/

JIS Q 27017:2016 情報技術―セキュリティ技術―JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範 | ページ 3

次のページ
8
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
全ての資産の管理責任,並びにバックアップ及び回復の運用のような,これらの資産に関連する運用に責
任をもつ当事者を,定義し,文書化することが望ましい。そうでなければ,クラウドサービスプロバイダ
は,クラウドサービスカスタマが当然これらの不可欠の業務を実施すると想定し,又はクラウドサービス
カスタマは,クラウドサービスプロバイダが当然これらの不可欠な業務を実施すると想定することによっ
て,データの消失が発生するリスクがある。
6.1.2  職務の分離
  JIS Q 27002の6.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。
6.1.3  関係当局との連絡
  JIS Q 27002の6.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,クラウドサービス    クラウドサービスプロバイダは,クラウドサービ
カスタマ及びクラウドサービスプロバイダが併せ    スカスタマに,クラウドサービスプロバイダの組織
て行う操作に関連する関係当局を特定することが    の地理的所在地,及びクラウドサービスプロバイダ
望ましい。                                      が,クラウドサービスカスタマデータを保存する可
                                                能性のある国を通知することが望ましい。
クラウドサービスのための関連情報
  クラウドサービスカスタマデータを保存,処理又は伝送する可能性のある地理的位置の情報は,クラウ
ドサービスカスタマが,監督官庁及び法域を決定することに役立つ。
6.1.4  専門組織との連絡
  JIS Q 27002の6.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。
6.1.5  プロジェクトマネジメントにおける情報セキュリティ
  JIS Q 27002の6.1.5に定める管理策及び付随する実施の手引を適用する。

6.2 モバイル機器及びテレワーキング

  JIS Q 27002の6.2に定める管理目的を適用する。
6.2.1  モバイル機器の方針
  JIS Q 27002の6.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。
6.2.2  テレワーキング
  JIS Q 27002の6.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

7 人的資源のセキュリティ

7.1 雇用前

  JIS Q 27002の7.1に定める管理目的を適用する。
7.1.1  選考
  JIS Q 27002の7.1.1に定める管理策及び付随する実施の手引を適用する。
7.1.2  雇用条件
  JIS Q 27002の7.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

――――― [JIS Q 27017 pdf 11] ―――――

                                                                                              9
                                                              Q 27017 : 2016 (ISO/IEC 27017 : 2015)

7.2 雇用期間中

  JIS Q 27002の7.2に定める管理目的を適用する。
7.2.1  経営陣の責任
  JIS Q 27002の7.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。
7.2.2  情報セキュリティの意識向上,教育及び訓練
  JIS Q 27002の7.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,関連する従業員及    クラウドサービスプロバイダは,クラウドサービ
び契約相手を含む,クラウドサービスビジネスマネ  スカスタマデータ及びクラウドサービス派生データ
ージャ,クラウドサービス実務管理者,クラウドサ  を適切に取り扱うために,従業員に,意識向上,教
ービスインテグレータ及びクラウドサービスユー    育及び訓練を提供し,契約相手に同様のことを実施
ザのための,意識向上,教育及び訓練のプログラム  するよう要求することが望ましい。これらのデータ
に,次の事項を追加することが望ましい。          には,クラウドサービスカスタマの機密情報,又は
− クラウドサービスの利用のための標準及び手順   クラウドサービスプロバイダによるアクセス及び利
− クラウドサービスに関連する情報セキュリティ   用について,規制による制限を含む,特定の制限が
    リスク,及びそれらのリスクをどのように管理  課されたデータを含む可能性がある。
    するか
− クラウドサービスの利用に伴うシステム及びネ
    ットワーク環境のリスク
− 適用法令及び規制上の考慮事項
  クラウドサービスに関する情報セキュリティの
意識向上,教育及び訓練のプログラムは,経営陣及
び監督責任者(事業単位の経営陣及び監督責任者を
含む。)に提供することが望ましい。このことは,
情報セキュリティ活動の有効な協調を支援する。
7.2.3  懲戒手続
  JIS Q 27002の7.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

7.3 雇用の終了及び変更

  JIS Q 27002の7.3に定める管理目的を適用する。
7.3.1  雇用の終了又は変更に関する責任
  JIS Q 27002の7.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

8 資産の管理

8.1 資産に対する責任

  JIS Q 27002の8.1に定める管理目的を適用する。
8.1.1  資産目録
  JIS Q 27002の8.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

――――― [JIS Q 27017 pdf 12] ―――――

10
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマの資産目録には,クラ    クラウドサービスプロバイダの資産目録では,次
ウドコンピューティング環境に保存される情報及    のデータを明確に識別することが望ましい。
び関連資産も記載することが望ましい。目録の記録  − クラウドサービスカスタマデータ
では,例えば,クラウドサービスの特定など,資産  − クラウドサービス派生データ
を保持している場所を示すことが望ましい。
クラウドサービスのための関連情報
  クラウドサービス派生データをクラウドサービスカスタマデータに付加することで,情報管理のための
機能を提供するようなクラウドサービスがある。そのようなクラウドサービス派生データを資産として特
定し,これを資産目録に保持することは情報セキュリティの向上になり得る。
8.1.2  資産の管理責任
  JIS Q 27002の8.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。
クラウドサービスのための関連情報
  資産の管理責任は,利用しているクラウドサービスの分類によって異なる場合がある。PaaS又はIaaS
を利用している場合,アプリケーションソフトウェアはクラウドサービスカスタマに属することになる。
一方でSaaSの場合,アプリケーションソフトウェアはクラウドサービスプロバイダに属することになる。
8.1.3  資産利用の許容範囲
  JIS Q 27002の8.1.3に定める管理策及び付随する実施の手引を適用する。
8.1.4  資産の返却
  JIS Q 27002の8.1.4に定める管理策及び付随する実施の手引を適用する。

8.2 情報分類

  JIS Q 27002の8.2に定める管理目的を適用する。
8.2.1  情報の分類
  JIS Q 27002の8.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。
8.2.2  情報のラベル付け
  JIS Q 27002の8.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,採用したラベル付    クラウドサービスプロバイダは,クラウドサービ
けの手順に従って,クラウドコンピューティング環  スカスタマが情報及び関連資産を分類し,ラベル付
境に保持する情報及び関連資産にラベル付けをす    けするためのサービス機能を文書化し,開示するこ
ることが望ましい。適用可能な場合には,クラウド  とが望ましい。
サービスプロバイダが提供する,ラベル付けを支援
する機能が採用できる。
8.2.3  資産の取扱い
  JIS Q 27002の8.2.3に定める管理策及び付随する実施の手引を適用する。

――――― [JIS Q 27017 pdf 13] ―――――

                                                                                             11
                                                              Q 27017 : 2016 (ISO/IEC 27017 : 2015)

8.3 媒体の取扱い

  JIS Q 27002の8.3に定める管理目的を適用する。
8.3.1  取外し可能な媒体の管理
  JIS Q 27002の8.3.1に定める管理策及び付随する実施の手引を適用する。
8.3.2  媒体の処分
  JIS Q 27002の8.3.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。
8.3.3  物理的媒体の輸送
  JIS Q 27002の8.3.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

9 アクセス制御

9.1 アクセス制御に対する業務上の要求事項

  JIS Q 27002の9.1に定める管理目的を適用する。
9.1.1  アクセス制御方針
  JIS Q 27002の9.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。
9.1.2  ネットワーク及びネットワークサービスへのアクセス
  JIS Q 27002の9.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマの,ネットワークサー    (追加の実施の手引なし)
ビス利用のためのアクセス制御方針では,利用する
それぞれのクラウドサービスへの利用者アクセスの
要求事項を定めることが望ましい。

9.2 利用者アクセスの管理

  JIS Q 27002の9.2に定める管理目的を適用する。
9.2.1  利用者登録及び登録削除
  JIS Q 27002の9.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  (追加の実施の手引なし)                        クラウドサービスカスタマのクラウドサービスユ
                                                ーザによるクラウドサービスへのアクセスを管理す
                                                るため,クラウドサービスプロバイダは,クラウド
                                                サービスカスタマに利用者登録・登録削除の機能及
                                                びそれを利用するための仕様を提供することが望ま
                                                しい。
9.2.2  利用者アクセスの提供(provisioning)
  JIS Q 27002の9.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。

――――― [JIS Q 27017 pdf 14] ―――――

12
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  (追加の実施の手引なし)                        クラウドサービスプロバイダは,クラウドサービ
                                                スカスタマのクラウドサービスユーザのアクセス権
                                                を管理する機能及びそれを利用するための仕様を提
                                                供することが望ましい。
クラウドサービスのための関連情報
  クラウドサービスプロバイダは,第三者のアイデンティティ管理技術及びアクセス管理技術を,提供す
るクラウドサービス及び関連する管理インタフェースで利用できるように支援することが望ましい。これ
らの技術は,シングルサインオンとして提供することによって,クラウドサービスカスタマの複数のシス
テム及びクラウドサービスにまたがる統合及び利用者のアイデンティティ管理を容易にし得るものであり,
複数のクラウドサービスの利用も容易にし得る。
9.2.3  特権的アクセス権の管理
  JIS Q 27002の9.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,クラウドサービス    クラウドサービスプロバイダは,クラウドサービ
実務管理者に管理権限を与える認証に,特定したリ  スカスタマのクラウドサービス実務管理者がその役
スクに応じ,十分に強い認証技術(例えば,多要素  割を行えるように,クラウドサービスカスタマが特
認証)を用いることが望ましい。                  定するリスクに応じた,十分に強い認証技術を提供
                                                することが望ましい。例えば,クラウドサービスプ
                                                ロバイダは,多要素認証機能を提供し,又は第三者
                                                の多要素認証メカニズムを利用可能とすることがで
                                                きる。
9.2.4  利用者の秘密認証情報の管理
  JIS Q 27002の9.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,パスワードなどの    クラウドサービスプロバイダは,秘密認証情報を
秘密認証情報を割り当てるための,クラウドサービ  割り当てる手順,及び利用者認証手順を含む,クラ
スプロバイダの管理手順が,クラウドサービスカス  ウドサービスカスタマの秘密認証情報の管理のため
タマの要求事項を満たすことを検証することが望    の手順について情報を提供することが望ましい。
ましい。
クラウドサービスのための関連情報
  クラウドサービスカスタマは,自らの又は第三者のアイデンティティ管理技術及びアクセス管理技術を
利用することで秘密認証情報の管理を行うことが望ましい。

――――― [JIS Q 27017 pdf 15] ―――――

次のページ PDF 16

JIS Q 27017:2016の引用国際規格 ISO 一覧

  • ISO/IEC 27017:2015(IDT)

JIS Q 27017:2016の国際規格 ICS 分類一覧

JIS Q 27017:2016の関連規格と引用規格一覧

ページ