JIS Q 27017:2016

JIS Q 27002 に基づく
クラウドサービスのための情報セキュリティ管理策の実践の規範
Information technology-Security techniques-Code of practice for information security controls based on ISO/IEC 27002 for cloud servicesJIS Q 27017:2016 で実施の手引きが追記されている管理策一覧
CSC:クラウドサービスカスタマ / CSP:クラウドサービスプロバイダCLD:JIS Q 27017:2016 附属書A 拡張管理策
附属書A | 箇条番号 | 管理策 | CSC | CSP |
関連情報の追記 |
A.5 | 5.1.1 | 情報セキュリティのための方針群 | 〇 | 〇 | 〇 |
A.6 | 6.1.1 | 情報セキュリティの役割および責任 | 〇 | 〇 | 〇 |
6.1.3 | 関係当局との連絡 | 〇 | 〇 | 〇 | |
CLD 6.3.1 | クラウドコンピューティング環境における役割及び責任の共有及び分担 | 〇 | 〇 | 〇 | |
A.7 | 7.2.2 | 情報セキュリティの意識向上、教育及び訓練 | 〇 | 〇 | |
A.8 | 8.1.1 | 資産目録 | 〇 | 〇 | 〇 |
CLD 8.1.5 | クラウドサービスカスタマの資産の除去 | 〇 | 〇 | ||
8.2.2 | 情報のラベル付け | 〇 | 〇 | ||
A.9 | 9.1.2 | ネットワーク及びネットワークサービスへのアクセス | 〇 | ||
9.2.1 | 利用者登録及び登録削除 | 〇 | |||
9.2.2 | 利用者アクセスの提供(provisioning) | 〇 | 〇 | ||
9.2.3 | 特権的アクセス権の管理 | 〇 | 〇 | ||
9.2.4 | 利用者の秘密認証情報の管理 | 〇 | 〇 | 〇 | |
9.4.1 | 情報へのアクセス制限 | 〇 | 〇 | 〇 | |
9.4.4 | 特権的なユーティリティプログラムの使用 | 〇 | 〇 | ||
CLD 9.5.1 | 仮想コンピューティング環境における分離 | 〇 | 〇 | ||
CLD 9.5.2 | 仮想マシンの要塞化 | 〇 | |||
A.10 | 10.1.1 | 暗号による管理策の利用方針 | 〇 | 〇 | 〇 |
10.1.2 | 鍵管理 | 〇 | |||
A.11 | 11.2.7 | 装置のセキュリティを保った処分又は再利用 | 〇 | 〇 | |
A.12 | 12.1.2 | 変更管理 | 〇 | 〇 | 〇 |
12.1.3 | 容量・能力の管理 | 〇 | 〇 | ||
CLD 12.1.5 | 実務管理者の運用のセキュリティ | 〇 | 〇 | 〇 | |
12.3.1 | 情報のバックアップ | 〇 | 〇 | 〇 | |
12.4.1 | イベントログの取得 | 〇 | 〇 | 〇 | |
12.4.3 | 実務管理者及び運用担当者の作業ログ | 〇 | 〇 | ||
12.4.4 | クロックの同期 | 〇 | 〇 | 〇 | |
CLD 12.4.5 | クラウドサービスの監視 | 〇 | 〇 | ||
12.6.1 | 技術的ぜい弱性の管理 | 〇 | 〇 | ||
A.13 | 13.1.3 | ネットワークの分離 | 〇 | 〇 | 〇 |
CLD 13.1.4 | 仮想及び物理ネットワークのセキュリティ管理の整合 | 〇 | 〇 | ||
A.14 | 14.1.1 | 情報セキュリティ要求事項の分析及び仕様化 | 〇 | 〇 | 〇 |
14.2.1 | 情報セキュリティに配慮した開発のための方針 | 〇 | 〇 | 〇 | |
A.15 | 15.1.1 | 供給者関係のための情報セキュリティの方針 | 〇 | ||
15.1.2 | 供給者との合意におけるセキュリティの取扱い | 〇 | 〇 | ||
15.1.3 | ICTサプライチェーン | 〇 | |||
A.16 | 16.1.1 | 責任及び手順 | 〇 | 〇 | |
16.1.2 | 情報セキュリティ事象の報告 | 〇 | 〇 | 〇 | |
16.1.7 | 証拠の収集 | 〇 | |||
A.17 | ー | 事業継続における情報セキュリティの側面 | |||
A.18 | 18.1.1 | 適用法令及び契約上の要求事項の特定 | 〇 | 〇 | 〇 |
18.1.2 | 知的財産権 | 〇 | 〇 | ||
18.1.3 | 記録の保護 | 〇 | 〇 | ||
18.1.5 | 暗号化機能に対する規制 | 〇 | 〇 | ||
18.2.1 | 情報セキュリティの独立したレビュー | 〇 | 〇 |