AdobeStock_78935196.jpeg

ISMSがあるのに「なぜ?」
クラウドセキュリティ?

ISO/IEC 27001+ISO/IEC 27002があるのに
「なぜ?」ISO/IEC 27017が必要なのでしょうか?

インデント.pngクラウドセキュリティ解説ー目次


1.概論(序章)
2.概論(オンプレミスからクラウドへ)
3.JIS Q 27017規格の目的と意図・発行経緯)
4.クラウドコンピューティングの定義
5.クラウドセキュリティ認証要求事項
6.クラウド固有の概念(JIS Q 27017序文より)
7.箇条5〜8 と拡張管理策(CLD.6.3.1 クラウドコンピューティング環境における役割及び責任 等)
8.箇条9〜10と拡張管理策(CLD 9.5.1 仮想コンピューティング環境における分離 等)
9.箇条12〜14と拡張管理策(CLD.12.4.5 クラウドサービスの監視 等)
10.箇条15〜18と拡張管理策



インデント.pngこれまでは情報やIT資産を所有することが前提でした


ISO/IEC 27001 及び ISO/IEC 27002(管理策の実践の規範)がベースとなった ISMS はコンピュータシステムなどの IT 資産(情報処理設備・ソフトウェア)や情報を「所有(オンプレミス)」することを前提として作られた規格です。

ハードウェアやソフトウェアを「利用」するクラウドサービスの登場

Cloud_for_ISMS_27017_image.png
(図はJIPDEC認証企業数の推移グラフにトピックを追加しました)

ハードウェアやソフトウェアなどの情報資産を「利用」するクラウドサービスでは、従来の ISMS の実施規範がそのまま適用できない場合が発生しています。

クラウドサービス利用者は、クラウド利用により、これまで適用範囲内にあったシステムやデータが適用範囲外であるクラウド事業者の環境下に置かれて運用されます。従って、業務プロセスや ID などのアクセス管理方法が変更されます。

クラウドサービス提供者(事業者)は、自社が所有する資産に加え利用者のシステムやデータが集積(集約)されることにともなうリスクがあります。

<<クラウドセキュリティ教育(講師派遣)お問い合わせ・相談>>


インデント.pngクラウドセキュリティが入札要件に?

スライド23.jpgスライド24.jpg

インデント.pngクラウドサービス利用・提供におけるリスク対応


課題を解決し、リスクを低減させるために ISO/IEC 27002 管理策実践の規範を補うことを目的にしてクラウドサービス固有の実施の手引きや関連情報・拡張が必要な管理策をまとめたベストプラクティスが ISO/IEC 27017です。

クラウドサービス提供者(クラウドサービスプロバイダ)
クラウド事業者側では利用者の不安を解消し、より多くの利用者を獲得していくために、クラウドサービスの構築段階で ISO/IEC 27017 に記載された管理目的・管理策や実施の手引きを参照し、管理策を実装し、利用者に適切に情報提供を行うことが大切です。

クラウドサービス利用者(クラウドサービスカスタマ)
クラウド利用者は、サービス事業者から情報を得て、クラウド利用による多くのメリットを引き出すとともに、固有のリスクを低減させることを目的に ISMS を見直すことが大切です。

<<クラウドセキュリティ教育(講師派遣)お問い合わせ・相談>>

インデント.pngISMSと各規格との関連


ISO/IEC 27001 情報セキュリティマネジメントシステム要求事項
ISO/IEC 27014 情報セキュリティガバナンス
ISO/IEC 27017 ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
ISO/IEC 27018 PIIプロセッサーとして動作するパブリッククラウドにおける
個人識別情報(PII)の保護のための実務規範
ISO/IEC 29100:2011(JIS X 9250)「プライバシーフレームワーク」
ISO/IEC 29151 個人識別可能な情報保護の実践規範

<< 規格関連図 >>

認証取得・維持も大切ですが

最も大切なのは『技術の高度化に伴うISMS の見直し
クラウドサービスの利活用におけるリクスの洗い出し
リスクを低減させるため追加管理策を実装することです
<<クラウドセキュリティ教育(講師派遣)お問い合わせ・相談>>



members.jpeg ISMS Society 会員の皆さまへ
こちらで資料ダウンロードが可能です
http://lms.isms-society.com/moodle/course/index.php?categoryid=4

LinkIconHOME

本文書は一部ガイドラインを引用しています
2018.02.16 更新