JIS Q 27017:2016

JIS Q 27002 に基づく

クラウドサービスのための情報セキュリティ管理策の実践の規範

Information technology-Security techniques-Code of practice for information security controls based on ISO/IEC 27002 for cloud services

JIS Q 27017:2016 で実施の手引きが追記されている管理策一覧

CSC:クラウドサービスカスタマ　/ CSP:クラウドサービスプロバイダ
CLD:JIS Q 27017:2016 附属書A 拡張管理策

附属書A	箇条番号	管理策	CSC	CSP	関連情報の追記
A.5	5.1.1	情報セキュリティのための方針群	〇	〇	〇
A.6	6.1.1	情報セキュリティの役割および責任	〇	〇	〇
	6.1.3	関係当局との連絡	〇	〇	〇
	CLD 6.3.1	クラウドコンピューティング環境における役割及び責任の共有及び分担	〇	〇	〇
A.7	7.2.2	情報セキュリティの意識向上、教育及び訓練	〇	〇
A.8	8.1.1	資産目録	〇	〇	〇
	CLD 8.1.5	クラウドサービスカスタマの資産の除去	〇	〇
	8.2.2	情報のラベル付け	〇	〇
A.9	9.1.2	ネットワーク及びネットワークサービスへのアクセス	〇
	9.2.1	利用者登録及び登録削除		〇
	9.2.2	利用者アクセスの提供（provisioning）		〇	〇
	9.2.3	特権的アクセス権の管理	〇	〇
	9.2.4	利用者の秘密認証情報の管理	〇	〇	〇
	9.4.1	情報へのアクセス制限	〇	〇	〇
	9.4.4	特権的なユーティリティプログラムの使用	〇	〇
	CLD 9.5.1	仮想コンピューティング環境における分離		〇	〇
	CLD 9.5.2	仮想マシンの要塞化	〇
A.10	10.1.1	暗号による管理策の利用方針	〇	〇	〇
	10.1.2	鍵管理	〇
A.11	11.2.7	装置のセキュリティを保った処分又は再利用	〇	〇
A.12	12.1.2	変更管理	〇	〇	〇
	12.1.3	容量・能力の管理	〇	〇
	CLD 12.1.5	実務管理者の運用のセキュリティ	〇	〇	〇
	12.3.1	情報のバックアップ	〇	〇	〇
	12.4.1	イベントログの取得	〇	〇	〇
	12.4.3	実務管理者及び運用担当者の作業ログ	〇		〇
	12.4.4	クロックの同期	〇	〇	〇
	CLD 12.4.5	クラウドサービスの監視	〇	〇
	12.6.1	技術的ぜい弱性の管理	〇	〇
A.13	13.1.3	ネットワークの分離	〇	〇	〇
	CLD 13.1.4	仮想及び物理ネットワークのセキュリティ管理の整合		〇	〇
A.14	14.1.1	情報セキュリティ要求事項の分析及び仕様化	〇	〇	〇
	14.2.1	情報セキュリティに配慮した開発のための方針	〇	〇	〇
A.15	15.1.1	供給者関係のための情報セキュリティの方針	〇
	15.1.2	供給者との合意におけるセキュリティの取扱い	〇	〇
	15.1.3	ICTサプライチェーン		〇
A.16	16.1.1	責任及び手順	〇	〇
	16.1.2	情報セキュリティ事象の報告	〇	〇	〇
	16.1.7	証拠の収集	〇
A.17	ー	事業継続における情報セキュリティの側面
A.18	18.1.1	適用法令及び契約上の要求事項の特定	〇	〇	〇
	18.1.2	知的財産権	〇	〇
	18.1.3	記録の保護	〇	〇
	18.1.5	暗号化機能に対する規制	〇	〇
	18.2.1	情報セキュリティの独立したレビュー	〇	〇

▶︎クラウドセキュリティTOP