AdobeStock_78935196.jpeg

ISO/IEC27017 をどのように扱えばよいのか?

その実装方法はJIP-ISMSにあります
ISMSに加える3つの観点
①適用範囲について
②リスクアセスメントとリスク対応
③内部監査の方法

なぜISMSがあるのにクラウドセキュリティ規格が必要なのか?で、ご紹介させていただきましたが、各組織では JIS Q 27001 附属書A(実施規範となる JIS Q 27002 )に記載された管理目的と管理策・実施の手引きや関連情報を参照し、もれがないように管理策を定義し文書化(適用宣言書)が作成されています。

『所有(オンプレミス)』から『クラウドサービス利用』で
見直しが必要となるコトを考えて見ましょう
クラウドサービスを提供する事業者とてしてのリスクを考えてみましょう

・クラウドサービス利用によって何が変わるのでしょうか?
・クラウドサービス上にどのような情報が保存され処理されますか?
・クラウドサービス利用によりアクセス管理などのプロセスや規定類変更の必要はありませんか?


特にオンプレミス(所有していたシステムや情報)な情報資産をクラウドに移行した場合や、新たにクラウドサービスを利用する時は注意が必要です。オンプレミスからクラウドへの移行は、「重大な変化」と考え、規定に従ってリスクアセスメントを実施することが必要です。さらにリスク対応と管理策の見直しより適用宣言書を改版することになります。

クラウドサービス利用におけるリスクは、サービス提供者としても見逃すわけにはいきません
サービス提供者(事業者)ならではのリスクもあります

ISMS認証を取得している事業者はISMSマニュアル(マネジメント方法)についての見直しが必要です
マネジメントシステムを見直すための観点が、JIPDECの発行する「JIP-ISMS517」です


クラウドセキュリティ認証要求事項はJIPDECが発行する
「JIP-ISMS517」です

ISO/IEC27017は認証のための要求事項ではありませんのでISO/IEC 27017認証という言い方には違和感があります。日本国内においては、「JIP-ISMS517認証」もしくは「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証」と呼ぶのが正しいようです。

LinkIcon詳しくは、JIPDECホームページをご覧ください
LinkIconISO/IEC 27017:2015 に基づく ISMS クラウドセキュリティ認証

私たちクラウドセキュリティ審査員登録証にもこのように記載されています

JIP-ISMS517_image.png

JIP-ISMS517とISMS(ISO/IEC 27017)の関係

27017全体.png


次回は
クラウドセキュリティガイドブック 1章より「クラウドセキュリティ規格発行経緯と社会背景」
について考えます。

認証取得・維持も大切ですが
最も大切なのは『技術の高度化に伴うISMS の見直し
クラウドサービスの利活用におけるリクスの洗い出し
リスクを低減させるため追加管理策を実装することです

LinkIconHOME

本文書は一部ガイドライン・JIP-ISMS517-1・JIS Q 27017を引用しています。

名称未設定.png

2017.03.04 更新