ISMSクラウドセキュリティ認証とは、クラウドサービスに関する情報セキュリティを適切に管理している組織だと証明するための第三者認証のことです。
ISMSクラウドセキュリティ認証とは?
「ISMSクラウドセキュリティ認証」とは何ですか?
ISMSクラウドセキュリティ認証」とは、クラウドサービスに関する情報セキュリティを適切に管理している組織だと証明するための第三者認証のことです。
クラウドサービスを安心してユーザが利用できることを目的としています。
「ISMSクラウドセキュリティ認証」を得るには、どうしたら良いですか?
「ISMSクラウドセキュリティ認証」を得るには、前提として「ISO/IEC 27001:2013」を取得していなければなりません。
「ISO/IEC 27001:2013」を取得していることを前提にクラウドサービス固有の管理策である「ISO/IEC 27017:2015」が適切に実施されていることが必要になります。
ISO/IEC 27001とは?
「ISO/IEC 27001:2013」とは、マネジメントシステムの国際規格になります。(ISO規格の原文は英語、フランス語になります。)なお、「JIS Q 27001:2014」は、「ISO/IEC 27001:2013」を日本語訳したものになります。
「ISO/IEC 27001:2013」は、イギリスの規格である「BS7799」を参考にして作成された国際規格になります。日本では、「ISO/IEC 27001:2013」が作成される前から「BS7799」に基づいた国内独自(財団法人 日本情報処理開発協会(JIPDEC))のISMS認証制度がありました。
「ISO/IEC 27001:2013」では、114項目のセキュリティ対策が要求事項として定められています。それぞれの対策がうまくいったのかどうかを検証して改善していく仕組み、すなわちPDCAサイクルを回して継続的改善をし続けられる体制であることが求められます。
ISO/IEC 27017 とは?
クラウドサービス固有の管理策である「ISO/IEC27017:2015」とは、クラウドサービスに関する情報セキュリティ管理策を規定した国際規格になります。
「ISO/IEC27017:2015」は、実践的な手引きが書かれたガイドラインと位置づけられています。
クラウドサービス固有の管理策の例としては、下記が挙げられます。
- クラウドサービスにおける責任範囲の明確化
- クラウドサービス固有のリスクを考慮したアセスメントと管理策の実施
- ISMSの内部監査よりも厳しい水準での内部監査の実施
なお、「ISO/IEC27017:2015」は単体で取得することができません。「ISO/IEC 27001:2013」および「JIS Q 27001:2014」への適合を前提としています。
「ISO/IEC27017」をISMS適合性評価制度に取り込み認証制度化するためにJIPDECが策定したものが、「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」です。
「JIP-ISMS517-1.0」で定められた要求事項を満たすことにより、ISMSクラウドセキュリティ認証を受けることができます。
ISMSクラウドセキュリティ認証の対象とは
ISMSクラウドセキュリティ認証の対象は、クラウドサービス(SaaS、IaaS、PaaSなど)のプロバイダ(提供者)及びカスタマ(利用者)が対象となります。クラウドサービスプロバイダの中で、他社のクラウドサービスを利用してサービスを提供している組織は、プロバイダとカスタマの両方が該当します。
ISMSクラウドセキュリティ認証のメリット
ISMSクラウドセキュリティ認証を取得することで主に以下のようなメリットがあると言われています。
- クラウドサービスのセキュリティ確保
- 取引先の信頼獲得
- リスクマネジメントの向上
ISMSクラウドセキュリティ認証に関する問題(令和5年問56)
ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
ア. PaaS,SaaSが対象であり,IaaSは対象ではない。
イ. クラウドサービス固有の管理策が適切に導入,実施されていることを認証するものである。
ウ. クラウドサービスを提供している組織が対象であり,クラウドサービスを利用する組織は対象ではない。
エ. クラウドサービスで保管されている個人情報について,適切な保護措置を講じる体制を整備し,運用していることを評価して,プライバシーマークの使用を認める制度である。
出典:令和5年度 ITパスポート試験公開問題 問56
正しいと思う選択肢をクリックしてみてください!!!(解答・解説を記載しています。)
ア. PaaS,SaaSが対象であり,IaaSは対象ではない。
不正解です。
イ. クラウドサービス固有の管理策が適切に導入,実施されていることを認証するものである。
正解です。
ウ. クラウドサービスを提供している組織が対象であり,クラウドサービスを利用する組織は対象ではない。
不正解です。
エ. クラウドサービスで保管されている個人情報について,適切な保護措置を講じる体制を整備し,運用していることを評価して,プライバシーマークの使用を認める制度である。
不正解です。
コメント