規格対応箇所
規格 | 規格項番 | タイトル |
---|---|---|
JIP-ISMS517 |
4.1 |
クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定 |
要求されていること
クラウドサービスを含めたISMSの適用範囲を定め、文書化した情報として利用可能な状態にしておく必要があります。
適用範囲として、クラウドサービスプロバイダ、クラウドサービスカスタマとして設定すべきクラウドサービスがあるかを検討する必要があります。定義の概要は以下のとおりです。
- クラウドサービスプロバイダ(CSP):自社が提供するクラウドサービスが該当
- クラウドサービスカスタマ(CSC):自社サービスの裏側で稼働しているクラウドサービスが該当
適用範囲の決め方
クラウドサービスを提供している企業の場合
提供しているクラウドサービスを適用範囲として入れる必要があります。
また、自社のクラウドサービスを1つ提供するために別のクラウドサービスを利用している場合は利用しているサービスも適用範囲に入れる必要があります。(例:インフラとしてAWSやAzureを利用している場合など)
この場合は、クラウドサービスプロバイダ(CSP)でありクラウドサービスカスタマ(CSC)として、ISMSクラウドセキュリティ認証の適用範囲を定義する必要があります。
クラウドサービスは提供していないが、社内利用にてクラウドサービスを利用している場合
クラウドサービスは提供していないので、クラウドサービスプロバイダ(CSP)としてのクラウドサービスの数は0個になります。
一方で、クラウドサービスカスタマ(CSC)の立場で利用しているクラウドサービスの数が加算されます。 この場合、適用範囲にカウントするクラウドサービスの数は、組織の中で自由に決めることができます。
やること
1. SecureNaviの左側メニューから「組織の状況」をクリックし、表示されたウィンドウから「組織の状況」を選択しクリックします。
2. 遷移した画面内、「クラウドサービス」右下のペンマーク、「編集」ボタンをクリックし、
ISMSクラウドセキュリティ認証の適用範囲となるCSP(Cloud Service Provider)、CSC(Cloud Service Customer)を登録します。
入力が完了したら、06. 「組織の状況と適用範囲」を承認する にて文書化を進めましょう。