ISO27017とは？取得期間・費用・方法を解説

ソフトウェア、アプリケーションなどがネットワーク経由で提供されるようになり、クラウドは世界中でなくてはならない存在となりました。
この記事では、クラウドサービスに関する情報セキュリティの規格であるISO 27017の内容から取得にかかる期間・費用・方法を解説いたします。

ISO27017とは？

ISO27017は、国際標準化機構（International Organization for Standndardization)の規格のひとつです。

国際標準化機構では、国際間の取引をスムーズにするために、さまざまなモノゴトに関する国際的な基準を策定しています。具体的には、製品やサービスを対象とした規格、環境 や品質 といったマネジメントシステム を対象とした規格があります。
その中で、ISO27017はどのような役割を果たしているかを詳しく解説していきます。

ISO27017とは

ISO27017とは、クラウドサービスを提供・利用する場合に適用されるセキュリティに関する規格です。
また、ISO27001 のアドオン（拡張）認証のため、単独で取得することはできません。ISO27017を取得するためには、以下の2つの方法から選ぶ必要があります。

1.ISO27001を先に取得する
2.ISO27001と同時に取得する

ISO27001は、一般的な情報セキュリティマネジメントシステムの構築・運用するための規格であるため、どちらも取得することは、自社で管理できる情報セキュリティの幅を広げることにつながります。

ISO27017の必要性

ISO27017取得の必要性が生じたのは、クラウドサービスの普及によってISO27001ではカバーできない情報セキュリティリスクが出てきたことにあります。
クラウドサービスへ参入・利用する企業が増える一方で、情報セキュリティマネジメントシステムの規格であるISO27001の範囲では、クラウドサービスに対応するには十分ではありません。不正アクセス・情報漏洩などのリスクから情報資産を保護するためには専用の仕組みが必要だったのです。

そこで、ISO27001のアドオン認証としてISO27017が制定されました。クラウドサービスの普及とサイバー犯罪の複雑化などの理由から、情報セキュリティの重要性は高まっています。
ISO27017の必要性については下記の記事で詳しく解説していますので、是非参考にしてください。

ISO27017を取得するメリット

ISO27017を取得するメリットは、大きく自社の内部におけるメリットと対外的なメリットの2つに分けられます。
自社の内部におけるメリットとして、まず自社のクラウドサービスにおける情報セキュリティを強化できることが挙げられます。ISO27017の要求事項に則った管理体制を構築・運用することで継続的な強化が見込めます。
次に、ISO27017を運用するにあたって、権限の明確化や教育の実施により従業員の情報セキュリティに対するモラルの育成につながります。
また、災害などの危機の際におけるマニュアルや手順の策定により事業継続性を高められます。

対外的なメリットは、クラウドサービスにおける情報セキュリティマネジメントシステムが構築・運用されているという証明になるため、対外的な信頼を得ることができます。
また、入札や取引要件としてISO27017の取得が必要な場合があるため、売上にも貢献するでしょう。

ISO27017を取得することにより、自社の管理体制を高められる結果、対外的な信頼につながるのです。
以下の記事でクラウドサービスを取り扱う企業における取得数や取得すべき理由について紹介していますので、ぜひチェックしてください。

ISO27017を取得するために

次に、ISO27017を取得するための注意点、方法、費用について解説します。ただし、本記事ではISO27001を取得済みで、ISO27017を追加取得するケースのみを取り扱います。
ISO27001の取得については以下の記事で解説していますので、まだISO27001を取得されていない企業の方は合わせてご覧ください。

取得のための注意点

ISO27017はISO27001のアドオン認証であるため、取得範囲に注意が必要です。
ISO27017の取得範囲はISO27001の取得範囲の一部か同じである必要があります。取得の際には、まずISO27001の取得範囲を確認してください。
また、ISO27017の審査を受けるときには、同時にISO27001の審査も行われます。ISO27001の審査対応が必要なことも頭にとどめておきましょう。

取得にかかる期間

ISO27017の取得にかかる期間は、多くの場合、6～8ヶ月以上かかることを想定して取り組みましょう。
ISO27001をすでに取得している場合でも、既存のマネジメントシステムとクラウドセキュリティにおけるマネジメントシステムを適合させる必要があることや審査のタイミングをISO27001と合わせるためです。

取得にかかる費用

取得にかかる費用として、必須となるのは審査費用です。企業規模や審査機関などによって金額が異なるため、問い合わせを行ったり、見積りを依頼したりして比較しましょう。
また、自社に適した形でのISO27017の構築・運用や確実な取得を目指す場合には、コンサルタント会社への依頼も有効です。コンサルティングを依頼するかお悩みの場合には、以下の記事も参考にしてください。

取得する方法

ISO27017の取得方法は、構築・運用・審査の3つのステップに分けられます。取得までのステップを順番に解説しますので、実施する際の参考にしてください。

STEP1：ISO27017を構築する

構築段階では、まず現状を正しく把握する必要があります。そのため、リスクアセスメント を行ってリスクを特定して分析します。すでにISO27001を取得している場合には、クラウドサービスにも対応するために、リスクアセスメントの結果の見直しなどを行い、ISO27017の管理体制を構築しましょう。
リスク対応 と運用における目標設定も構築段階では必要です。要求事項に則り、必要に応じて文書化も行ってください。

STEP2：ISO27017を運用する

運用段階では、ルールやマニュアルを浸透させるために、従業員の教育を行います。また、内部監査 をして運用状況をチェックし、問題がある場合は是正処置 などを行う必要があります。
次にマネジメントレビューを行うことで、運用の成果や問題点を見直して、継続的な改善を図ります。

STEP3：ISO27017の審査を受ける

最後のステップとして、審査を受けましょう。取得に必要な審査は、文書による一次審査と実施状況を現場でチェックする二次審査があります。
一次審査ではマニュアルなどが要求事項を満たしているかのチェックが行われ、二次審査では、現場の作業員や責任者への質問などが行われます。
二度の審査を通過できれば、認証の取得が完了です。

ISO27017の要求事項

次に、ISO27017の要求事項について紹介します。
取得のために満たさなければならない要求事項は下記の3つです。

• クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定
• ISO/IEC27017の規格に沿ったクラウド情報セキュリティ対策の実施
• 内部監査

基本的に、ISO27001をもとにしたISMSの構築と運用が求められています。詳しい内容に関しては下記の記事で解説していますので、ぜひ、参考にしてください。

ISO27017の取得企業とは

ISO27017の取得が求められる企業について解説します。取得企業数は、クラウドサービスの発展や普及とともに増加傾向にあります。
業種では、事業としてクラウド（「SaaS」「PaaS」「IaaS」）を扱っている会社です。自社にとって必要か検討しましょう。
ISOの27001の取得企業については下記の記事で紹介していますので、ぜひご覧ください。

ISO27017はISO27001ファミリーのひとつ

ISO27017はISO27001ファミリーのひとつであり、クラウドセキュリティの強化を図る国際規格です。単独で取得できる認証ではないため、ISO27001と合わせて取得する必要があります。
事業内容によっては、今後ますます必要性が求められる規格でしょう。取得によって、信頼性の向上・リスクの低減・管理体制の整備・事業継続性の向上などさまざまなメリットがあるため、追加認証を目指す企業も増えています。
競合他社との差別化を行うためにも、取得をぜひ検討しましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。