本日読了。
ISO27017はクラウドサービス提供や利用のためのガイドライン。ISMSの管理策の実践のための規範であるISO27002をベースとして、クラウドサービス固有の追加の実践の手引きや追加の管理策が示されている。主要な管理策は規格書本文に要求事項として組み込まれている。また、必須ではない附随書として、クラウドサービス拡張管理策も提示している。ISO27001のアドオンとして認証する。
もともと、日本の経済産業省が2011年に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を発行し、それをもとにISOに規格提案を行なったもの。
構築ステップ
- 規格要求事項をもとにGAP分析・ITU-T X.1601などによるクラウド固有のリスクアセスメント
- 手順の文書化(全ての管理策が文書化必須というわけではなく、文書の形式も細かく要求しておらず、従業員が利用しやすい形で実践することが求められる)
- 導入教育
- 内部監査とマネジメントレビューの実施
認証は、ISO27001の維持審査や更新審査とあわせて行う場合が多い。
ISO27018は、クラウドにおける個人情報保護のベストプラクティスとして、PIIプロセッサとしての個人情報保護管理策を提示している。ISO27001のアドオンとして認証する。
