Case Study
ISMSクラウドセキュリティ認証を支援
ISO/IEC 27017に基づくクラウドセキュリティ認証
ISMSへの実装技術提供
2016年にJIS Q 27017が発行され、クラウドセキュリティ審査員研修コース講師を担当していますが、政府がISMAPを発行しクラウドサービス固有のリスクへの対応とともにクラウドセキュリティ認証のニーズが高まっています。私たちは、ISMSへの拡張として本体となるISMSのスリム化とリスクマネジメント定着をコアにクラウドセキュリティ認証取得を支援しています。改正発行されたISO/IEC 27018への対応も可能です。
クラウドセキュリティ基礎研修(講師派遣)
正しく理解することが大切です
◉クラウド固有のリスクについて
◉プロバイダとカスタマについて
◉ISMS-CLS認証要求事項とは
◉JIS Q 27017の取扱い方法
◉クラウドセキュリティ実装方法
本教材はISMS審査員のための継続的専門能力開発(CPD5時間)コースとして開発しましたが、クラウドセキュリティ認証取得を検討中の組織より研修の依頼が増加しておりオープンコースとしても開催しています。クラウドセキュリティ審査員研修コース受講の事前学習としても有効です。
クラウドセキュリティが必要な理由
クラウド利用のための情報セキュリティマネジメントガイドライン(経産省)
◉事業の基礎を成す情報セキュリティを間接的にしかコントロールすることができない。
◉外部組織の何らかの関与が最低条件として必要
◉クラウド利用は、情報を取り扱うプロセス、システム・ネットワークという情報資産を自組織の外部に置くことを意味する。
◉利用者はクラウド事業者に依存せずに情報セキュリティのマネジメントを実行することができない。
ISMSクラウドセキュリティ認証の構造
ISO/IEC 27017に基づくクラウドセキュリティ認証
要求事項:JIP-ISMS517-1.0への適用を支援します
ISO/IEC 27017の発行で、ISMS クラウドセキュリティ認証制度が開始されました。この制度は、ISMSに加え「クラウドサービスの情報セキュリティ」を認証するものです。クラウドサービスでは、カスタマとプロパイダが情報セキュリティの役割と責任を分担することになり、本制度によって、クラウドサービス固有のリスク対応を両が連携して取り組むことが望まれています。また、両者が、すでにISMS認証を取得している場合であっても、本制度に基づくクラウドサービス固有のセキュリティ対策を確保することが重要となります。
JIP-ISMS517はこちら
ISO/IEC 27017 附属書A 拡張管理策
クラウド固有のリスクへの対応
クラウドサービスプロバイダとカスタマの両者に拡張
ISMSの適用範囲に対して行ったリスクアセスメントを、クラウドサービスの適用範囲に対して実施します。ISO/IEC 27017:2015付属書Aのクラウドサービス固有の管理策と実施の手引及びISO/IEC 27017:2015本文のクラウドサービス固有の実施の手引に関連するリスクについてアセスメントを行います。 ISMSクラウドセキュリティにおけるリスク対応では、クラウドサービス固有のリスクに対する対応を決定することが求められています。
適用宣言書の作成を支援します
リスクアセスメント・リスク対応での考慮事項
◉ISO/IEC 27001の管理策を参照した、リスクアセスメント・リスク対応
◉クラウドサービスのリスクアセスメントを実施する。
リスク対応にあたっては、リスク分析の結果に基づいて、ISO/IEC 27017に記載されている実施の手引きを参照し、クラウドサービス固有のリスクに対する管理策として、必要な事項を選択し、実施することが必要となる。
◉適用宣言書におけるISO/IEC 27017適用の記載
実施の手引についての実施の可否についても確認できるように、適用宣言書に、実施の手引についても含めることが望ましいとされています。
クラウドセキュリティ認証における標準的なプロセス
準備状況により最短期間3ヶ月での推進が可能で、一般的には6ヶ月で計画的に推進しています。
以下のプロセスは標準プランです。クラウドサービスプロバイダ(CSP)として上位のクラウドサービス(IaaS/PaaS)を利用して(CSC)サービスを提供しているか否か、提供するサービス数、拠点数などにより計画及び運用期間(時間)が変動します。臨時監査(現状調査分析/ギャップ分析)の結果、適合していること(既にできていること)適合していないこと(規格要求を満たせていないこと)を明確にして推進計画を策定します。
| 新規認証取得までの標準的プロセス6段階 | 内 容 | 標準工数 | ||
| 1 | 導入段階 | 事前相談(推進計画β版作成) | 適用範囲や目的の確認 |
2時間 |
| LMS導入研修 | LMS利活用についの研修 | 2時間 | ||
| 事前調査及び方針・目標の決定 | 事前チェックシートによる確認 | 実作業 | ||
| 臨時監査(現状調査) | フィット&ギャップ分析 | 1.5日〜 | ||
| ISMS関連の既存文書規定の整理 | 既存規定をLMSと整合 |
実作業 | ||
| クラウドセキュリティ基礎研修 | 基礎研修教材(見本参照) | 5時間 | ||
| 2 |
情意投合段階 |
ISMS推進システムマニュアル(クラウド拡張) | 既存マニュアルの拡張 | 実作業→レビュー 8時間 |
| ISMS推進マニュアル附属規定の拡張 | 既存文書の拡張 | 実作業→レビュー 8時間 | ||
| 3 |
計画・運用段階 |
クラウド固有のリスクアセスメントの実施 | リスクアセスメント実践 | CSP 3回 / CSC 3回 |
| リスク対応(管理策)の決定 | リスク分析 | 実作業→レビュー 2回 | ||
| リスク対応計画の策定(管理策実装計画) | 対応計画書 | 実作業→レビュー 2回 | ||
| リスク対策として必要な諸規定の策定 | 計画に基づく諸規定の整備 | CSP 3回 / CSC 3回 | ||
| 適用宣言書策定 | 附属書Aとの比較及び宣言 | 実作業→レビュー 2回 | ||
| 4 | 導入・運用段階 | 全従業員への方針・規定の周知 | 新規・改正規定の周知 | ー |
| 諸規定の運用及び監視・レビューの実施 | 運用状況の点検 | 実作業 | ||
| 5 | 評価段階 | 定期監査の実施 | 計画・実施・報告・是正 | 1.5日〜 |
| マネジメントレビューの実施 | トップマネジメントへ報告 | 1時間 | ||
| 6 | 統合審査 | ISMS審査時にISMS-CLS審査の受審 | 審査対応 | 認証機関指定の工数 |
| フォローアップ | 審査結果に対するフォローアップ | 報告内容の精査と対処法 | 2時間 | |
| 認証決定 | 次回審査に向けた運用計画の決定 | 次期運用計画と方法の決定 | 2時間 | |
府省庁対策基準策定のためのガイドライン
クラウドセキュリティがわかる
クラウドセキュリティ研修
1.企業内(講師派遣)型開催
2.通学・リモート研修型開催
企業内開催事例
❶クラウドセキュリティ導入を検討しているが、JIS Q 27017規格を
どのように扱えばわからないため担当者向けに研修を実施
❷オンプレミスで提供していたシステムをクラウドサービス化する
お客様からもセキュリティ対策の要望があり、設計開発時点から
考慮すべきことやサービス提供におけるリスク対策について事前
に学習したいというリクエストにより基礎研修を開催
❸既に多くのクラウドサービスを提供しており、内部監査員の力量
を高める必要があることから、監査員を対象にクラウド固有の
リスクと管理策について研修を開催
企業内開催についてのお問い合わせはこちら
Price
支援料金表
| 事前相談 | 1.5時間2回まで 無料(全国リモート対応) |
|---|---|
| 入会金・会費 | Cloud for LMS登録・年間利用料を含む MSQA法人会員入会金:30,000円 MSQA法人会員年会費:36,000円(Cloud foe LMS専用コース利用料) ※管理者アカウント3名及び50名までのユーザーアカウントを含みます |
| 臨時監査・定期監査 | 監査チーム派遣(MSQA会員価格) 1人日 120,000円〜 臨時監査:クラウドサービスのリスクと管理策実装状況を監査します JIS Q 27017規格へのフィット&ギャップ分析を実施し、必要な対策 是正改善のためのレポート作成 |
| 教育研修 | 講師派遣・リモートによる教育研修(MSQA会員価格/受講者数20名以内) ①リスクマネジメント定着を目的とした研修 1回3時間:60,000円〜 ②全従業員を対象とした意識向上・基礎研修 1回2時間:30,000円〜 ③クラウドセキュリティ入門研修 1回3時間:60,000円〜 ④クラウドセキュリティ基礎研修(CPD対応) 1回5時間:200,000円〜 ④研修は標準教材費用が含まれます ①〜③研修は受講者数分の教材費が別途加算されます |
| 訪問/リモートコンサルティング | 経験豊富な有資格者による支援 (MSQA会員価格)1回 1時間:15,000円〜 初回認証審査オブザーブ[任意](審査日数×80,000円〜) |
| 標準様式やサンプル提供 | Cloud for LMS専用コース内に実装して提供します MSQA法人会員年会費に含まれます |
| ISMS-CLS認証スタンダードプラン | 適用範囲内で提供しているサービスや利用しているサービスの種別や数によって変動しますのでお問い合わせください |
| 上記価格には別途消費税が加算されます |
