公開:

ISO/IEC27001:2022附属書A新管理策「5.23クラウドサービスの利用における情報セキュリティ」解説

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。

このコラムでは、新規格であるISO/IEC27001:2022(JIS Q 27001:2023)への改訂にあたり新たに設けられた管理策を順次解説します。

前回のテーマは「5.7脅威インテリジェンス」の解説でした。今回2回目のテーマは、「5.23クラウドサービスの利用における情報セキュリティ」の解説です。

管理策「5.23 クラウドサービスの利用における情報セキュリティ」内容

外部から提供されるクラウドサービスを利用する際の管理策であり、供給者管理の内、クラウドサービスの利用にフォーカスした管理策です。また、この管理策をより具体化した内容がISO/IEC27017(クラウドセキュリティに関するガイドライン)の「カスタマ」に関する内容であるとも言えるので、ご覧になっていただくとより理解が深まります。

上記の通り、供給者管理の一部と言える管理策ですが、端的に言えば既存の供給者管理にクラウドサービス固有の論点を追加するということになります。例えば、プロバイダとカスタマの間での役割・責任、サービス利用にあたっての必要な情報を取得する方法の定義や、マルウェア対策等のプロバイダとの間で合意することが望ましい内容に触れています。

管理策の実装例

  • クラウドサービス利用にあたっての方針策定
  • クラウドサービスを利用する際のリスクの分析(既にその観点が含まれたリスク分析が実施されている場合は不要です)
  • クラウドサービス選定評価基準の策定と選定評価の実施(クラウドサービス選定評価用の様式の策定などが想定されます)
  • クラウドサービスプロバイダと取り交わす契約に含めるべき事項の見直し、契約が不可能な場合は利用前に確認するべき事項の検討
  • クラウドサービス利用にあたっての規定や手順の策定(上記方針と統合されていても支障はありません。

「5.23 クラウドサービスの利用における情報セキュリティ」などのISMS管理策の解説や規格改訂について、その他ご質問・ご相談がありましたら、ご遠慮なくお声がけください。

次回は、「5.30事業継続のためのICTの備え」を解説します。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00