ISO27017認証取得のための取り組みを開始することは決まったが、そこから何をどう準備しなければいけないのか、迷っている担当者の方も多いのではないでしょうか。
今回は、そんな担当者の方に、ISO27017認証取得への取り組みを始めるその前に、準備しておくべきこと3つをご紹介します。
とはいえ、ISO27017を取得する企業にも色々な業種・形態はあるかと思いますので、今回は特にクラウドサービスを提供している会社がISO27017認証を取得することを前提としてご説明します。
(1) 社内の対象部署のモチベーションの確認
ISO27017はクラウドセキュリティのレベルを高めるための認証ですので、取得するには提供しているサービスに関する設定や機能の変更、業務フローの見直しなど、様々なセキュリティレベル向上のための施策を実施する必要があります。
場合によっては、従業員教育や、定期的なログの確認など、「面倒だ」と思われる取り組みを実施する必要が生じるかもしれません(必ずしもすべての会社が実施する必要があるわけではありません)。
そのような取り組みを確実に実施するために、指揮体制づくりや、取り組みへのモチベーションを高めておく必要があります。ISMS認証と同じく、審査時には現地審査もありますので、現場のセキュリティに対する取り組みのレベルが低いと、場合によっては審査で指摘される可能性もあります。
(2) 規格の購入
コンサルティングサービスなどを導入せず、自社で取り組みを進める場合は、当たり前ですが「ISO27017規格」を購入する必要があります。
英語版で問題なければ、ISOのWebページから、日本語訳が付いた「日本語対訳版」が欲しければ、日本規格協会のWebページから、それぞれ購入することができます。
実際の取組みは、このISO27017規格を利用してリスクアセスメントを進めていくことになりますから、自社で取得する場合は、規格無しには取り組みを始めることができません。
(3) セミナーなどで情報収集をする
まだまだ世間には、ISO27017およびその認証制度に関する情報が少ないため、認証を取得するためには何をどこまですれば良いのか、規格をどのように解釈すれば良いのかといった情報を手に入れることは簡単ではありません。
そのため、審査会社や、コンサルティング会社などが主催しているセミナーに参加し、情報を得てから、取り組みを始めるほうが無難です。
規格の意図を誤って解釈して、無駄なセキュリティ対策を実施してしまう前に、確実な情報を手に入れるようにしましょう。
なお、ISO27017認証の取得によって、新たな設備投資が発生するケースは稀だと思います。
基本的にはルール作りや、社外へのサービスに関する情報公開がメインになってきますので、社内のマニュアル整備や、サービス利用規約の見直し、WebページやQ&Aページの改修に時間を割けば、多くの場合は、それ以外の追加費用は発生しないと思われます。
LRMがご提供するISO27017認証取得コンサルティングについてはこちら!