IEC 27001 (情報セキュリティ、サイバーセキュリティ及び プライバシー保護 - 情報セキュリティマネジメント - 要求事項) トラストサービス規準 制度 認証制度 保証報告制度(監査人の意見表明) 評価の焦点 情報セキュリティマネジメント (リスクベースアプローチ / PDCAサイクル) クラウドサービス等(※1)のセキュリティ(※2) (内部統制の設計適切性および運用有効性) 評価手法 数日間のインタビューと文書レビュー中心 証跡中心 審査/監査の スコープ 組織、人、物理(設備)、技術それぞれを 幅広く俯瞰的に見る サービス設計・実装・運用を中心として 、 サービス提供に関わる組織や人員も見る ※1 ほか、データセンターを対象とすることもある ※2 追加的に可用性、処理のインテグリティ、機密保持、プライバシーについても監査対象とすることが可能