ISO/IEC 27017
ISMSクラウドセキュリティ ISMS-CLS
ISMSクラウドセキュリティ ISMS-CLS
ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。 クラウドサービスを提供する場合やクラウドサービスを利用する場合の リスクマネジメントの実施、及び、クラウドセキュリティ特有の管理策によって クラウドサービスに伴う様々なリスクを適切に管理することができます。
クラウドサービスは、仮想化技術を使っていることから従来のITサービスにはなかった考慮事項が出てきます。本規格は、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方に対して適用され、クラウドサービスのサプライチェーンによる情報セキュリティの実践を支援します。クラウドサービス提供・利用に対する組織の情報セキュリティについて、経営者のコミットメントを明確化し、組織のリスクが適切に管理されていることを証明できます。
情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001にISO/IEC 27017のクラウドセキュリティ管理策をアドオンすることにより、クラウドサービスにも対応した情報セキュリティ体制を構築することができます。クラウドサービスを提供する場合やクラウドサービスを利用する場合のリスクマネジメントの実施、クラウドセキュリティ管理レベルの向上により、クラウドサービスに伴う様々なリスク対応としての効果が期待できます。
クラウドサービスを提供している組織、及び、クラウドサービスを利用している組織のいずれにとっても、クラウドサービス特有のセキュリティ対策を講じていることを対外的にアピールすることができます。その結果、サービスの運用においてクラウドサービス特有の情報セキュリティ対策に取り組んでいることを証明することが可能となり、利用者を含むステークホルダーからの信頼を高めることができます。
ISO/IEC 27017は、クラウドサービス固有の情報管理策及び実施の手引きを追加するガイドライン規格のため、ISMSクラウドセキュリティ認証を希望される組織は、JIP-ISMS517-1.0への適合が必要となります。 JIP-ISMS517-1.0(ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項) は、JIPDECによって策定された認証基準です。
ISO/IEC 27001とJIP-ISMS517(ISO/IEC 27017)両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることができます。クラウドサービスを利用している組織も同様に、サービスの利用においてクラウドサービス特有の情報セキュリティ対策に取り組んでいることを証明することが可能となります。 JIP-ISMS517(ISO 27017)の審査形式は、ISO/IEC 27001のアドオン認証となりますので、ISO/IEC 27001を取得していることが前提となります。