ISMSクラウドセキュリティ
ISMSクラウドセキュリティ認証は、従来からのISMSをベースにクラウドセキュリティに関する、ISO/IEC 27017を取り込んだマネジメントシステムのPDCAサイクルが構築されていることを認証するものです。認証の対象は、クラウドサービスの提供組織または利用組織で、利用するクラウドサービスの種類(IaaS、PaaS、SaaS)は問いません。ただし、他社のIaaSやPaaSの上に構築したサービスをSaaSとして提供する場合は、利用者、提供者双方の立場で認証を取得することが求められます。
対象組織
業種・業態に関わらず、あらゆる組織が認証を取得することができます。
※本認証はISO/IEC 27001のアドオン認証ですので既に認証取得している。または同時に認証取得する必要があります。
認証取得の効果
【クラウドサービス提供者(クラウドサービスプロバイダ)】
- 自社クラウドサービスの情報セキュリティの説明責任
- 自社クラウドサービスの有益性のアピール
- 自社クラウドサービスの情報セキュリティの確保
【クラウドサービス利用者(クラウドサービスカスタマ)】
- 自社ISMSにおけるクラウドリスクの点検&対応
- 自社情報セキュリティの方針群への適合性確保
- 利害関係者への情報セキュリティの説明責任(顧客、社内部門に対する安心の提供)
規格の構成
序文
1 適用範囲
2 引用規格
3 定義及び略語
3.1 用語及び定義
3.2 略語
4 クラウド分野固有の概念
4.1 概要
4.2 クラウドサービスにおける供給者関係
4.3 クラウドサービスカスタマとクラウドサービスプロバイダとの関係
4.4 クラウドサービスにおける情報セキュリティリスクの管理
4.5 規格の構成
5 情報セキュリティのための方針群
5.1 情報セキュリティのための経営陣の方向性
6 情報セキュリティのための組織
6.1 内部組織
6.2 モバイル機器及びテレワーキング
7 人的資源のセキュリティ
7.1 雇用前
7.2 雇用期間中
7.3 雇用の終了及び変更
8 資産の管理
8.1 資産に対する責任
8.2 情報分類
8.3 媒体の取扱い
9 アクセス制御
9.1 アクセス制御に対する業務上の要求事項
9.2 利用者アクセスの管理
9.3 利用者の責任
9.4 システム及びアプリケーションのアクセス制御
10 暗号
10.1 暗号による管理策
11 物理的及び環境的セキュリティ
11.1 セキュリティを保つべき領域
11.2 装置
12 運用のセキュリティ
12.1 運用の手順及び責任
12.2 マルウェアからの保護
12.3 バックアップ
12.4 ログ取得及び監視
12.5 運用ソフトウェアの管理
12.6 技術的ぜい弱性管理
12.7 情報システムの監査に対する考慮事項
13 通信のセキュリティ
13.1 ネットワークセキュリティ管理
13.2 情報の転送
14 システムの取得,開発及び保守
14.1 情報システムのセキュリティ要求事項
14.2 開発及びサポートプロセスにおけるセキュリティ
14.3 試験データ
15 供給者関係
15.1 供給者関係における情報セキュリティ
15.2 供給者のサービス提供の管理
16 情報セキュリティインシデント管理
16.1 情報セキュリティインシデントの管理及びその改善
17 事業継続マネジメントにおける
情報セキュリティの側面
17.1 情報セキュリティ継続
17.2 冗長性
18 順守
18.1 法的及び契約上の要求事項の順守
18.2 情報セキュリティのレビュー
附属書A(規定)
クラウドサービス拡張管理策集
附属書B(参考)
クラウドコンピューティングの情報セキュリティリスクに関する参考文献