ISO27017審査を無事に終えるために
ISMSクラウドセキュリティ認証(ISO27017認証)を取得するためには、ISMS認証と同じように、審査機関による審査を受ける必要があります。もちろん、審査で見られる/聞かれる内容は、通常のISMS審査と変わりますので、実際の審査はどんなスケジュールで進むのか、何を聞かれるのかと不安に思われる方も多いと思います。
今回は、そんな方のために、ISO27017の審査に関する様々な情報をご紹介しようと思います。
ISO27017審査の基本知識
審査工数を把握しましょう
まず、多くの方が驚かれるのが、審査工数(審査時間)が意外とかかるということです。審査工数については、今回のISMSクラウドセキュリティ認証制度を運営しているJIPDECから、工数設定のためのルールが公開されています。(審査機関向けの文書ではありますが…)
そこには、CSC及びCSPとして今回のクラウドセキュリティ認証を取得するためには、通常のISMS認証の審査工数の70%をベースとして算出すると書かれています。審査工数に関する詳細は、ブログをご覧ください。
認証機関
審査機関の選定にも注意が必要です。現在、ISO27017認証の審査を行っている審査機関は国内にいくつかありますが、その中で、JIPDECが運営している「ISMSクラウドセキュリティ認証」の審査を行っている審査機関(以下、ISMSクラウドセキュリティ認証機関)は限られています。このISMSクラウドセキュリティ認証機関から認証されないと、ISMSクラウドセキュリティ認証のマークを付けることはできません。審査機関が、ISMSクラウドセキュリティ認証機関になるためには、制度を運営しているJIPDECから認定を受ける必要があります。
現在認定を受けている審査機関の一覧は、以下のページに記載されています。
ISO27017認証の審査のスケジュール
基本的にはISMSと同じスケジュールで審査が進みます。はじめにトップインタビュー、次にISMS事務局へのインタビューや文書・記録類のチェック、最後に今回の認証のスコープの現地審査、という流れです。
審査で聞かれる内容
審査で聞かれる内容は審査機関によって変わる部分ですので、一概に「~という内容が聞かれる」と断言することはできません。ただ、唯一言えることは、「クラウドセキュリティの認証」ですので、通常のISMSの審査よりも、よりクラウド色の強い内容が聞かれることになります。
トップインタビュー
例えば、トップインタビューでは、クラウドに関するリスクをどのように考えているか、そのリスクを低減するためにどのような対策をしているか、などが聞かれる可能性があります。
ISMS事務局へのインタビュー
ISMS事務局へのインタビューでは、クラウドリスクアセスメントの方法や、クラウド内部監査の方法、クラウド教育の実施状況、ISO27017の管理策の実施状況などが聞かれたり、適用宣言書の確認や記録のチェックなどが行われます。ちなみに、ISMSクラウドセキュリティ認証は、ISMS認証のアドオン認証(ISMSが土台となる認証)ですから、審査では、土台となるISMSに関する内容を聞かれる可能性もあります。
例えば、ISMSの規格であるJIS Q 27001の「4.組織の状況」に関連した、利害関係者の要求事項や、「7.支援」に関連した文書の管理方法、などが考えられますが、これらに限りません。
注意点としては、ISMS事務局インタビューではありますが、通常のISMS認証の審査よりも、より技術的な内容が聞かれる可能性があります。分からなければ、「分からないので現地で聞いて下さい」と答えても問題ないですが、場合によっては、サービスに詳しいエンジニアの方などが同席したほうが、審査がスムーズに進むかもしれません。
現地審査
現地審査では、ISO27017の管理策にフォーカスを当てた内容、例えば、利用しているクラウドサービスのアカウント管理の方法や、ログの取得状況、提供するサービスでインシデントが発生したときの手順や、利用者に提供しているセキュリティに関する機能(不正ログインの通知機能や、アクセス制御機能など)の詳細などが聞かれます。
通常のISMS審査よりも、「狭く深く」聞かれるというイメージです。
以上、ISMSクラウドセキュリティ審査についての様々な情報をご紹介しました。
総論として、審査員に聞かれたり、見られたりする対象は違えども、審査の流れや雰囲気は通常のISMS審査と変わりませんので、変に力むこと無く、ありのままを答えていけば問題ありません。
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
