ISO/IEC27017（ISMSクラウドセキュリティ認証）

ISO27017は、一般的に“クラウドセキュリティ”などと呼ばれています。ISO27001は、どの業種・業態にも適用可能な情報セキュリティに関するマネジメントシステムですが、ISO27017は、クラウドサービスを前提にした管理策を実装するための規格であり、クラウドサービスを活用したカスタマ、プロバイダを対象とした管理策です。

認証取得する際は、IS027001の管理策にISO27017の管理策を付加し、クラウドサービスを含む情報セキュリティマネジメントシステムとして登録されます。マネジメントシステムの導入によって、方針、目標を設定し、PDCAサイクル（Plan-Do-Check-Act）を貴社の業務プロセスに組み込み、計画・立案⇒実施・運用⇒確認・評価⇒改善という継続的な改善サイクルを構築、運用することで、目標の達成を目指すことができます。

このPDCAサイクルをもとにクラウドサービスを含めた情報セキュリティを実現することを目的としています。

ISMSへのクラウドセキュリティの追加

• お問い合わせ
• 無料お見積り

ISMS(ISO/JIS Q 27001)認証に加えて、クラウドサービス向けの国際規格としてISO/IEC 27017が規定、この規格に基づき、ISMS-AC(情報マネジメントシステム認定センター)からクラウドセキュリティ認証が制定されました。クラウドサービスを安心して利用できることを目的としています。

クラウド情報セキュリティリスクアセスメント

経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン改訂2013年度版」（2014.03.14）の「附属書A（参考）クラウドサービス利用にかかわるリスク」の図5で示された、クラウドサービス利用にかかわるリスク

クラウドセキュリティを導入すると、どのようなメリットが考えられるでしょうか。規格では次のメリットを得ることを期待しています。

a)信頼される第三者（認証機関）からJIS Q 27017（ISO/IEC 27017）の規格に基づいてクラウドセキュリティを構築・運用していることを外部に表明できる。

b)継続的な認証審査により、情報セキュリティの強化と維持を図ることができ、マネジメントシステムが形骸化しない。

c)認証が調達条件である引き合いに入札できる。

※ISMSクラウドセキュリティ認証制度を通じて、クラウドセキュリティの信頼性の向上につながる。

JISQ27017(ISO/IEC27017)「ISMSクラウドセキュリティ認証に関する要求事項」は下記の通り。

ISMSはこちら

日本能率協会（JMA）ISO研修事業部　ISOWEBへ