ISO27017認証を取得する際には、クラウドサービスを提供するクラウドサービス事業者(Cloud Service Provider, CSP)として取得するか、クラウドサービスを利用するクラウドサービス利用者(Cloud Service Customer, CSC)として取得するか、またはその両方の立場を併せ持つ事業者として取得するか、自社の立場を明確にする必要があります。ISO27017認証取得後に発行される証明書にも、「CSPとして取得」「CSCとして取得」などの文言が添えられることになります。

ISO27017においては、クラウドサービスを提供している企業・団体は「クラウドサービス事業者(Cloud Service Provider, CSP)」と位置づけられます。

「AWS(Amazon Web Services)を利用してWebサービスを運営している」「ビジネスチャットツールを専用のシステム上で稼働させ、クラウドサービスとして利用を促している」これらの会社はいずれもCSPに該当します。

クラウドの脅威に対する情報セキュリティ体制を構築できる
クラウド上のリスクに備えていくためには、これまでの情報セキュリティの範疇に留まらない各種の対策を検討・実施する必要があります。
クラウド上のリスク対策に特化したISO27017認証に準拠し、社内の仕組みを適切に構築することで、機密情報をより安全に取り扱うことが可能です。

クラウドサービス利用者からの信頼を集められる
クラウドサービス利用を検討する企業・団体が、実際の導入前に、クラウドサービス事業者に対して情報提供を求めることは珍しいことではありません。
その際に、ISO27017認証を取得していれば、クラウドサービスであっても確かな情報セキュリティ体制下で運用されていることを明快にアピールすることが可能です。

競合他社との差別化によって競争優位を獲得できる
ISO27017/ISMSクラウドセキュリティ認証は、日本国内では2016年夏頃から運用が開始された新たな第三者認証です。
当然ながら、まだ取得している企業・団体も少ない状況であり、競合他社に先駆けて認証を取得することで、明確な差別化ポイントとして位置づけることが可能です。

ISO27017においては、クラウドサービスを利用している企業・団体は「クラウドサービス利用者(Cloud Service Customer, CSC)」と位置づけられます。

「業務ファイルはクラウドクラウドストレージサービスに格納している」「Google社が提供しているGoogleAppsを利用している」「AWS(Amazon Web Services)を利用して自社サイトを運営している」これらの会社はいずれもCSCに該当します。

適切なクラウドサービスを選択することができる
どんどん新しいクラウドサービスが生まれている中、利便性はもちろんですが、セキュリティ面もしっかりと重視したい時には、どのように見極めればいいのでしょうか。
ISO27017を元に「確認すべき箇所はどこか」「どのような機能を比較すべきか」などの観点をルールとして定めることで、クラウドサービスを適切に選択できます。

自社顧客からの信頼を集められる
個人情報や機密情報の保護に対する機運が年々高まっている昨今、顧客企業にとっては、依頼した業務のプロセスや、預けたデータの扱われ方は、とても気になるところです。
ISO27017認証を取得すれば、そんな不安を抱える顧客企業に対し、適切な社内の情報セキュリティルールを運用していることを、胸を張ってアピールできます。

社内における情報セキュリティルールを明確に定めることができる
ISO27017認証は、情報セキュリティ全般の取り組みを行うISO27001のアドオン認証です。そのため、ISO27017認証取得には、ISO27001認証の取得が必須になります。
結果として、クラウドサービス分野に留まらない、情報セキュリティ全般の仕組み作りを推進することができ、社内の情報漏えいリスクを低減させることが可能です。