ISO27017とISO27018はどちらを取得するべきか?
ISO27001 のアドオン規格 であるISO 27017とISO27018は、どちらも「クラウド」と呼ばれるIT技術に関する認証規格です。ーーでは、これらの規格が分かれている理由とは何でしょうか?あるいは、これらの規格にはどのような違いがあるのでしょうか?
目次
ISO27017とISO27018とは?
クラウドサービスが世界的に広まったことで、クラウドサービスにおける情報セキュリティの強化が求められるようになりました。そうした背景を受けて発行されたISO27017とISO27018は、クラウドサービスの情報セキュリティに特化した認証規格です。
ISO27017が、クラウドサービス全般の情報セキュリティに関する規格である一方、ISO27018は、クラウドサービスにおける個人情報の情報セキュリティに関する規格となっています。
対象がクラウドサービスに特化しているため、情報セキュリティマネジメントシステムの認証規格であるISO27001を補完するアドオン規格と呼ばれています。ISO27017とISO27018を取得したい組織は、まずISO27001を事前に取得するか、同時に取得することが必要です。
ISO27017とISO27018の違いについて
ISO27017とISO27018はクラウドサービスに特化した認証規格ではありますが、以下のような違いがあります。
・規格が対象としている企業
・規格が要求する管理策
・保護対象となる情報の種類
大きく分けるとこの3つがISO27017とISO27018の違いとなります。それぞれどういうことなのか、以下でチェックしていきましょう。
対象となる企業の違い
ISO27017は、クラウドセキュリティ全体の運用・利用に関するセキュリティに関する管理策の要求を行うマネジメントシステム認証規格であるのに対して、ISO27018はクラウドサービス上での個人情報を保護することに特化した規格です。
このため、主にISO27017はクラウドサービスの利用者、運営者の両方を対象とした規格であるのに対して、ISO27018はクラウドサービス運営者を対象とした要求を行っているのです。
規格が要求する管理策
上述の通り、ISO27018はクラウドサービス上の個人情報をいかに保護するのかということに特化したマネジメントシステム認証であるため、規格が要求する管理策は39程度となっています。
一方でISO27017は倍近い79という管理策を要求しており、ISO27017のほうが「実施すべき管理策が多い」といえます。
保護対象となる情報の種類
個人情報保護に特化しているのか、あるいはクラウドサービスの利用方針全体を想定しているのかという違いがあります。これは、ISO27001とプライバシーマークの認証の違いにも似ているかもしれません。
どちらの認証を取得するのが良い?
クラウドサービスの提供にあたって「個人情報を保護したい」のか、クラウドサービスの利用もしく提供にあたって「全体的にセキュリティ水準を高めたい」のかによって取得する認証を決定すると良いでしょう。
ISO27018に関しては、否応なしに適用範囲が全社となるPマークを取得している企業にとっては、理想的なマネジメントシステム規格となるかもしれません。やることが細かに決まっているPマークに対して、柔軟性があるのがISOの特徴のためです。
ISO27017もISO27018もISO27001を前提としている
さて、最後になりますが、一点だけ注意事項があります。これらの認証規格はISO27017やISO27018を単独で取得できるものではありません。どういうことかというと、これらの認証規格はISO27001を前提としているのです。つまり、ISO27001によって構築されたISMSの上で初めて機能する認証規格ということになります。このため、ISO27017やISO27018の認証を取得しようと考えた場合には、ISO27001の認証を取得する必要がありますので、注意しておきましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい