「NRIクラウド」がISO/IEC 27001、ISO/IEC 27017の認証を取得 〜 FISC安全対策基準による運営をISO認証に適用 〜
[18/11/28]
提供元:DreamNews
提供元:DreamNews
株式会社野村総合研究所(以下「NRI」)が提供するITソリューションインフラ※1「NRIクラウド」 が、2018年10月19日、一般財団法人日本品質保証機構(以下「JQA」)によるISO/IEC 27001およびISO/IEC 27017の認証を取得し、本日発表しました。
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であり、企業活動全般において情報の機密性・完全性・可用性に関する組織運営が有効に行われていることを評価するものです。ISO/IEC 27017は、近年急速な普及が進んでいるクラウドサービスに関して、情報セキュリティ管理の強化を図るため、ISO/IEC 27001にクラウドサービス特有の観点を追加した国際規格です。
NRIクラウドは、金融をはじめとするさまざまな分野において、NRIが個々の金融機関や企業向けに開発するシステムや共同利用型で提供するサービスを乗せるための独自のITソリューションインフラです。その運営にあたっては、公益財団法人金融情報システムセンター(以下「FISC」)の「金融機関等コンピュータシステムの安全対策基準」※2に準拠しており、2014年度以降、毎年SOC2報告書※3を受領しています。今回、NRIでは、NRIクラウドにおいて情報セキュリティに関する組織運営の改善・向上、およびPDCA活動の定着を目的として、ISO/IEC 27001およびISO/IEC 27017の認証取得に取り組みました。
JQAの審査においては、「FISCの安全対策基準に準拠する運営をベースに、ISOの認証取得に適用する枠組みは類例を見ない」とコメントをいただきました。また、認証取得において優れている点(Good Point)として、NRIクラウドにおけるサービス運営の品質をはじめ、リスク評価、セキュリティ対策、日々の訓練などの継続的な取り組みがあげられました。
【画像 http://www.dreamnews.jp/?action_Image=1&p=0000185602&id=bodyimage1】
【画像 http://www.dreamnews.jp/?action_Image=1&p=0000185602&id=bodyimage2】
NRIでは、今回の認証取得を受け、クラウドサービスを含むシステムを運営するにあたって、各種ルールに対する準拠性を評価し、認証の取得やルールの適用を支援する仕組みについて、特許を出願しています。今後も、NRIのシステム・サービスを提供するIT基盤として、NRIクラウドの安定的なシステム運用、運営品質の維持、向上を継続していきます。
※1 ITソリューションインフラ:
お客様のシステムにおける安定運用を実現するための、ITインフラに関するNRIのソリューションの総称です。
https://www.nri.com/jp/service/ips/managed
※2 金融機関等コンピュータシステムの安全対策基準:
金融機関等の情報システムの安全対策において広く活用されるセキュリティ基準のことです。
※3 SOC2報告書:
業務のアウトソーシングを受託した事業者が、委託された業務において、セキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーに関連する内部統制を対象として、監査法人等から規準を満たしていることの保証を受けた報告書のことです。NRIクラウドでは、セキュリティ、可用性の観点で、SOC2報告書を受領しています。
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であり、企業活動全般において情報の機密性・完全性・可用性に関する組織運営が有効に行われていることを評価するものです。ISO/IEC 27017は、近年急速な普及が進んでいるクラウドサービスに関して、情報セキュリティ管理の強化を図るため、ISO/IEC 27001にクラウドサービス特有の観点を追加した国際規格です。
NRIクラウドは、金融をはじめとするさまざまな分野において、NRIが個々の金融機関や企業向けに開発するシステムや共同利用型で提供するサービスを乗せるための独自のITソリューションインフラです。その運営にあたっては、公益財団法人金融情報システムセンター(以下「FISC」)の「金融機関等コンピュータシステムの安全対策基準」※2に準拠しており、2014年度以降、毎年SOC2報告書※3を受領しています。今回、NRIでは、NRIクラウドにおいて情報セキュリティに関する組織運営の改善・向上、およびPDCA活動の定着を目的として、ISO/IEC 27001およびISO/IEC 27017の認証取得に取り組みました。
JQAの審査においては、「FISCの安全対策基準に準拠する運営をベースに、ISOの認証取得に適用する枠組みは類例を見ない」とコメントをいただきました。また、認証取得において優れている点(Good Point)として、NRIクラウドにおけるサービス運営の品質をはじめ、リスク評価、セキュリティ対策、日々の訓練などの継続的な取り組みがあげられました。
【画像 http://www.dreamnews.jp/?action_Image=1&p=0000185602&id=bodyimage1】
【画像 http://www.dreamnews.jp/?action_Image=1&p=0000185602&id=bodyimage2】
NRIでは、今回の認証取得を受け、クラウドサービスを含むシステムを運営するにあたって、各種ルールに対する準拠性を評価し、認証の取得やルールの適用を支援する仕組みについて、特許を出願しています。今後も、NRIのシステム・サービスを提供するIT基盤として、NRIクラウドの安定的なシステム運用、運営品質の維持、向上を継続していきます。
※1 ITソリューションインフラ:
お客様のシステムにおける安定運用を実現するための、ITインフラに関するNRIのソリューションの総称です。
https://www.nri.com/jp/service/ips/managed
※2 金融機関等コンピュータシステムの安全対策基準:
金融機関等の情報システムの安全対策において広く活用されるセキュリティ基準のことです。
※3 SOC2報告書:
業務のアウトソーシングを受託した事業者が、委託された業務において、セキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーに関連する内部統制を対象として、監査法人等から規準を満たしていることの保証を受けた報告書のことです。NRIクラウドでは、セキュリティ、可用性の観点で、SOC2報告書を受領しています。