• ISO/IEC 27017:2015(JIS Q 27017:2016)
  • ISO/IEC 27002:2014(JIS Q 27002:2015)に基づいています
  • クラウドサービスカスタマ及びプロバイダに必要な管理策の実践の規範です
  • ISO/IEC 27002:2014(JIS Q 27002:2015)に追加の「実施の手引き」「関連情報」が提供されています
  • 拡張が必要な場合は追加の『管理目的』及び『管理策』(附属書A)が提供されています

JIS Q 27017:2016 で実施の手引きが追記されている管理策一覧
CSC:クラウドサービスカスタマ / CSP:クラウドサービスプロバイダ
CLD:JIS Q 27017:2016 附属書A 拡張管理策
附属書A 箇条番号 管理策

CSC

CSP

関連情報の追記
A.5 5.1.1 情報セキュリティのための方針群
A.6 6.1.1 情報セキュリティの役割および責任
6.1.3 関係当局との連絡
CLD 6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
A.7 7.2.2 情報セキュリティの意識向上、教育及び訓練  
A.8 8.1.1 資産目録
CLD 8.1.5 クラウドサービスカスタマの資産の除去  
8.2.2 情報のラベル付け  
A.9 9.1.2 ネットワーク及びネットワークサービスへのアクセス    
9.2.1 利用者登録及び登録削除    
9.2.2 利用者アクセスの提供(provisioning)  
9.2.3 特権的アクセス権の管理  
9.2.4 利用者の秘密認証情報の管理
9.4.1 情報へのアクセス制限
9.4.4 特権的なユーティリティプログラムの使用  
CLD 9.5.1 仮想コンピューティング環境における分離  
CLD 9.5.2 仮想マシンの要塞化  
A.10 10.1.1 暗号による管理策の利用方針
10.1.2 鍵管理    
A.11 11.2.7 装置のセキュリティを保った処分又は再利用  
A.12 12.1.2 変更管理
12.1.3 容量・能力の管理  
CLD 12.1.5 実務管理者の運用のセキュリティ
12.3.1 情報のバックアップ
12.4.1 イベントログの取得
12.4.3 実務管理者及び運用担当者の作業ログ  
12.4.4 クロックの同期
CLD 12.4.5 クラウドサービスの監視  
12.6.1 技術的ぜい弱性の管理  
A.13 13.1.3 ネットワークの分離
CLD 13.1.4 仮想及び物理ネットワークのセキュリティ管理の整合  
A.14 14.1.1 情報セキュリティ要求事項の分析及び仕様化
14.2.1 情報セキュリティに配慮した開発のための方針
A.15 15.1.1 供給者関係のための情報セキュリティの方針    
15.1.2 供給者との合意におけるセキュリティの取扱い  
15.1.3 ICTサプライチェーン    
A.16 16.1.1 責任及び手順  
16.1.2 情報セキュリティ事象の報告
16.1.7 証拠の収集  
A.17  ー 事業継続における情報セキュリティの側面     
A.18 18.1.1 適用法令及び契約上の要求事項の特定
18.1.2 知的財産権  
18.1.3 記録の保護  
18.1.5 暗号化機能に対する規制  
18.2.1 情報セキュリティの独立したレビュー  

▶︎クラウドセキュリティTOP