ISMSクラウドセキュリティ認証お取組みのその前に ～登録範囲の注意点～

登録範囲に含まれているとは

ISMSクラウドセキュリティ認証（以下「クラウドセキュリティ認証」）のご相談をいただくことが増えておりますが、ベースとなるISO27001の登録範囲にクラウドセキュリティ認証の対象となるサービスが含まれていなかったというケースが見受けられます。

正確には、「対象となる事業活動は含まれているが、対象となるサービスが含まれていることが明確でない」というケースです。プロバイダとしてクラウドセキュリティ認証の登録対象とするサービスは、ベースとなるISO27001の登録範囲内である必要がありますが、ISO27001の登録範囲に含まれていることが明確であることが要求されます。

「明確である」とは

例えば、クラウドセキュリティ認証でAというサービスを登録したい場合、ISO27001が「ソフトウェアの設計開発」として登録されていても、そのままクラウドセキュリティ認証においてAを登録できるとは限らないということです。

通常はそのまま登録可能であることが多いのですが、ISO27001の審査でAが取り上げられていない場合、ISO27001の拡大審査が必要になることがあります（Aが対象であることを明確にするための拡大審査）。具体的には、審査レポートの中でAについて触れられていることが明確である、もしくはストレートに「Aの設計開発」と登録されていることが必要です。

直近のISO27001の審査後にリリースされたサービスや、たまたま審査でインタビュー対象にならなかったサービスなどが想定されます。

そんな時はどうすれば？

明確でないと判断された場合、

1. １．クラウドセキュリティ認証の審査前にISO27001の拡大審査を受審する（上記の例で言えば「登録範囲にAが含まれることを明確にするための審査」です）
2. ２．クラウドセキュリティ認証の審査と同時にISO27001の拡大審査を受審する必要があります。

クラウドセキュリティ認証をご検討される際は、あらかじめ過去の審査レポートの内容を読み直し対象サービスが登録範囲に含まれることを確認するか、審査機関に問い合わせる等で確認することをお奨めします。