前回までの記事で、「ISO27017とは何か」といった基本的な情報を色々とご説明しました。そこで今回は、ISO27017取得を取得するにいたるまでの流れについてご説明します。

ISO27017はアドオン認証

ISO27017は、ISO27001の「アドオン認証」です。

すなわち、ISO27001の認証に対して、ISO27017の認証を「つけ加える」というイメージです。

つまり、ISO27017認証を取得するためには、ISO27001認証を「取得している」必要があります。ちなみに、この「アドオン認証」の例としては、ISO27017以外にも、クラウド上の個人情報保護に着目したISO27018という認証もあります。

実際は、ISO27001のアドオン認証とはいっても、ISO27001と「同時に取得」することも可能です。

よって、ISO27017を取得する方法としては、大きく分けて、「ISO27001とISO27017を同時に取得する」方法と、「ISO27001認証を既に取得しており、ISO27017だけを新たに取得する」方法の2つがあります。

ISO27001とISO27017を同時に取得する場合

実はこの場合は、一般的なISO27001の取得の流れとほとんど変わりません。

まず、ISO27001を新規に取得する場合は、「リスクアセスメント」や「従業員教育」などといった作業をおこなう必要がありますが、もし、それと合わせてISO27017を取得する場合は、これらの一部の作業において、作業量が少しだけ増えるというイメージです。

例えば、教育を例にお話します。ISO27001のみを新規取得する場合、従業員に対して、「情報セキュリティの基礎知識」や、「情報セキュリティ事故を起こさないための心構え」などといった教育を、Eラーニングやセミナー形式で実施します。

もしISO27017を合わせて新規取得する場合は、この教育のコンテンツの中身に「クラウドサービスの仕組み」や「クラウドリスクに対応するための心構え」などといった内容を含めることになります。

ISO27001に加えて、さらにISO27017を取得するとなると、作業量が2倍になるイメージがあるかもしれませんが、冒頭でもお話したとおり、ISO27017は「アドオン認証」なので、新しい作業工程が増えるわけではなく、各工程の作業量が少しだけ増加するというイメージです。

よって、ISO27001新規取得の作業手順に則って、自然にISO27017を取得することができます。

ISO27001認証を取得しており、ISO27017だけを新規取得する場合

すでにISO27001を取得している場合は、新たにISO27017の審査を受けることで、認証を取得することができます。

この審査は、ISO27001の継続（サーベイランス）審査や、再認証審査と合わせて受けるケースが一般的です。その際、ISO27001の認証を継続するための作業の流れとは、少し別の手順を行う必要があります。

具体的には、ISO27017の新規取得のために、「ベースライン分析」や、新たに策定するルールを記した「文書作成」などの作業工程が、別途発生します。

もし、新規にISO27017を取得する場合は、そのときのISO27001の継続審査・再認証審査前は、少しだけ作業量が増えることになります。

なお、ISO27001の継続・再認証審査のタイミングでなくても、ISO27017の新規取得審査を受けることは可能です。しかしその場合は、かなり多くの作業の手間が発生してしまうため、あまり推奨はしておりません。

※ここに記した作業工程は、一般的なものであり、各社のマネジメントシステムの仕組みや状況によっては変化する可能性があります。

LRMのISO27017コンサルティングページはこちら！