JIS Q 27017:2016 情報技術―セキュリティ技術―ＪＩＳ　Ｑ　２７００２に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範

                                                              Q 27017 : 2016 (ISO/IEC 27017 : 2015)

pdf 目 次

ページ

•  序文・・・・[1]
•  1 適用範囲・・・・[1]
•  2 引用規格・・・・[1]
•  3 定義及び略語・・・・[2]
•  3.1 用語及び定義・・・・[2]
•  3.2 略語・・・・[3]
•  4 クラウド分野固有の概念・・・・[3]
•  4.1 概要・・・・[3]
•  4.2 クラウドサービスにおける供給者関係・・・・[3]
•  4.3 クラウドサービスカスタマとクラウドサービスプロバイダとの関係・・・・[4]
•  4.4 クラウドサービスにおける情報セキュリティリスクの管理・・・・[4]
•  4.5 規格の構成・・・・[4]
•  5 情報セキュリティのための方針群・・・・[5]
•  5.1 情報セキュリティのための経営陣の方向性・・・・[5]
•  6 情報セキュリティのための組織・・・・[7]
•  6.1 内部組織・・・・[7]
•  6.2 モバイル機器及びテレワーキング・・・・[8]
•  7 人的資源のセキュリティ・・・・[8]
•  7.1 雇用前・・・・[8]
•  7.2 雇用期間中・・・・[9]
•  7.3 雇用の終了及び変更・・・・[9]
•  8 資産の管理・・・・[9]
•  8.1 資産に対する責任・・・・[9]
•  8.2 情報分類・・・・[10]
•  8.3 媒体の取扱い・・・・[11]
•  9 アクセス制御・・・・[11]
•  9.1 アクセス制御に対する業務上の要求事項・・・・[11]
•  9.2 利用者アクセスの管理・・・・[11]
•  9.3 利用者の責任・・・・[13]
•  9.4 システム及びアプリケーションのアクセス制御・・・・[13]
•  10 暗号・・・・[14]
•  10.1 暗号による管理策・・・・[14]
•  11 物理的及び環境的セキュリティ・・・・[16]
•  11.1 セキュリティを保つべき領域・・・・[16]
•  11.2 装置・・・・[17]

(pdf 一覧ページ番号 1)

――――― [JIS Q 27017 pdf 1] ―――――

Q 27017 : 2016 (ISO/IEC 27017 : 2015)

pdf 目次

ページ

•  12 運用のセキュリティ・・・・[17]
•  12.1 運用の手順及び責任・・・・[17]
•  12.2 マルウェアからの保護・・・・[19]
•  12.3 バックアップ・・・・[19]
•  12.4 ログ取得及び監視・・・・[20]
•  12.5 運用ソフトウェアの管理・・・・[22]
•  12.6 技術的ぜい弱性管理・・・・[22]
•  12.7 情報システムの監査に対する考慮事項・・・・[22]
•  13 通信のセキュリティ・・・・[23]
•  13.1 ネットワークセキュリティ管理・・・・[23]
•  13.2 情報の転送・・・・[23]
•  14 システムの取得,開発及び保守・・・・[24]
•  14.1 情報システムのセキュリティ要求事項・・・・[24]
•  14.2 開発及びサポートプロセスにおけるセキュリティ・・・・[24]
•  14.3 試験データ・・・・[25]
•  15 供給者関係・・・・[25]
•  15.1 供給者関係における情報セキュリティ・・・・[25]
•  15.2 供給者のサービス提供の管理・・・・[26]
•  16 情報セキュリティインシデント管理・・・・[27]
•  16.1 情報セキュリティインシデントの管理及びその改善・・・・[27]
•  17 事業継続マネジメントにおける情報セキュリティの側面・・・・[28]
•  17.1 情報セキュリティ継続・・・・[28]
•  17.2 冗長性・・・・[29]
•  18 順守・・・・[29]
•  18.1 法的及び契約上の要求事項の順守・・・・[29]
•  18.2 情報セキュリティのレビュー・・・・[30]
•  附属書A(規定)クラウドサービス拡張管理策集・・・・[32]
•  附属書B(参考)クラウドコンピューティングの情報セキュリティリスクに関する参考文献・・・・[38]
•  参考文献・・・・[40]

(pdf 一覧ページ番号 2)

――――― [JIS Q 27017 pdf 2] ―――――

                                                              Q 27017 : 2016 (ISO/IEC 27017 : 2015)

まえがき

  この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般
財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格(日本産業規格)を制定すべきとの申出があり,
日本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格(日本産業規格)である。
  この規格は,著作権法で保護対象となっている著作物である。
  この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。

(pdf 一覧ページ番号 3)

――――― [JIS Q 27017 pdf 3] ―――――

                                       日本工業規格(日本産業規格)                             JIS
                                                                            Q 27017 : 2016
                                                                       (ISO/IEC 27017 : 2015)

情報技術−セキュリティ技術−JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範

Information technology-Security techniques-Code of practice for information security controls based on ISO/IEC 27002 for cloud services

序文

  この規格は,2015年に第1版として発行されたISO/IEC 27017を基に,技術的内容及び構成を変更する
ことなく作成した日本工業規格(日本産業規格)である。
  この規格で規定する指針は,JIS Q 27002に規定する指針に追加し,これを補うものである。
  特に,この規格は,クラウドサービスカスタマ及びクラウドサービスプロバイダのための情報セキュリ
ティ管理策の実施を支援する指針を提示する。ある指針は管理策を実施するクラウドサービスカスタマの
ためのものであり,他の指針はクラウドサービスプロバイダがそれらの管理策の実施を支援するためのも
のである。適切な情報セキュリティ管理策の選択及び提示されている実施の手引の適用は,リスクアセス
メント及び法的,契約上,規制又はその他のクラウド分野固有の情報セキュリティ要求事項に依存する。

1 適用範囲

  この規格は,次の事項を提供することによって,クラウドサービスの提供及び利用に適用できる情報セ
キュリティ管理策のための指針を示す。
− JIS Q 27002に定める関係する管理策への追加の実施の手引
− クラウドサービスに特に関係する追加の管理策及びその実施の手引
  この規格は,管理策及び実施の手引を,クラウドサービスプロバイダ及びクラウドサービスカスタマの
双方に対して提供する。
    注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
          ISO/IEC 27017:2015,Information technology−Security techniques−Code of practice for information
              security controls based on ISO/IEC 27002 for cloud services(IDT)
            なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
          とを示す。

2 引用規格

  次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。)
は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。

――――― [JIS Q 27017 pdf 4] ―――――

2
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
    JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
      注記 対応国際規格 : ISO/IEC 27000,Information technology−Security techniques−Information
             security management systems−Overview and vocabulary(MOD)
    JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範
      注記 対応国際規格 : ISO/IEC 27002:2013,Information technology−Security techniques−Code of
             practice for information security controls(IDT)
    JIS X 9401 情報技術−クラウドコンピューティング−概要及び用語
      注記 対応国際規格 : ISO/IEC 17788,Information technology−Cloud computing−Overview and
             vocabulary(IDT)
    ISO/IEC 17789,Information technology−Cloud computing−Reference architecture

3 定義及び略語

3.1 用語及び定義

  この規格で用いる用語及び定義は,JIS Q 27000,JIS X 9401及びISO/IEC 17789によるほか,次による。
3.1.1
能力(capability)
  所与の振る舞いが実行できる特質。
  (ISO 19440:2007の3.1.5参照)
3.1.2
データ侵害(data breach)
  転送,保存若しくはその他の方法で処理される保護されたデータの,偶発的若しくは不法な破壊,損失,
改ざん,認可されない開示又はその保護されたデータへのアクセスにつながる情報セキュリティの侵害。
  (ISO/IEC 27040:2015の3.7参照)
3.1.3
セキュアマルチテナンシ(secure multi-tenancy)
  データ侵害から防御するために情報セキュリティ管理策を使用し,適切なガバナンスに対するこれらの
管理策の有効性に確証を与えているマルチテナンシの形態。
    注記1 セキュアマルチテナンシは,それぞれのテナントのリスクがシングルテナント環境の場合の
            リスクを上回らないときに存在する。
    注記2 特に強いセキュリティの求められる環境においては,テナントのアイデンティティですら秘
            密とされる。
  (ISO/IEC 27040:2015の3.39参照)
3.1.4
仮想マシン,VM(virtual machine)
  ゲストソフトウェアの実行を支援する環境一式。
    注記 仮想マシンは,仮想ハードウェア,仮想ディスク,及び関連するメタデータを全てカプセル化
          したものである。仮想マシンは,ハイパーバイザと呼ばれるソフトウェア層によって,基盤と
          なる物理マシンの多重利用を可能としている。
  (ISO/IEC 17203:2011の3.20を変更した。)

――――― [JIS Q 27017 pdf 5] ―――――

次のページ PDF 6