JIS Q 27017:2016

JIS Q 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
Information technology-Security techniques-Code of practice for information security controls based on ISO/IEC 27002 for cloud services


JIS Q 27017:2016 で実施の手引きが追記されている管理策一覧
CSC:クラウドサービスカスタマ / CSP:クラウドサービスプロバイダ
CLD:JIS Q 27017:2016 附属書A 拡張管理策


附属書A 箇条番号 管理策

CSC

CSP

関連情報の追記

A.5 5.1.1 情報セキュリティのための方針群
A.6 6.1.1 情報セキュリティの役割および責任
6.1.3 関係当局との連絡
CLD 6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
A.7 7.2.2 情報セキュリティの意識向上、教育及び訓練  
A.8 8.1.1 資産目録
CLD 8.1.5 クラウドサービスカスタマの資産の除去  
8.2.2 情報のラベル付け  
A.9 9.1.2 ネットワーク及びネットワークサービスへのアクセス    
9.2.1 利用者登録及び登録削除    
9.2.2 利用者アクセスの提供(provisioning)  
9.2.3 特権的アクセス権の管理  
9.2.4 利用者の秘密認証情報の管理
9.4.1 情報へのアクセス制限
9.4.4 特権的なユーティリティプログラムの使用  
CLD 9.5.1 仮想コンピューティング環境における分離  
CLD 9.5.2 仮想マシンの要塞化  
A.10 10.1.1 暗号による管理策の利用方針
10.1.2 鍵管理    
A.11 11.2.7 装置のセキュリティを保った処分又は再利用  
A.12 12.1.2 変更管理
12.1.3 容量・能力の管理  
CLD 12.1.5 実務管理者の運用のセキュリティ
12.3.1 情報のバックアップ
12.4.1 イベントログの取得
12.4.3 実務管理者及び運用担当者の作業ログ  
12.4.4 クロックの同期
CLD 12.4.5 クラウドサービスの監視  
12.6.1 技術的ぜい弱性の管理  
A.13 13.1.3 ネットワークの分離
CLD 13.1.4 仮想及び物理ネットワークのセキュリティ管理の整合  
A.14 14.1.1 情報セキュリティ要求事項の分析及び仕様化
14.2.1 情報セキュリティに配慮した開発のための方針
A.15 15.1.1 供給者関係のための情報セキュリティの方針    
15.1.2 供給者との合意におけるセキュリティの取扱い  
15.1.3 ICTサプライチェーン    
A.16 16.1.1 責任及び手順  
16.1.2 情報セキュリティ事象の報告
16.1.7 証拠の収集  
A.17  ー 事業継続における情報セキュリティの側面     
A.18 18.1.1 適用法令及び契約上の要求事項の特定
18.1.2 知的財産権  
18.1.3 記録の保護  
18.1.5 暗号化機能に対する規制  
18.2.1 情報セキュリティの独立したレビュー  

▶︎クラウドセキュリティTOP