JIPDEC、「ISMSクラウドセキュリティ認証」を開始 - 認証基準を公開

日本情報経済社会推進協会（JIPDEC）は、クラウドサービス固有の管理策など踏まえた「ISMSクラウドセキュリティ認証」を8月15日より順次開始する。提供開始に向けて関連文書や認証機関の認定基準を公開した。

同認証は、「情報セキュリティマネジメントシステム（ISMS）」の適用範囲内に含まれるクラウドサービスの提供、または利用を対象としたもの。ISMSをベースに「ISO/IEC27017：2015」に基づく要求事項に対して、マネジメントシステムのPDCAサイクルが構築されていることを認証する。

認証の提供にあたり、同協会ではガイドラインである「ISO/IEC 270017:2015」に対し、適合性を評価する認証基準として「ISMSクラウドセキュリティ認証に関する要求事項（JIP-ISMS517-1.0）」を策定。認証を受けるには、同要求事項およびISMSに適合している必要がある。

また「ISMSクラウドセキュリティ認証」の対象は、「IaaS」「PaaS」「SaaS」などクラウドサービスの形態は問われず、提供者、利用者の立場で取得が可能。ただし、「IaaS」上に「SaaS」を構築するような場合は、利用者、提供者双方の立場で認証を取得する必要があるという。

同協会では、8月15日からISMS認証機関の認定審査申請について受付を開始し、その後、企業や自治体による認証審査申請についても受け付けをスタートする予定。認証を受けた組織は、認定マークが入った認証登録証が発行されるほか、同協会のページで公表する。

同協会では、同認証の要求事項を文書として公開。またISMSの認証機関に対する要求事項である「ISO/IEC 27006」に、同認証を行う認証機関に対する要求事項を追加し、「ISMS認証機関認定基準及び指針（Ver.3.1）」についてもあわせて公開している。

（Security NEXT - 2016/08/02 ）ツイート