読者です 読者をやめる 読者になる 読者になる

purazumakoiの[はてなブログ]

技術メモから最近はライフログも増えてきてます。

ISO27001、SSAE 16、SOC 2 ってなんぞや

googleから来たメールに気になる文言が

何かgoogleからこんなメールが来まして、ハングアウトがどうこうってのはまぁいいとして

f:id:purazumakoi:20140904101237j:plain

ISO27001、SSAE 16、SOC 2 などの認定資格で

の部分でなんだっけこれって思ったわけです。

ISO27001(ISMS)とは

はいはい!ISO27001くらいは聞いたことありますよ。ISMSですよね?

こちらに詳しくかいてありました。引用部分はこちらから取ってます。
ISMS | ISO27001|ISMS/ISO27001とは|ICMS(国際マネジメントシステム認証機構)

そういえば、ISMSってPマークの上位版ってイメージでしたけど

ISMSを取得するとPマークは不要? | ISMS情報セキュリティブログ より

ISMSとPマークとの違い

Pマーク

Pマークの場合、顧客の個人情報を含め企業が保有する個人情報の保護、及び提供した個人の権利を保護することを目的にしています。

Pマークは基本的に顧客の個人情報が流出しなければいいわけね。
B to Cな場合が連想されます。

ISMS

それに対して、ISMSの場合は、Pマーク同様、企業が保有する個人情報、及び提供した個人の権利も保護しますが、情報資産全般を保護する仕組み作りを目的とし、その過程で社内の情報セキュリティルールを策定、及び対策を実施し、事業の継続、存続できる体制にすることを目的としています。

これはどっちかって言うと、企業内の技術的資産が流出しないようにって感じで個人情報より、 社内のこの研究情報が競合他社に漏れたら・・・みたいなシーンが想像できます。

SSAE 16とは

こちらに詳しくかいてありました。引用部分はこちらから取ってます。

SSAE16ってなんだ? | GIOろぐ

SSAE16とは、Statement on Standards for Attestation Engagements No.16の略で、米国公認会計士協会が定めた、受託業務(各種アウトソーシングサービス等)を行う会社の、内部統制の有効性を評価する保証基準です。

米国公認会計士協会 ってことは、金の匂いがしますね。 と思ったら、元々財務諸表とかの粉飾を回避するためのルールだそうです。

ちなみにSSAE16はSOC1のアメリカ版の名称。後述するSOC2と同じ枠組み

受託会社から提出された内部統制に関する報告書の有効性を評価する仕組みこそ SSAE16なのです。

内部統制?

「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されている~~~~

要は(主にお金関係で)クリーンな企業ですよってことがポイントっぽい

つまりSSAE16(SOC1)の資格を認定されていれば、ウチはクリーンな企業だって第三者機関に認められてます。って言えるってことかな。

SOC 2はSOC 1よりISMSとかPマークとかの目的に近そう

特に最近だとAWSniftyクラウドISMS、SOCを取得しているケースが見受けられるのでcloudでのセキュリティを証明するって意味でよく見る