ISMSイメージ.jpg

ISO/IEC27001(ISMS)とISO/IEC27017の関係

ISO/IEC 27017 は ISO/IEC 27002に基づくクラウドセキュリティ実践の規範です。
ISO/IEC 27002 の「実施の手引き」に加え「クラウドサービスにおける実施の手引き」
が提供され、27002になかった管理策については拡張管理策として提供されています。
では、ISO/IEC 27001(ISMS)に対してはどのように考えれば良いのでしょうか?

既存のISMSに対して、ISO/IEC27017をどのように組み込めばいいののか?その実装方法と考え方をご紹介します。

2016/11/29 08-32-56.png

なぜISMSがあるのにクラウドセキュリティ規格が必要なのか?で、ご紹介させていただきましたが、各組織では JIS Q 27001 附属書A(実施規範となる JIS Q 27002 )に記載された管理目的と管理策・実施の手引きや関連情報を参照し、管理策を定義し文書化しています。そして適用宣言が作成されています。
 
「所有」から「利用」で見直しが必要となるコト

クラウドサービス利用によって何が変わるのでしょうか?
クラウドサービス上にどのような情報が保存され処理されますか?

クラウドサービス利用によってアクセス管理などのプロセス(手順)や管理規定などを変更する必要はありませんか?

特にオンプレミス(所有していたシステムや情報)な情報資産をクラウドに移行した場合や、新たにクラウドサービスを利用する時は注意が必要です。
ISMSで言うと重大な変化に相当しますので、規定に従ってリスクアセスメントを実施して管理策の実装が必要です。


JIPDECが発行する「JIP-ISMS517」が認証要求事項です 

ISO/IEC27017は認証のための要求事項ではありません。
よって、ISO27017認証というのも誤りです。

日本国内においては、JIP-ISMS517認証となります。

詳しくは、JIPDECホームページをご覧ください・
https://www.isms.jipdec.or.jp/isms.html

ISO/IEC 27017:2015 に基づく ISMS クラウドセキュリティ認証について 
https://www.isms.jipdec.or.jp/isms-cls/about-cls.pdf

次回は「クラウドサービス提供におけるリスク」「クラウドサービス利用におけるリスク」「ISO/IEC 27017をどのように利用するのか?」 「ISO/IEC 27017の構成」について考えます。
                         
本文書は一部ガイドライン・JIP-ISMS517-1・JIS Q 27017を引用しています。

ISMS-CLS 講師:中西孝治