ISO/IEC27017(CLS)認証取得支援サービス

873_ext_05_0.png

ISO/IEC27017:2015は、クラウドセキュリティを実践するためのガイドラインです。対になる認証規格として「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517-1.0」※があります。

これは情報セキュリティマネジメントシステム(ISMS)の認証基準であるISO/IEC27001のいわば拡張規格にあたります。このようなISO/IEC27017を採用するCLS認証は、ISMS認証取得している、または、することを大前提とした組織のみを対象にしているため、ISMSのアドオン認証とも呼ばれます。

※CLS認証制度に利用される規格は策定中であり、近々公開される予定です。ただし、正式発行される規格のベースとなるISO/IEC27017(情報技術-セキュリティ技法-ISO/IEC27002に基づく情報セキュリティ管理策をクラウドサービスにて実践するための指針) は既に発行されています。

ISO27017は、こんなお客様に役立ちます

ISO27017は、クラウドサービスを利用される組織のみならず、クラウドサービスを提供する組織に対しても、基準を指示しています。具体的には次に当てはまるお客様に有益な規格です。
  • 当社では、自社で開発したクラウドサービスをお客様に提供している
  • 当社では、他社のクラウドサービスを利用している
  • 当社では、他社で開発したクラウドサービスを利用したクラウドサービスをお客様に提供している

873_ext_05_1.png

ISO27017を採用するCLS認証制度は、こんなお客様にお勧めです

認証制度はまだ開始されていませんが、準備自体は今から始めても早すぎではありません。

  • ISMS認証取得済みであり、制度開始後すぐにアドオン認証取得をしたい
  • これからISMSの仕組みを構築する必要があるが、どうせならISMS及びCLS認証を一挙に取得したい
  • アドオン認証するとまでは言わないが、ISO27017の考え方をすでに導入しているISMSに取り込みたい

CLS認証取得の目的とメリット

クラウドサービスは、圧倒的な可用性・拡張性を持った利便性の高いサービスである反面、どこにデータが保存されているか、どのような仕組みで支えられているかがブラックボックスになりがちです。クラウドサービスを利用するユーザの立場からは、クラウドサービスを提供する会社がどこまで信用に足る情報セキュリティ管理をしているかが、なかなか見えません。

逆にクラウドサービスを提供する側の立場からは、ユーザにどうやって信用してもらうかが課題になります。加えて、クラウド環境という従来のシステム環境とはやや異なる環境において、具体的にどのような点に留意して、管理策を導入するべきか悩みどころです。こうした悩みの解決を手助けしてくれるのが、ISO27017という規格であり、CLS認証制度なのです。まとめますと下記のメリットがあります。

【クラウドサービスを提供する組織にとってのメリット】
  • クラウドサービスにアレルギーを持つ顧客信用を勝ち取ることができる
  • クラウドサービス提供者として、より適切な情報セキュリティ管理策を特定・導入することができる

【クラウドサービスを利用する組織にとってのメリット】
  • クラウドサービス利用者として、より適切な情報セキュリティ管理策を特定・導入することができる

プロジェクトステップ

ISO27017はあくまでもISO27001の詳細管理策を拡張する規格であることから、ISMS構築をこれから行う企業も、構築済みの企業も、従来のISMS構築の一般的なステップの中に簡単に取り込むことができるでしょう。
 

873_ext_05_4.png

【種類と概要】
1.ISO27001+ISO27017認証取得支援サービス
 ISO27001認証をまだ取得されていないお客様を対象としたサービスです。ISO27001に加え、ISO27017をもとに、プロジェクトを進める支援をいたします。
 
2.+ISO27017アドオン認証取得支援サービス
 ISO27001認証取得をすでにされているお客さまを対象としたサービスです。差分を特定し、差分対応方針を決定し、導入のお手伝いをするサービスです。

 
支援内容
  • ツールの提供・カスタマイズ
  • プロジェクト管理
  • 教育の提供
  • 知識・助言の提供及びレビュー
  • お客様作成案・提示案のレビュー
  • その他、電話・メール・打ち合わせの場でのお客様の悩みに対する助言
  • 審査フォロー
費用 お問合せください

当社がお客様に選ばれる理由

ISMSが分かります
・ISMS構築支援実績があります
・ISMS以外の規格(NISTフレームワーク、安全対策基準、ISO27031、ISO22301等)にも精通しています
 
ITが分かります
・弊社と関わりのあるNewton IT (UK)はITのソリューションプロバイダーです
・コンサルタントは、ITの企画・開発・構築・運用保守の経験者です
 
統合認証が分かります
・統合認証取得支援の実績があります
・自社でも3つのISOを統合運用しています
 
業務改善が分かります
・ISO-MSでお困りの企業様に対する改善支援実績があります
・ITサービス業界が分かります
・ITサービスの会社様に対する支援実績があります
 
最新情報をタイムリーに入手できます
・英語が分かるため、規格原文やクラウドコンピューティングに関連するホワイトペーパーなどをいち早く入手し、取り込むことができます
・認証制度の動向や、迅速な認証取得に向けて、必要な情報をタイムリーに入手できるネットワークを持って居ます
 
(参考)ISO27017について 【出典:JIPDEC ISMSをベースにしたクラウドセキュリティ -ISO/IEC27017の最新動向-】

873_ext_05_7.png

付属書Aクラウドサービス追加管理策

ISO/IEC27001管理策 ISO/IEC 27017における追加管理策
A6 情報セキュリティのための組織 CLD.6.3 クラウド利用者とクラウド事業者間の関係
CLD.6.3.1 クラウドコンピューティング環境における役割分担及び責任
A8 資産管理 CLD8.1.5 クラウド利用者資産の削除
A9 アクセス制御 CLD.9.5 分散仮想環境におけるクラウド利用者データのアクセス制御
CLD9.5.1 バーチャルコンピューティング環境における分離
CLD9.5.2 仮想化マシンの堅牢化
A12 運用のセキュリティ  
A12.1 運用の手順及び責任 CLD12.1.5 管理者の運用セキュリティ
A12.4 ログ取得及び監視 CLD12.4.5 クラウドサービスの監視
A13.1 ネットワークセキュリティ管理 CLD13.1.4 仮想及び物理ネットワークのセキュリティマネジメントの整合

【ISO/IEC27017 付属書Aを基にニュートン・コンサルティングが作成】

お問い合わせ

contact_banner.gif

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。