クラウドサービス提供事業者様】
クラウドサービス固有のリスクを低減し、情報セキュリティを強化することができます。
利用者を含むステークホルダーから信用を得ることができ、競合他社との大きな差別化のポイントとなります。
【クラウドサービス利用事業者様】
適切な情報セキュリティ管理策を導入することができ、クラウドサービスの利用におけるリスクを低減することができます。
お客様を含むステークホルダーからの信頼を向上させることができます。
ISO27017認証取得までの流れ
適用範囲の決定
「クラウドサービスプロバイダとしてのタイプ」、「クラウドサービスの内容」、「組織的な適用範囲」、「物理的な適用範囲」を定義しますリスクアセスメントの実施
クラウドサービス提供を考慮したうえでのリスクアセスメントを実施します。「リスク及び機会への対応から、セキュリティ対応を紐づけ」、「既存の情報資産の見直し(クラウドサービスに関わる情報資産に漏れが無いかを確認する)」、「必要であれば、既存ISMSのリスクアセスメントを見直し」、「クラウドサービスに対するベースラインリスクアセスメントを実施」します。1.クラウドサービスごとに、27017の管理策への対応のまとめ(適用宣言書)
2.上記対応に対するリスク対応を決定
3.必要に応じてリスク対応計画を策定・実施
情報セキュリティリスク対応
クラウドサービス提供を考慮したうえでの管理策の実現方法を決定します。内部監査
ISMS-CSに関する内部監査の実施を支援します。審査
オブザーブなど審査対応を支援します。ISO27017認証の取得メリット
- 信頼性の向上
- 顧客の信頼の構築
- 規制要件の順守
当社の支援内容
ISO27017認証取得において、- 適用範囲の確認、助言
- リスクアセスメント手順の提供
- ベースラインアセスメントの例提示
- リスクアセスメント結果の確認、助言
- クラウドセキュリティ細則作成の支援
- 内部監査の準備支援
- 審査の準備支援
主な成果物
当サービスにおける貴社への成果物(提出物)は以下が挙げられます。適用範囲書
適用範囲を定めることで、規格の要求事項を組織内で運用できるようになり、マネジメントシステムの有効性が向上します。また、適用範囲を明確にすることで、組織の取り組みや管理体制の透明性が増し、利害関係者からの信頼を得やすくなります。さらに、適用範囲を正確に定義し、文書化することで、組織の認証取得や持続的改善に繋がります。リスクアセスメントプロセス書
リスクアセスメントの実施に必要な情報を整理し、リスクの特定、分析、評価、対策の優先順位付けを行うための指針となるドキュメントになります。適用宣言書
貴社組織が自社に適用する管理策と除外する管理策を文書化したものです。この文書は、情報セキュリティ管理策の中で、どの項目を適用するか、または除外するかを明示します。クラウドセキュリティ細則
クラウドサービスを安全に利用するためのガイドラインで、企業や組織がクラウドサービスを設計、導入、運用する際のベストプラクティスを示します。クラウドサービス事業者には、ゼロトラスト、生成AI、SaaS統制などの新しいトピックにも対応し、従来の枠組みにとどまらない高度なリスク管理が求められています。
クラウドサービス事業者と利用者の責任分界点を明確にし、それぞれがどの領域を管理すべきかを定義します。
