ISO27017規格には何が書かれているのか

lrmcorp
LRM株式会社 記事一覧
Posted in ISO27017,   Tagged ,

ISO27017が話題にはなっているが、規格の中身には何が書かれているのか、ISMSの規格であるISO27001とは何が違うのか、といった点について、まだはっきり理解されていない方も多いのではないでしょうか。

そんな方のために、今回は、ISO27017の規格に「書かれていること」2つと、逆に、書かれているようで意外と「書かれていないこと」を1つ、紹介します。

その前に、ISO27017は、本文、附属書A、附属書Bの大きく3つのブロックに分かれていることを、初めにご説明しておきます。また、ブログの最後に、ISO27001,ISO27002,ISO27017の関係性を表した図を掲載していますので、随時参考にしながら読み進めると良いかもしれません。

(1) 書かれていることその1:ISO27001/ISO27002における管理策の拡張管理策

ISO27001の附属書Aには、ISMSのリスクアセスメントにおいて、検討すべき管理策(リスク対策の項目)が114個掲載されていました。

そして、ISO27002には、各114個の管理策の、実施のための具体例(以下、実施の手引)が記載されている、というところまでは、ご存じの方は多いかと思います。

実は、ISO27017の本文部分には、このISO27002の実施の手引を拡張する形で、クラウド提供/利用のために必要な新たな実施の手引が記載されているのです。

具体例を見てみましょう。

例えば、ISO27001の附属書Aには、「A.12.3.1情報のバックアップ」と呼ばれる管理策が記載されています。

しかし、これだけではよく分からないので、実際にはISO27002を参考にしながらリスクアセスメントを行います。

ISO27002のA.12.3.1の部分には、「バックアップの範囲や頻度を決定しましょう」や、「バックアップデータは、離れた場所に保管しましょう」といった内容が記載されています。

しかし、残念ながら、ISO27002に記載されている実施内容だけでは、クラウドサービスを適正に利用/提供することは難しいです。

そこで登場するのが、ISO27017です。

ISO27017のA.12.3.1には、さらに、「自社サービスのバックアップの範囲や頻度を、利用者に情報提供しましょう」であるとか「利用しているクラウドサービスのバックアップに関する情報を確認しましょう」などといった、クラウドサービスを安全に利用/提供するために、必要な実施の手引が記載されています。

これは、ISO27002に記載されている実施の手引を拡張したもの、と考えることができます。

(2) 書かれていることその2:ISO27001/ISO27002に書かれていない新しい管理策

先程は、「既存の管理策の実施の手引の拡張」というお話しをしましたが、ISO27017には、もう一つ重要な事が書かれています。それが「新たな管理策の追加」です。

ISO27001には、管理策が114個掲載されていますが、ISO27017の附属書Aには、その114個とは異なる、新たな管理策が7個追加されています。

もちろん、7個の管理策と合わせて、その管理策の実施の手引も記載されています。

具体的な例を1つ上げると、ISO27017には「CLD.8.1.5クラウドサービスカスタマの資産の除去」という管理策が、新しく追加されています。

この管理策は、ISO27001やISO27002には書かれていなかったものです。

ちなみに、実施の手引には、「クラウドサービスの提供者は、利用者がサービスの利用を終了した時に、利用者のデータが完全に削除されるのか、それとも残り続けるのかについて、利用者に情報提供をしましょう」であるとか、「クラウドサービスの利用者は、クラウドサービスの利用をやめた時に、自社のデータがどうなるのかを、確認しておきましょう」などといった内容が書かれています。

(3) 書かれていないこと:記載されている管理策をどのように利用するのか

さて、今まではISO27017に「書かれていること」を説明しましたが、「意外と書かれていないこと」についても、ご説明いたします。

それが「ISO27017に書かれている管理策と実施の手引を、どのように利用するか」ということです。

この規格の意地が悪いところなのですが、管理策と実施の手引のみが記載されており、それをどう利用するかについては、具体的に記載されていないのです。

では、私たちがISO27017を活用するにはどうすればよいかというと、ISO27001、すなわち、一般のISMSの枠組みに基づいて、ISO27017の管理策および実施の手引を参考に、リスクアセスメントを行う、という方法が考えられます。

ちなみにこれは少し余談になりますが、ISO27001にも、具体的なリスクアセスメントの手順が事細かに書かれているわけではありませんので、具体的な手順は、ISO27017の附属書Bに書かれている参考文献を参照したり、独自でアセスメントの方法を検討したりする必要があります。

ISO27017認証は、ISO27001/ISMS認証のアドオン認証である、すなわち、ISMSを取得していないと、ISO27017は取得できないというのは、そういった規格の構造が理由なのです。

iso27017image

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

ISO27017規格には何が書かれているのか

Posted in ISO27017

ISO27017が話題にはなっているが、規格の中身には何が書かれているのか、ISMSの規格であるISO27001とは何が違うのか、といった点について、まだはっきり理解されていない方も多いのではないでしょうか。

そんな方のために、今回は、ISO27017の規格に「書かれていること」2つと、逆に、書かれているようで意外と「書かれていないこと」を1つ、紹介します。

その前に、ISO27017は、本文、附属書A、附属書Bの大きく3つのブロックに分かれていることを、初めにご説明しておきます。また、ブログの最後に、ISO27001,ISO27002,ISO27017の関係性を表した図を掲載していますので、随時参考にしながら読み進めると良いかもしれません。

(1) 書かれていることその1:ISO27001/ISO27002における管理策の拡張管理策

ISO27001の附属書Aには、ISMSのリスクアセスメントにおいて、検討すべき管理策(リスク対策の項目)が114個掲載されていました。

そして、ISO27002には、各114個の管理策の、実施のための具体例(以下、実施の手引)が記載されている、というところまでは、ご存じの方は多いかと思います。

実は、ISO27017の本文部分には、このISO27002の実施の手引を拡張する形で、クラウド提供/利用のために必要な新たな実施の手引が記載されているのです。

具体例を見てみましょう。

例えば、ISO27001の附属書Aには、「A.12.3.1情報のバックアップ」と呼ばれる管理策が記載されています。

しかし、これだけではよく分からないので、実際にはISO27002を参考にしながらリスクアセスメントを行います。

ISO27002のA.12.3.1の部分には、「バックアップの範囲や頻度を決定しましょう」や、「バックアップデータは、離れた場所に保管しましょう」といった内容が記載されています。

しかし、残念ながら、ISO27002に記載されている実施内容だけでは、クラウドサービスを適正に利用/提供することは難しいです。

そこで登場するのが、ISO27017です。

ISO27017のA.12.3.1には、さらに、「自社サービスのバックアップの範囲や頻度を、利用者に情報提供しましょう」であるとか「利用しているクラウドサービスのバックアップに関する情報を確認しましょう」などといった、クラウドサービスを安全に利用/提供するために、必要な実施の手引が記載されています。

これは、ISO27002に記載されている実施の手引を拡張したもの、と考えることができます。

(2) 書かれていることその2:ISO27001/ISO27002に書かれていない新しい管理策

先程は、「既存の管理策の実施の手引の拡張」というお話しをしましたが、ISO27017には、もう一つ重要な事が書かれています。それが「新たな管理策の追加」です。

ISO27001には、管理策が114個掲載されていますが、ISO27017の附属書Aには、その114個とは異なる、新たな管理策が7個追加されています。

もちろん、7個の管理策と合わせて、その管理策の実施の手引も記載されています。

具体的な例を1つ上げると、ISO27017には「CLD.8.1.5クラウドサービスカスタマの資産の除去」という管理策が、新しく追加されています。

この管理策は、ISO27001やISO27002には書かれていなかったものです。

ちなみに、実施の手引には、「クラウドサービスの提供者は、利用者がサービスの利用を終了した時に、利用者のデータが完全に削除されるのか、それとも残り続けるのかについて、利用者に情報提供をしましょう」であるとか、「クラウドサービスの利用者は、クラウドサービスの利用をやめた時に、自社のデータがどうなるのかを、確認しておきましょう」などといった内容が書かれています。

(3) 書かれていないこと:記載されている管理策をどのように利用するのか

さて、今まではISO27017に「書かれていること」を説明しましたが、「意外と書かれていないこと」についても、ご説明いたします。

それが「ISO27017に書かれている管理策と実施の手引を、どのように利用するか」ということです。

この規格の意地が悪いところなのですが、管理策と実施の手引のみが記載されており、それをどう利用するかについては、具体的に記載されていないのです。

では、私たちがISO27017を活用するにはどうすればよいかというと、ISO27001、すなわち、一般のISMSの枠組みに基づいて、ISO27017の管理策および実施の手引を参考に、リスクアセスメントを行う、という方法が考えられます。

ちなみにこれは少し余談になりますが、ISO27001にも、具体的なリスクアセスメントの手順が事細かに書かれているわけではありませんので、具体的な手順は、ISO27017の附属書Bに書かれている参考文献を参照したり、独自でアセスメントの方法を検討したりする必要があります。

ISO27017認証は、ISO27001/ISMS認証のアドオン認証である、すなわち、ISMSを取得していないと、ISO27017は取得できないというのは、そういった規格の構造が理由なのです。

iso27017image

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする