ISO27017認証取得支援｜ISO9001,ISO14001認証取得
・他ISO取得・
　スリープロサポート株式会社

ISOコンサルタント：トップ ＞ ISO27017(クラウドセキュリティ)認証取得支援 ＞ ISO27017(クラウドセキュリティ)認証取得フロー

ISO27017(クラウドセキュリティ）認証取得フロー

　組織は対象とする「クラウドサービス」（カスタマ・プロバイダ）を決定すると、それを適用範囲として、まずはISO27017を認証取得するにあたり中心となって活動するプロジェクトチーム（事務局）を発足します。プロジェクトチームの結成の目的は、クラウドサービスにおける効果的なISMSを構築し、効率よくISO27017を認証するためです。ゆえに、プロジェクトチームは「適用範囲」の社員から人選する必要があり、可能であれば各サービスごとに代表者を選出します。プロジェクトチームの人選が終わると、全体を統括する「プロジェクトリーダー」（クラウドサービスISMS管理責任者）を決定します。

　まずコンサルティングに入る前に貴社の現状のISMSの状況（認証の有無にかかわらず。ISO27017はアドオン認証です。）、クラウドサービスの内容、及びセキュリティ状況をチェックします。この結果を基に当社コンサルタントがISO27017までの認証活動スケジュールを組み立てます。次に、社員のISMSクラウドセキュリティに関する意識を高めるために社内報、全体会議、朝礼でもかまいませんのでキックオフ宣言を行います。

　既存のISMSの状況が確認できると、プロジェクトチームやトップマネジメントのヒアリングを行い、「どのようなルール」を構築し「どのようなコンサルティング」を望むかを決定してもらいます。次に「ISO 27017」についての簡単な説明、取り組み方法を指導し、組織体系等、基本構想を策定していきます。それをもとに「事業の特徴」、「組織」、「所在地」、「技術」の観点から情報セキュリティ基本方針(クラウドサービス）を策定します。

　方針が固まるとプロジェクトリームを中心に、組織のクラウドサービスの「情報資産（サービス含む）」を洗い出します。洗い出された「情報資産」をもとに「情報資産管理台帳」を作成し、詳細項目を記載していきます。

　情報資産をリストアップしたら、適用範囲の中の情報資産およびそれらの所有者、情報資産に対する脅威、脆弱性、情報資産に与える影響を考慮しリスクを識別します。リスクを識別や評価をする場合、提供するサービスや情報資産にどのような脅威が起こりえて、それに対しどのような脆弱性が考えられるのか、企業がどのような影響を受ける可能性があるのかを明確にするのに役立ちます。この作業を確実に行うことによって、リスクアセスメントを適切に効率的に行うことができるようになります。次に情報資産価値、脅威、脆弱性からリスク値を算出します。5段階評価など、誰が見ても分かるように、リスクレベルを定数化することをお勧めします。また、脅威が発生した場合、組織に与える悪影響の度合いで評価する場合もあります。企業が保護すべき情報資産について、情報の機密性、完全性、可用性をバランスよく維持し、改善していくことが重要なポイントとなります。

　これまでの活動で、対策が必要と考えられるリスクが多数浮き彫りになってきます。それに対応する為、それらの情報資産やサービスに対し、ISMSの管理策にクラウドセキュリティ上の対応策を検討・決定します。 ISO27017の場合は追加で79個、ISO27018の場合は追加で39個の観点からリスクを評価します。具体的な課題が見えてきたら、事業継続上、優先順位の高いリスクから対策を実施していくように計画を立てます。対策内容は可能な限り具体的に作成していきます。計画の進捗・対応・結果などを管理・予想し、確実に社内で導入していくことが重要です。

　JIP-ISMS517（ISO27017）に適合したISMSマニュアル・手順書などを当社がオーダーメイドで作成します。文書を作成する際には、必要最低限の文書量に抑えることが、成功の最大のポイントです。また同時に、各種記録のフォーム作成支援も行います。

　これより実務展開がスタートします。導入したISMSクラウドセキュリティについて「安全対策上問題は無いか」「無理無く運用できているか」などをチェックしていきます。また同時並行して社員教育を実施し、クラウドセキュリティリスクに対する社員の意識向上を図ります。

　ISO27017要求事項では、構築したISMS（情報セキュリティマネジメントシステム）を自社で検証するように要求されています。これを内部監査（第一者監査）といいます。内部監査は文字通り、内部の者が監査員となって監査を行います。故に、まずは貴社社員から監査員を選出する必要があります。内部監査員の選出は、各部署から最低１人以上が望ましく、監査員は認証取得後に定期的な監査を行う義務があります。内部監査員養成セミナーにおいては、監査要領や監査のノウハウなどを指導し、内部監査員を養成します。

　当社による内部監査員養成セミナーで内部監査員を育成後、実際の内部監査を行います。内部監査では、構築した仕組みは全社員の間で守られているのか？期待された効果をもたらしているのか？継続的改善がなされているのか？などのチェックを行います。監査終了後、内部監査報告書に基づきマネジメントレビューが行われると、次に審査に向けた活動に移行します。 　

　審査登録機関によってISO27017の審査が行われます。 ファーストステージ（1次）審査では、システムの構築状況を文書で確認するとともに、内部監査及びマネジメンとレビューの 実施状況を確認し、セカンドステージ審査の実施の可否を判断します。 ファーストステージ審査の１ヶ月以上後に、運用･実施状況も含め、システムがISO27017規格の全ての要求次項を満たしているかどうか審査します。 ご要望があれば当社コンサルタントが審査時に立会いも可能です。　

　本審査の結果、審査登録機関から「不適合」が貴社に対して報告される場合があります。その場合、当社コンサルタントが完璧な是正を行います。不適合事項に対しての是正が完了すれば、後は登録証待ちとなります。

　ISO27017/ISMS認証取得のコンサルティングは是非当社にお任せください。ISO27017/ISMS審査資格保有の実績豊富な専任講師が組織のISO27017/ISMS認証取得までの作業工数を極限まで削減すると同時に、効果的で有効性を重視したISMSを構築し、責任を持って「ISO27017/ISMSクラウドセキュリティの認証」をサポートします。

◇　ISO27017/ISMSクラウドセキュリティー認証取得コンサルティング実績はこちら

◇　ISO27017/ISMSクラウドセキュリティー導入無料セミナー ⇒ 申し込みはこちら

◇　ISO270017/ISMSクラウドセキュリティー認証取得コンサルティング見積依頼 ⇒ 申し込みはこちら