CSマークとISO27017認証の違い

lrmcorp
LRM株式会社 記事一覧
カテゴリー: ISO27017,   タグ: , ,

クラウドセキュリティに関する認証制度の代表的なものとして、JIPDECが運営する「ISMSクラウドセキュリティ認証制度」(通称:ISO27017認証)と、JASA-クラウドセキュリティ推進協議会が運営する「クラウド情報セキュリティ監査制度」(通称:CSマーク)の2つが挙げられます。

どちらも、クラウドセキュリティに関する国際規格であるISO/IEC 27017をベースとした制度であることは共通していますが、その違いはどこにあるのでしょうか。両制度の特徴とともに、違いを探っていきましょう。

ISMSクラウドセキュリティ認証制度(ISO27017)の特徴

(1) 認証範囲が組織単位

ISMSクラウドセキュリティ認証制度の適用範囲は、組織単位です。ある特定のサービスを対象にして、認証を取得することは出来ません。すなわち「XXサービスがISMSクラウドセキュリティ認証を取得しました」という言い方は、厳密には間違っていることになります。

しかし、適用範囲は、そのXXサービスを開発・運用している組織に絞ることが出来ます。「XXサービス」を対象には出来ませんが、「XXサービスの開発・運用業務に携わる人々」を対象とすることは可能です。

(2) ISMS(JIS Q 27001)のアドオン認証

ISMSクラウドセキュリティ認証は、ISMS認証(JIS Q 27001)を取得していないと、認証を受けることが出来ません。

これは、ISMSクラウドセキュリティ認証制度の目的が、「ISO/IEC 27017に書かれている管理策の実施」ではなく、「ISO/IEC 27017に書かれている管理策を取り入れた情報セキュリティマネジメントシステム(ISMS)の構築」にあるからです。

(3) 79の管理策を検討する

実際の、認証機関(審査機関)による外部審査では、先ほど述べたように、管理策の実施を細かくチェックされるわけではなく、組織が、ISO/IEC 27017に記載されている79個の管理策を適切に利用して、ISMSのフレームワークの中で、適切なリスク対応が実施されているかどうかがチェックされる事になります。

組織は、自身が提供/利用しているクラウドサービスのリスクに関する対策(管理策)を、79個の選択肢から選択し、実施することになります。

クラウド情報セキュリティ監査(CSマーク)の特徴

(1) 認証範囲がサービス単位

クラウド情報セキュリティ監査の対象は、特定のサービスとなります。監査認定を取得した時に公開する言明書には、対象となるサービス名を明記することが必要となります。

(2) 内部監査が適切に実施されていることに関する認証

ISO/IEC 27017や、JIS Q 27001(ISMS規格)には、内部監査を実施するための明確な手順が定められているわけではありません。そのため、内部監査の有効性や技量は、各組織によってバラバラとなってしまいます。

その内部監査の実施項目やプロセスを明確に定めているのが、このクラウド情報セキュリティ監査制度になります。定められた監査手順・標準や、定められた様式に従って、適切な内部監査を実施したサービスに対して、認定されることになります。

(3) 1000を超えるチェック項目がある

認定サービスに付与されるマークには、CSシルバーマークと、CSゴールドマークが存在していますが、ゴールドマークを取得するための監査項目は、1000以上存在します。

それらの各項目に対して、適切に実施されているかどうかをチェックします。監査にかかる時間は、Excelシートなどを利用して人力でやる場合は約半年、ツールを利用すれば、1ヶ月程度と言われています。

全体的なイメージとしては、ISMSクラウドセキュリティ認証制度は、ISMSの性質を引き継いでいることもあり、自由度の高い認証制度となっており、クラウド情報セキュリティ監査制度は、クラウドサービスの内部監査の透明性を確保するために監査基準を設けた、厳密な認証制度となっています。

LRMではISO27017の認証取得支援コンサルティングをおこなっています。「ISO27017についてもっと詳しく知りたい!」「認証取得までにどれくらい費用がかかるの?」などなど、お気軽にお問合せ下さい。

参考Webページ

ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する文書の公表について(JIPDEC)
クラウドはセキュリティ強化の切り札 監査制度で「安全」と「信頼」がさらに向上する – ITpro Special
JASA – クラウドセキュリティ推進協議会

CSマークとISO27017認証の違い

カテゴリー: ISO27017

クラウドセキュリティに関する認証制度の代表的なものとして、JIPDECが運営する「ISMSクラウドセキュリティ認証制度」(通称:ISO27017認証)と、JASA-クラウドセキュリティ推進協議会が運営する「クラウド情報セキュリティ監査制度」(通称:CSマーク)の2つが挙げられます。

どちらも、クラウドセキュリティに関する国際規格であるISO/IEC 27017をベースとした制度であることは共通していますが、その違いはどこにあるのでしょうか。両制度の特徴とともに、違いを探っていきましょう。

ISMSクラウドセキュリティ認証制度(ISO27017)の特徴

(1) 認証範囲が組織単位

ISMSクラウドセキュリティ認証制度の適用範囲は、組織単位です。ある特定のサービスを対象にして、認証を取得することは出来ません。すなわち「XXサービスがISMSクラウドセキュリティ認証を取得しました」という言い方は、厳密には間違っていることになります。

しかし、適用範囲は、そのXXサービスを開発・運用している組織に絞ることが出来ます。「XXサービス」を対象には出来ませんが、「XXサービスの開発・運用業務に携わる人々」を対象とすることは可能です。

(2) ISMS(JIS Q 27001)のアドオン認証

ISMSクラウドセキュリティ認証は、ISMS認証(JIS Q 27001)を取得していないと、認証を受けることが出来ません。

これは、ISMSクラウドセキュリティ認証制度の目的が、「ISO/IEC 27017に書かれている管理策の実施」ではなく、「ISO/IEC 27017に書かれている管理策を取り入れた情報セキュリティマネジメントシステム(ISMS)の構築」にあるからです。

(3) 79の管理策を検討する

実際の、認証機関(審査機関)による外部審査では、先ほど述べたように、管理策の実施を細かくチェックされるわけではなく、組織が、ISO/IEC 27017に記載されている79個の管理策を適切に利用して、ISMSのフレームワークの中で、適切なリスク対応が実施されているかどうかがチェックされる事になります。

組織は、自身が提供/利用しているクラウドサービスのリスクに関する対策(管理策)を、79個の選択肢から選択し、実施することになります。

クラウド情報セキュリティ監査(CSマーク)の特徴

(1) 認証範囲がサービス単位

クラウド情報セキュリティ監査の対象は、特定のサービスとなります。監査認定を取得した時に公開する言明書には、対象となるサービス名を明記することが必要となります。

(2) 内部監査が適切に実施されていることに関する認証

ISO/IEC 27017や、JIS Q 27001(ISMS規格)には、内部監査を実施するための明確な手順が定められているわけではありません。そのため、内部監査の有効性や技量は、各組織によってバラバラとなってしまいます。

その内部監査の実施項目やプロセスを明確に定めているのが、このクラウド情報セキュリティ監査制度になります。定められた監査手順・標準や、定められた様式に従って、適切な内部監査を実施したサービスに対して、認定されることになります。

(3) 1000を超えるチェック項目がある

認定サービスに付与されるマークには、CSシルバーマークと、CSゴールドマークが存在していますが、ゴールドマークを取得するための監査項目は、1000以上存在します。

それらの各項目に対して、適切に実施されているかどうかをチェックします。監査にかかる時間は、Excelシートなどを利用して人力でやる場合は約半年、ツールを利用すれば、1ヶ月程度と言われています。

全体的なイメージとしては、ISMSクラウドセキュリティ認証制度は、ISMSの性質を引き継いでいることもあり、自由度の高い認証制度となっており、クラウド情報セキュリティ監査制度は、クラウドサービスの内部監査の透明性を確保するために監査基準を設けた、厳密な認証制度となっています。

LRMではISO27017の認証取得支援コンサルティングをおこなっています。「ISO27017についてもっと詳しく知りたい!」「認証取得までにどれくらい費用がかかるの?」などなど、お気軽にお問合せ下さい。

参考Webページ

ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する文書の公表について(JIPDEC)
クラウドはセキュリティ強化の切り札 監査制度で「安全」と「信頼」がさらに向上する – ITpro Special
JASA – クラウドセキュリティ推進協議会

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする