ISO27021とは?クラウドセキュリティコントロールとの関係
ISO 27021は、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム(ISMS)の専門家の力量要件を定める国際規格です。
したがって、ISO 27021自体が「クラウドセキュリティコントロール」を直接的に規定しているわけではありません。
ISO 27021 の主な内容
ISO 27021は、ISMSの構築、実装、維持、および継続的改善に従事する専門家が持つべき知識、スキル、および経験に関する要求事項を規定しています。具体的には、以下のような能力要素を対象としています。
- ISMSの原則と概念の理解: ISO/IEC 27001の構造、要求事項、および関連する原則の理解。
- リスクアセスメントとリスク対応: 情報セキュリティリスクの特定、分析、評価、および対応策の策定と実施能力。
- ISMSの運用: セキュリティポリシー、手順、管理策の実施、監視、レビュー、および改善能力。
- 関連法規制とコンプライアンス: 情報セキュリティに関連する法規制、業界標準、および契約要件の理解と適用能力。
- 監査とレビュー: ISMSの内部監査の実施、監査結果の評価、および改善提案能力。
- コミュニケーションと対人関係: 関係者との効果的なコミュニケーション能力、交渉力、およびリーダーシップ。
クラウドセキュリティコントロールとの関連
ISO 27021は、クラウドセキュリティに特化したコントロールを直接規定するものではありませんが、クラウド環境におけるISMSの専門家が持つべき力量を定義する上で間接的に関連します。
クラウド環境でISMSを構築・運用する専門家は、ISO 27021で求められる基本的なISMSの知識・スキルに加えて、クラウド特有のセキュリティ課題やコントロールに関する知識も必要となります。
クラウドセキュリティコントロールに関する規格
クラウド環境における具体的なセキュリティコントロールについては、以下の規格がより直接的に関連します。
- ISO/IEC 27017: クラウドサービスの情報セキュリティに関するガイドラインを提供し、ISO/IEC 27002をベースにクラウド特有の管理策を追加しています。
- ISO/IEC 27018: クラウドにおける個人情報保護に関するガイドラインを提供します。
まとめ
ISO 27021は、ISMS専門家の力量要件を定める規格であり、クラウドセキュリティコントロールそのものを規定するものではありません。しかし、クラウド環境でISMSを運用する専門家が持つべき能力を定義する上で重要な役割を果たします。クラウド固有のセキュリティコントロールについては、ISO/IEC 27017などの規格を参照する必要があります。
