ISO 27017 - クラウドコンピューティングにおける情報セキュリティ｜DQS

クラウドサービスにおける情報セキュリティの証明

ISO/IEC 27017は、クラウドサービスを保護するための国際的に認められた規格であり、すべてのクラウドサービスプロバイダーを対象としています。そのため、クラウド特有の情報セキュリティ対策の実装をサポートします。この規格は、ISO/IEC 27002の実装勧告と連携しているため、ISO/IEC 27001に準拠したITセキュリティ管理システムにシームレスに組み込むことができます。

クラウドコンピューティングのための情報セキュリティガイダンス

クラウドに特化した情報セキュリティ対策の構築

セキュリティ側面の特定

安全なデータ伝送の証明

ISO 27017規格に関する情報

ISO 27017の要件は、特にクラウドサービスプロバイダー向けに調整されています。ISO 27001情報セキュリティ規格の各分野について、クラウドセキュリティの潜在的な仕様が概説されています。この方法論により、これらのセキュリティ要件をより迅速に特定し、自社のセキュリティ管理システムに統合することができます。

ISO 27017は、情報セキュリティマネジメントシステムの標準として知られるISO 27001をベースに、クラウドコンピューティングのセキュリティ面を追加したものです。そのため、ISO 27001の認証取得は、ISO 27017への拡張の前提条件にもなります。

現行規格は、2021年にISOによって見直され、確認されました。

ISO/IEC 27017:2015- 情報技術 - セキュリティ技術 - クラウドサービスのためのISO/IEC 27002に基づく情報セキュリティ管理に関する実施規範

内容から

1 適用範囲

2 引用規格

3 用語及び略語

4 クラウド分野特有の概念

5 情報セキュリティガイドライン

6 情報セキュリティの組織

7 人的セキュリティ

8 アセットマネジメント

9 アクセス管理

10 暗号技術

11 物理的・環境的セキュリティ

12 オペレーショナルセキュリティ

13 通信セキュリティ

14 システムの取得・開発・保守

15 サプライヤーとの関係

16 情報セキュリティインシデントへの対応

17 事業継続マネジメントにおける情報セキュリティの側面

18 コンプライアンス

附属書A クラウドサービスに関する対策の拡大セット

附属書B クラウドコンピューティングの文脈における情報セキュリティリスクへの言及

ISO/IEC 27017は、ISOのウェブサイトから入手できます。

なぜISO 27017の認証が有用なのか？

ISO 27017は、適切なセキュリティ管理プロセスを開発するために、あらゆる種類の企業とその顧客との間のコミュニケーションの重要性を強調しています。また、ISO 27017は、クラウドサービスの顧客とクラウドサービスプロバイダーとの関係を規定しています。また、ISO 27017は、クラウドサービスの顧客とクラウドサービス提供者の関係を規定しており、顧客が提供者に何を期待できるか、提供者自身が顧客に対してどのような情報を用意すべきかを詳細に説明しています。このように、ISO 27017はクラウドサービスプロバイダー自身だけでなく、クラウド全体のセキュリティに関わるものなのです。

この規格の要求事項を満たしていれば、プロバイダーと顧客は、それぞれのサービスにおいて、情報セキュリティに関するすべての重要なポイントも考慮されていると考えることができるのである。

ISO27017ガイドラインのメリットとは？

クラウドサービスのセキュリティに関する国際規格は、クラウドプロバイダーが適切なパートナーを選択するために、セキュリティの重要な側面を特定するのに役立つ。IT部門の意思決定者は、より柔軟な対応と、各ユースケースに最適なクラウドプロバイダーを選択できることを望んでいることが多い。その結果、ITサービスの提供は、チェーンからネットワークへと進化しています。商業的および技術的な関係が増大し、その結果、まったく新しいレベルの複雑さが生じています。

ISO 27017:2015は、分析グリッドと的を絞った情報交換を通じて、クラウド顧客とクラウドサービスプロバイダーの関係を標準化し、ビジネス関係をより容易に管理できるようにするものです。

ISO 27017の認証を受けることができるのは誰ですか？

情報セキュリティマネジメントシステムを認証するためには、それぞれの認証機関自体がISO/IEC 17021およびISO/IEC 27006の認定を受けていることが必要です。DQSは、Deutsche Akkreditierungsstelle GmbH（DAkkS）等から認定を受けており、ISO/IEC 27001およびISO/IEC 27017の両方に準拠した審査および認証を実施することが認められています。

ISO27017の認証はどのように進められるのか？

貴社は、ISO/IEC 27017:2015の実装において、情報セキュリティマネジメントシステムの国際規格ISO/IEC 27001に基づき認証を受けます。すべての規格要求事項が実施されると、マネジメントシステムの認証を受けることができます。DQSでは、多段階の認証プロセスを経ることになります。

最初のステップでは、貴社、貴社の現在の情報セキュリティ、ISO 27017認証取得の目標について、私たちと話し合いをしていただきます。この話し合いに基づき、貴社のニーズに合わせた個別の提案をさせていただきます。

特に大規模な認証プロジェクトでは、計画ミーティングは、審査員と知り合い、関係するすべてのエリアと拠点の個別の審査プログラムを作成するための貴重な機会です。また、事前審査は、貴社のマネジメントシステムの長所だけでなく、改善の可能性を事前に確認する機会でもあります。どちらのサービスもオプションです。

認証審査は、システム分析（審査ステージ1）から始まり、お客様の文書、目的、マネジメントアセスメントの結果、範囲の見直し、内部監査の評価などを行います。このプロセスで、貴社のマネジメントシステムが十分に構築され、認証取得の準備が整っているかどうかを判断します。

次のステップ（システム審査ステージ2）では、現場の審査員が、すべてのマネジメントプロセスの有効性と、すべての要求事項を満たしているかどうかを評価します。結果は最終会議で発表され、必要に応じて具体的な対策案が合意されます。

認証審査後、DQSの独立した認証機関によって結果が評価されます。審査結果を記録した審査報告書をお渡しします。規格要求事項をすべて満たしている場合、適合証明書が発行されます。適合証明書の有効期限は、ISO27001認証の有効期限に直接連動しています。

審査後も貴社が重要な要求事項を満たしていることを確認するため、年に一度、サーベイランス審査を実施しています。これにより、情報セキュリティマネジメントシステムとビジネスプロセスの継続的な改善を支援します。

適合証明書の有効期限は最大3年間です。再認証は、ITセキュリティカタログの該当する標準要件への継続的な準拠を保証するために、有効期限が切れる前に適宜実施されます。適合が確認されると、新たな適合証明書が発行されます。

ISO 27017の認証には、どのような費用がかかりますか。

企業によってマネジメントシステムの前提条件や個別要件が異なるため、ISO 27001に基づくISO 27017の審査および認証にかかる費用は、一律には申し上げられません。お問い合わせください。客観的な評価とお客様の要件に基づいて、カスタマイズされた提案をさせていただきます。

私たちに期待できること

マネジメントシステムおよびプロセスの認証において35年以上の経験を有しています。
業界経験豊富な審査員と専門家による強力な専門知識
貴社に対する付加価値の高い洞察
国際的に通用する認証書

関連するすべての規格に対する専門知識と認定
地域、国内、国際的なスペシャリストによる個人的で円滑なサポート
柔軟な契約条件と隠れたコストのない個別提案

見積もりを依頼する

DQS Japanからお見積りを提供いたします

ISO 27017認証取得のためのカスタマイズされたオファーを喜んで提供します。

お問い合わせはこちら

国または言語を選択してください

ISO 27017 認証