基本支援プラン 月額49,000円〜 × 最短6ヶ月〜標準12ヶ月
クラウドセキュリティ認証支援方針
シンプルかつスマートにクラウドセキュリティ対策を実装
審査員研修コース講師が教育研修コースの品質を保証します
リスク特定のために事象ベースのアプローチ法を採用します
ISMS附属書A改正に対応してISO/IEC 27017を実装します
| スリム | 最小限の文書・記録で運用管理負担を軽減します |
|---|---|
| スマート | クラウドサービスのセキュリティ品質を向上させます |
| 人づくり | マネジメントシステムを支える人材育成を重視します |
3つのフェーズに分割して認証決定まで支援します
フェーズ1
❶現状調査
まず初めに、想定しているISMS-CLS認証取得の範囲(CSC:利用しているクラウドサービス及びCSP:提供しているクラウドサービス)を対象に、JIP-ISMS517-1.0『ISO/IEC 27017に基づくISMSクラウドセキュリティ認証要求事項とISO/IEC 27017 管理策(クラウドセキュリティ対策)に対して、現時点での適用状況を調査します。フィット&ギャップ分析によって不足している仕組みや対策を洗い出し、効率的で効果的な構築並びに運用の計画を作成することにより業務に密着したスリムなマネジメントシステム構築を目指します。さらに、調査結果を定量的に評価することにより、現状を見える化します。
調査(Check-Act)から始め、効率的な推進を実現
現状調査は臨時の内部監査です
現状調査の基準
1.JIP-ISMS517『クラウドセキュリティ認証要求事項』
2.JIS Q 27017:2016 『JIS Q 27002 に基づくクラウドサービス のための情報セキュリティ管理策の 実践の規範』
ISMS認証がベースとなりますので、ISMSの運用状況やISMS適用宣言書についても確認させていただきます。
調査(監査)の外部委託についてはこちらをご覧ください
現状調査(臨時監査) 標準24時間〜[利用・提供しているサービス数 + 1] × 主任審査員派遣単価
❷クラウドセキュリティ管理基準
ISMS推進マニュアルを補完するクラウドセキュリティ管理基準を提供します。
クラウドセキュリティ管理基準はJIP-ISMS517(クラウド認証要求事項)に準拠した運用を目的としています。
クラウドセキュリティ認証のための導入プロセス
(1)適用範囲を決定します(利用・提供しているサービスの特定)
(2)クラウドサービスの管理体制と役割及び実務管理責任者などを明確にします
(3)サービス担当者によるキックオフミーティングを開催し導入研修を準備します
クラウドセキュリティ管理基準は導入研修教材としても使用します
今後開催される担当者によるミーティングを専門部会若しくは情報セキュリティ委員会と呼びます。(基本プランではこの会議による支援を対象とします)
クラウドセキュリティ管理技術
JIS Q 27017に基づくクラウドセキュリティ認証ガイド
『ISMS推進マニュアル』及び『クラウドセキュリティ管理基準』を補完することを目的に発行。規格解説のみならず、クラウドサービスにおける用語定義や技術・クラウド固有のリスクについての解説やクラウドセキュリティ実装方法の具体例や認証制度(ISMS-CLS認証制度)等について解説しています。
本誌は、ISMS-CLS審査員研修や監査員研修の教材としても使用しています。企業内での導入研修教材や管理者・担当者の教育教材として支援企業に提供しています。
❸ISMS-CLS導入研修
クラウドサービス実務管理者や担当者を対象にISMS-CLS(クラウドセキュリティ)導入のために必要な基礎知識を習得することを目的としています。特に、クラウド固有のリスクやクラウドセキュリティの目的や推進方法について正しく理解し認識することを目的としています。
1.クラウドセキュリティとは
2.クラウド固有のリスク
3.ISO/IEC 27017の構造(ISMSとの関係)
4.クラウドセキュリティ認証制度
本研修コースは、定期研修コースとしても開催が可能です。リモートでのオープンコースとしても定期的に開催しています。詳しくは、人材育成支援をご覧ください。
フェーズ2
❹基本支援プラン
毎月定期的に開催する委員会にアドバイザーを派遣
基本契約では毎月2時間の支援を実施します。通常は委員会(情報セキュリティ委員会・専門部会・技術委員会)を計画し、規格解説や実装方法のアドバイス・実装事例の紹介や質疑応答などを実施するとともに、進捗確認も主なミッションです。
開催方法や訪問のみならずリモートでも開催可能です。6ヶ月で認証を目指す場合は、毎月4時間の支援体制を提案しています。
クラウドセキュリティ認証支援基本プラン:月額 49,000円(税別)
・月2時間の委員会に講師・コンサルタント・アドバイザー派遣 40,000円
・一般社団法人マネジメントシステム一般会員(法人)会費 3,000円
・LMS専用コース利用料(文書・様式の取得やリモートレビュー 3,000円
・SMARTリスクマネジメントシステム利用料 3,000円
❺CLSリスクマネジメント実践
リスクマネジメント実践(ワークショップ)は実務として実施します
リスクベースでクラウドセキュリティ対策を考えることが重要です。「そもそもISMSは,リスクマネジメントプロセスを適用することによって,情報の機密性,完全性及び可用性を維 持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。(ISO/IEC 27001:2022 序文)」とされおり、リスクベースのクラウドセキュリティ対策が重要で、リスクマネジメント実践研修を重視しています。
JIP-ISMS517(ISO/IEC 27017に基づくISMSクラウドセキュリティ要求事項)
4.2.1 組織は、次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならない。
ISMSの適用範囲内におけるクラウドサービスに関する情報の機密性、完全性及び可用性の喪失に伴うリスクを特定するために、情報セキュリティリスクアセスメントのプロセスを適用し、特定されたリスクについてリスク所有者を特定する。
❻適用状況の評価(レビュー)支援
CSC(クラウドサービスカスタマ)としての適用状況確認
サービス提供のために利用しているサービスについて、JIS Q 27017:2016 拡張管理策及びCSCに適用される実施の手引きと実施している対策内容を比較して適用状況を評価(レビュー)します。
CSP(クラウドサービスプロバイダ)としての適用状況確認
提供されているサービスについて、JIS Q 27017:2016 拡張管理策及びCSPに適用される実施の手引きと実施している対策内容を比較して適用状況を評価します。適用範囲として複数のサービスを提供されている場合は、サービス毎に調査します。
❼ISMS-CLS適用宣言書作成支援
JIP-ISMS517 参考 A.3適用宣言書(SOA : Statement Of Applicability)
ISMSクラウドセキュリティ認証では、JIP-ISMS517 4.2.2 d)に基づき適用宣言書を作成しなければなりません。(左図は適用宣言書の例) ISO/IEC 27017に示す管理策は、クラウドサービスプロバイダ及びカスタマに対する固有の管理策であるため、原則は全ての管理策の評価を実施することとなるが、クラウドサービスの種類によっては、管理策が存在しない場合がある。そのような場合は、管理策を適用除外することができます。
| JIS Q 27001附属書Aにおいて除外理由を明記して除外されている管理策については、JIS Q 27017においても除外となり、クラウド固有の管理策を適用する場合はJIS Q 27001附属書A管理策を除外することはできないと考えるのが妥当です。よって、ISMS適用宣言書との整合性についても確認します。 よくある質問
|
フェーズ3
❽ISMS-CLS内部監査支援
◉ISMS-CLS内部監査業務委託(監査チーム派遣)
1.監査プログラム作成支援(監査工数・監査基準・監査目的の明確化)
2.審査員資格を有する監査チームを編成
3.内部監査計画の作成
4.内部監査の実施(監査チェックシート)
5.内部監査報告書作成及び報告会
6.結果分析(分析チャート作成)
7.是正改善提案(要求)書作成
8.是正計画のフォローアップ
◉ISMS-CLS内部監査員育成支援
人材育成支援(内部監査員研修参照)
5段階評価でパフォーマンスを評価します
現状調査による評価結果から設定した目標への達成度評価
①マネジメントシステム評価
基準:JIP-ISMS517-1.0
| JIS Q 27017:2016に基づくISMSクラウドセキュリティ認証に関する要求事項 |
②ISMS-CLS管理策評価
基準:JIS Q 27017:2016 『JIS Q 27002 に基づくクラウドサービス のための情報セキュリティ管理策の 実践の規範』
原則として適用範囲で定められたサービス毎に監査を実施します。
③総合評価
内部監査支援について詳しくはこちらをご覧ください
監査員1人日 @ × 工数
工数は監査プログラムに基づき算定します。
東京を起点とし、拠点(サイト)への現地監査を実施する場合は出張費用(実費)一部遠隔(リモート)監査も可能です。
❾ISMS-CLS認証審査対応
ご希望があれば、クラウドセキュリティ認証審査に立ち会います。
MSQAから主任審査員資格を有するコンサルタント・アドバイザーを派遣して、御社のオブザーバーとして審査に参加します。ただし、オブザーバーは直接審査対応(審査員の質問への回答)ができませんので、審査中に困ったことがあった場合に御社の相談役として振る舞います。
審査において軽微な不適合が発見された場合、定められてた期間内に是正計画作成し、提出した上で審査員のフォローアップをうけることで認証決定の推薦を受けることができます。MSQAは、是正計画作成を支援します。
❶〜❾の支援コンテンツは単体でもご利用いただけます
認証決定
認証決定後に認証維持方法についてご説明
認証決定からが始まりです、無理のない運用維持や継続的な改善方法について解説
審査のための作業をなくし、事業目標達成を支えるISMS-CLS運用を目指します
右図は一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
2022年9月1日お知らせを引用しています
無料相談会
認証取得や運用管理についての疑問に答えます。
認証決定を希望する時期や適用範囲、体制並びにニーズをお聞かせいただければ、最適なプランを提案します。無料相談会は、全国対応1時間以内リモートでご希望の日時で実施します。
