ISO27000シリーズについて
ISO27000ファミリーは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。
ISO27001
ISO27001は組織のISMSを認証するための要求事項が示されています。
組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることが可能です。
ISMSの認証を得ることを「ISO27001を取得する」と表現するのは、ISO27001が規格の要求事項であるためです。
ISMSについて
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、組織における情報資産のセキュリティを管理するための枠組み。
情報セキュリティマネジメントとは、ISMSを策定し、実施すること。ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることにある。
情報セキュリティマネジメントシステム - Wikipedia
ISO27002
ISO27002は、ISO27001にて示されている要求事項をもとにより具体的な情報セキュリティマネジメントの管理策を示した規格です。
ISO27017
ISO27017は、クラウドサービスの利用者や提供者を対象として具体的なISMSの管理策を示した規格です。
ISO/IEC27001、27002、27017の関係
上記の関係図にもありますが、ISO27017はISO27001をベースに、クラウドサービス特有の要素を加えた管理策となります。
そのため、ISO27017はそれ単体で取得することはできず、ISO27001の取得が前提条件となります。
ISO27002とISO27017の管理策の体系
ISO27017:2016 | ISO27002:2014 |
序文 1 適用範囲 2 引用規格 3 定義及び略語 4 クラウド分野固有の概念 5 情報セキュリティのための方針群 6 情報セキュリティのための組織 7 人的資源のセキュリティ 8 資産の管理 9 アクセス制御 10 暗号 11 物理的及び環境的セキュリティ 12 運用のセキュリティ 13 通信のセキュリティ 14 システムの取得,開発及び保守 15 供給者関係 16 情報セキュリティインシデント管理 17 事業継続マネジメントにおける情報セキュリティの側面 18 順守 |
序文 1 適用範囲 2 引用規格 3 定義及び定義 4 規格の構成 5 情報セキュリティのための方針群 6 情報セキュリティのための組織 7 人的資源のセキュリティ 8 資産の管理 9 アクセス制御 10 暗号 11 物理的及び環境的セキュリティ 12 運用のセキュリティ 13 通信のセキュリティ 14 システムの取得,開発及び保守 15 供給者関係 16 情報セキュリティインシデント管理 17 事業継続マネジメントにおける情報セキュリティの側面 18 順守 |
参考 | 参考 |
上記の内容とも関連しますが、ISO27001がベースにあるため、ISO27002とISO27017の管理策を比較すると、基本的には同様の管理策であることがわかります。
余談:認証と保証
クラウドサービスに関する第3者認証は上記のISO27017のほかにSOCがあります。
認証と保証の違いについて調べてみました。
認証
認証は、ISMSであれば、セキュリティマネジメントシステム要求事項(ISO27001)に合致しているかどうかを第三者が審査し登録する仕組みをさします。
保証
「保証」の前提として「監査」とは
「監査」とは、ある目的のために組織体の行為を、独立の立場にある第三者が検証・評価することで、その真実性や妥当性などを確認し、その結果を関係者に報告すること。これにより、なんらかの説明責任を果たし、一定の信頼を付与する機能や行為。
http://lab.iisec.ac.jp/~harada_lab/lab/2013/20130930.pdf
「監査」における「保証」とは
合理的保証(reasonable assurance)
「保証型監査の監査人が情報セキュリティ監査基準に従って監査を実施した結果、言明と、監査人が把握した事実との間に相違がないことについて、相当程度の心証を得たとの専門家としての判断を結論として述べること」
保証型監査における保証業務の定義
「監査対象の経営者が発した言明に対し、監査人が合理的な方法と証拠に基づき、
監査の対象となる組織体の情報セキュリティに関するマネジメントとコントロールが監査手続きを実施した限りにおいて、適切である旨(または不適切である旨)の意見を述べること」
保証型監査における保証程度の度合い
保証型監査においては、「合理的保証」のみが存在しうると考える。ここでいう合理的とは、経済的合理性、技術的合理性、社会的合理性などを意味する。
なので、保証という言葉の意味するところは、監査対象のサービスやシステムにおいてインシデントが絶対に発生しない、という保証ではなくて、一定の基準に従って監査を行った結果、問題ないということの保証になります。
「保証」は、「認証」と比較として、より高い水準の検査に適合していると考えることができます。
ISO27017とSOCの比較
ISO27017 | SOC | |
基準の位置づけ | 国際的な標準規格 | AICPAが定めたTrustサービスの原則基準 |
難易度 | 比較的容易 | 高度 |
成果物と公開範囲 | 認証の登録 認証登録はWebサイト等で不特定多数に公開可能 | 報告書 SOC2の場合はサービスの利用者に公開が限定される |
訴求効果 | 情報セキュリティに対し、一定レベルでのマネジメントが確立していることを証明する。 | セキュリティに関して、より高い水準での評価があることを訴求できる。 |