ISO/IEC27017(CLS)認証取得支援サービス
ISO/IEC27017:2015は、クラウドセキュリティを実践するためのガイドラインです。対になる認証規格として「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517-1.0」があります。
これは情報セキュリティマネジメントシステム(ISMS)の認証基準であるISO/IEC27001のいわば拡張規格にあたります。このようなISO/IEC27017を採用するCLS認証は、ISMS認証取得している、または、することを大前提とした組織のみを対象にしているため、ISMSのアドオン認証とも呼ばれます。
ISO27017は、このようなお客様に役立ちます
- 当社では、自社で開発したクラウドサービスをお客様に提供している
- 当社では、他社のクラウドサービスを利用している
- 当社では、他社で開発したクラウドサービスを利用したクラウドサービスをお客様に提供している
ISO27017を採用するCLS認証制度は、このようなお客様におすすめします
- ISMS認証取得済みであり、制度開始後すぐにアドオン認証取得をしたい
- これからISMSの仕組みを構築する必要があるが、どうせならISMS及びCLS認証を一挙に取得したい
- アドオン認証するとまでは言わないが、ISO27017の考え方をすでに導入しているISMSに取り込みたい
CLS認証取得の目的とメリット
クラウドサービスは、圧倒的な可用性・拡張性を持った利便性の高いサービスである反面、どこにデータが保存されているか、どのような仕組みで支えられているかがブラックボックスになりがちです。クラウドサービスを利用するユーザの立場からは、クラウドサービスを提供する会社がどこまで信用に足る情報セキュリティ管理をしているかが、なかなか見えません。
逆にクラウドサービスを提供する側の立場からは、ユーザにどうやって信用してもらうかが課題になります。加えて、クラウド環境という従来のシステム環境とはやや異なる環境において、具体的にどのような点に留意して、管理策を導入するべきか悩みどころです。こうした悩みの解決を手助けしてくれるのが、ISO27017という規格であり、CLS認証制度なのです。まとめますと下記のメリットがあります。
【クラウドサービスを提供する組織にとってのメリット】- クラウドサービスにアレルギーを持つ顧客信用を勝ち取ることができる
- クラウドサービス提供者として、より適切な情報セキュリティ管理策を特定・導入することができる
【クラウドサービスを利用する組織にとってのメリット】
- クラウドサービス利用者として、より適切な情報セキュリティ管理策を特定・導入することができる
プロジェクトステップ
ISO27017はあくまでもISO27001の詳細管理策を拡張する規格であることから、ISMS構築をこれから行う企業も、構築済みの企業も、従来のISMS構築の一般的なステップの中に簡単に取り込むことができるでしょう。
※黄色で色付けしている箇所が、ISO27001のステップに加え、ISO27017要素が加わる箇所です。
1.ISO27001+ISO27017認証取得支援サービス
ISO27001認証をまだ取得されていないお客様を対象としたサービスです。ISO27001に加え、ISO27017をもとに、プロジェクトを進める支援をいたします。
2.+ISO27017アドオン認証取得支援サービス
ISO27001認証取得をすでにされているお客さまを対象としたサービスです。差分を特定し、差分対応方針を決定し、導入のお手伝いをするサービスです。
| 支援内容 |
|
|---|---|
| 費用 | お問合せください |
当社がお客様に選ばれる理由
・ISMS構築支援実績があります
・ISMS以外の規格(NISTフレームワーク、安全対策基準、ISO27031、ISO22301等)にも精通しています
ITが分かります
・弊社と関わりのあるNewton IT (UK)はITのソリューションプロバイダーです
・コンサルタントは、ITの企画・開発・構築・運用保守の経験者です
統合認証が分かります
・統合認証取得支援の実績があります
・自社でも3つのISOを統合運用しています
業務改善が分かります
・ISO-MSでお困りの企業様に対する改善支援実績があります
・ITサービス業界が分かります
・ITサービスの会社様に対する支援実績があります
最新情報をタイムリーに入手できます
・英語が分かるため、規格原文やクラウドコンピューティングに関連するホワイトペーパーなどをいち早く入手し、取り込むことができます
・認証制度の動向や、迅速な認証取得に向けて、必要な情報をタイムリーに入手できるネットワークを持って居ます
付属書Aクラウドサービス追加管理策
| ISO/IEC27001管理策 | ISO/IEC 27017における追加管理策 |
|---|---|
| A6 情報セキュリティのための組織 | CLD.6.3 クラウド利用者とクラウド事業者間の関係 |
| CLD.6.3.1 クラウドコンピューティング環境における役割分担及び責任 | |
| A8 資産管理 | CLD8.1.5 クラウド利用者資産の削除 |
| A9 アクセス制御 | CLD.9.5 分散仮想環境におけるクラウド利用者データのアクセス制御 |
| CLD9.5.1 バーチャルコンピューティング環境における分離 | |
| CLD9.5.2 仮想化マシンの堅牢化 | |
| A12 運用のセキュリティ | |
| A12.1 運用の手順及び責任 | CLD12.1.5 管理者の運用セキュリティ |
| A12.4 ログ取得及び監視 | CLD12.4.5 クラウドサービスの監視 |
| A13.1 ネットワークセキュリティ管理 | CLD13.1.4 仮想及び物理ネットワークのセキュリティマネジメントの整合 |
【ISO/IEC27017 付属書Aを基にニュートン・コンサルティングが作成】
お客様事例
-
品質と情報セキュリティのレベル向上を図り 社会的信頼を高めていきたい
