前回のブログで、ISO27017とは何かをご説明しました。

そこで今回は、実際にISO27017を取得するためには、何をする必要があるのかという点をご説明したいと思います。

とはいえ、取得に向けてしなければならない作業はいくつかあるのですが、今回は、最も代表的な2つの作業である「ベースライン分析」と「リスクアセスメント」をご紹介します。

ベースライン分析

27017には、迫り来るクラウドリスクに対して、適切に対処する方法（リスク管理策）が記載されています。

その数はクラウドサービスプロバイダに向けたものが40個、クラウドサービスカスタマに向けたものが39個あります。

つまり、もしISO27017をCSPの立場として取得するなら40個、CSCの立場として取得するなら39個、双方として取得するなら79個の管理策を、社内のルールにどう適用していくのかを、順番に検討していくことになります。

具体的には、CSPの場合、「サーバの管理体制はしっかりしているか」、「顧客から預かったデータの管理手順を明確に定めているか」、「顧客のデータが保管される国を明確にし、その国の法令を特定しているか」などといった内容を検討していきます。

また、CSCの場合、「クラウドサービスのユーザーアカウントを管理する手順を定めているか」、「クラウドサービス上の重要な操作（データの削除やバックアップなど）について、ミスがないように手順化しているか」、「クラウドサービスを選定するときに気をつけるべき項目は何か」などといった内容を検討していきます。

リスクアセスメント

ベースライン分析が終わった後は、実際にベースラインでは見つけることが出来なかった、隠れたクラウドリスクを発見するために、「リスクアセスメント」を実施します。各業務の担当者にお話を伺い、どういった業務をしているのか、その業務の中に、情報漏えいの危険がある隠れたリスクが存在しているか、現状どのような対策をしているのか、といった内容をヒヤリングし、クラウドリスクの観点から見て、危険な業務や作業をあぶり出していきます。

その後、リスクが隠れているかもしれない各業務や作業において、どのようなリスク対応をすればよいかを検討し、実際に実施していきます。

実際にISO27017を取得するには、上記以外にも、教育や内部監査を行う必要があります。作業の流れについては、次回詳しくご紹介します。

LRMのISO27017コンサルティングページはこちら！