ISO/IEC 27017

規格の概要

「ISO/IEC 27017」は、「ISO/IEC 27002」に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範を提供する国際規格です。

ISMSを導入済みの組織を対象に、管理策をアドオン（追加）する形で、クラウドサービスに対応したISMSにアップグレードすることが可能な規格です。

規格は、ISMS 管理策実践の規範であるISO/IEC 27002 に追記する形で、記述されています。

対象となる組織

●クラウドサービスカスタマ（顧客）である組織
●クラウドサービスプロバイダ（提供者）である組織
●クラウドサービスカスタマであり、かつクラウドサービスプロバイダでもある組織

例：他社のIaaSまたはPaaSを利用し、自社のSaaSを提供している組織
　　他社のIaaSを利用し、自社のPaaSを提供している組織

規格要求事項の構成

各規格の管理策に関する対応

JIS Q 27017附属書A	クラウドサービス個別のセキュリティ要求であり、“望ましい”という表現を“する”と読み替える。原則適用除外は無い。
JIS Q 27017箇条5～箇条18 “実施の手引”	クラウドサービスのセキュリティを確立する上で、規格中の“望ましい”という表現を“する”と読み替えるべき事項である。実施（適用）しない場合は、その理由を明確にしなければならない。
JIS Q 27017箇条5～箇条18 “関連情報”	“実施の手引”ほど強くはないが、クラウドサービスのセキュリティを確立する上で考慮すべき情報である。どのように考慮したか審査で確認する可能性がある。
JIS Q 27002箇条5～箇条18	あくまで、“規範”であり、ISMS構築及び運用において、参考とすべき情報である。なお、クラウドサービスのセキュリティを理解する上で、組織で１冊入手することが望ましい。
JIS Q 27001附属書A	ISMS認証の前提となる要求事項。適用除外がある場合、クラウドサービスの管理策を追加する上で、除外理由が適切か、再検討する必要がある。

認証取得から得られるメリット

クラウド時代では、「適切なクラウドサービスプロバイダー」を選べば、安価で安全な情報の管理が可能となりますが、現実的にはクラウドサービスプロバイダーによる情報管理のレベルは様々です。クラウドサービスプロバイダーが、クラウドセキュリティ認証を受けていれば、その業者のクラウドサービスは、国際基準を満たした所定のクラウドサービス管理が行われていることがわかります。
クラウドサービスの利用者は、この認証を受けているサービスを選定することで、安心してクラウドサービスを利用することができます。

海外ではデータセンター業者やクラウドサービス業者では、ISO/IEC 27001の取得に加え、ISO/IEC 27017、ISO/IEC 27018の取得が常識となっています。（よくある質問へ）