最新ISO 27017とISO 27018がよ～くわかる本

編著者：打川和男
出版社：秀和システム
発行日：2017年3月

年々拡大、増加する企業のクラウドサービス利用の一方で、そのクラウドサービスのセキュリティ面に関する不安も増大しています。
本書は、クラウドサービスに特化した情報セキュリティの国際規格ISO/IEC 27017と、クラウドサービスにおける個人情報保護に特化したISO/IEC 27018について、その規格の概要から、発行の背景、クラウドセキュリティのISMS構築ステップ、追加管理策及び付属書Aの解説を含めた認証プロセスまでを豊富な図解でわかりやすく解説した入門書です。
クラウドサービスを提供する側だけでなく、利用する側にとっても、責任ある企業として必須の国際規格が学べます。

第1章クラウドコンピューティングとは
- 1-1 クラウドコンピューティングとは
- 1-2 クラウドサービスとは
- 1-3 クラウドサービスの動向
第2章 ISO及びISO/IEC 27000ファミリー規格とは
- 2-1 ISO（国際）規格とは？
- 2-2 ISO（国際標準化機構）とは？
- 2-3 ISOマネジメントシステム規格
- 2-4 ISO/IEC 27001とは？
- 2-5 ISO/IEC 27000ファミリー規格
第3章クラウドセキュリティのISO規格とは
- 3-1 クラウドセキュリティのISO/IEC 27017とは？
- 3-2 ISO/IEC 27017の規格の概要
- 3-3 クラウド個人情報保護のISO 27018とは？
- 3-4 ISO/IEC 27018の規格の概要
第4章経済産業省のガイドラインとは
- 4-1 クラウドサービス利用のための情報セキュリティマネジメントガイドラインとは
- 4-2 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの構成
- 4-3 クラウドサービス利用のための情報セキュリティマネジメントガイドラインとJIS Q 27002:2014との対比
第5章 ISO/IEC 27017の追加管理策を理解する
- 5-1 5. 情報セキュリティのための方針群
- 5-2 6. 情報セキュリティのための組織 6.1.1 情報セキュリティの役割及び責任
- 5-3 6. 情報セキュリティのための組織 6.1.3 関係当局との連絡
- 5-4 7. 人的資源のセキュリティ
- 5-5 8. 資産の管理 8.1.1 資産目録＆8.1.2 資産の管理責任
- 5-6 8. 資産の管理 8.2.2 情報のラベル付け
- 5-7 9. アクセス制御 9.1.2 ネットワーク及びネットワークサービスへのアクセス
- 5-8 9. アクセス制御 9.2.1 利用者登録及び登録削除
- 5-9 9. アクセス制御 9.2.2 利用者アクセスの提供
- 5-10 9. アクセス制御 9.2.3 特権的アクセス権の管理
- 5-11 9. アクセス制御 9.2.4 利用者の秘密認証情報の管理
- 5-12 9. アクセス制御 9.4.1 情報へのアクセス制限
- 5-13 9. アクセス制御 9.4.4 特権的なユーティリティプログラムの使用
- 5-14 10. 暗号 10.1.1 暗号による管理策の利用方針
- 5-15 10. 暗号 10.1.2 鍵管理
- 5-16 11. 物理的及び環境的セキュリティ 11.2.7 装置のセキュリティを保った処分又は再利用
- 5-17 12. 運用のセキュリティ 12.1.2 変更管理
- 5-18 12. 運用のセキュリティ 12.1.3 容量・能力の管理
- 5-19 12. 運用のセキュリティ 12.3.1 情報のバックアップ
- 5-20 12. 運用のセキュリティ 12.4.1 イベントログ取得
- 5-21 12. 運用のセキュリティ 12.4.3 実務管理者及び運用担当者の作業ログ
- 5-22 12. 運用のセキュリティ 12.4.4 クロックの同期
- 5-23 12. 運用のセキュリティ 12.6.1 技術的ぜい弱性の管理
- 5-24 13. 通信のセキュリティ 13.1.3 ネットワークの分離
- 5-25 14. システムの取得、開発及び保守 14.1.1 情報セキュリティ要求事項の分析及び仕様化
- 5-26 14. システムの取得、開発及び保守 14.2.1 セキュリティに配慮した開発のための方針
- 5-27 15. 供給者関係 15.1.1 供給者関係のための情報セキュリティの方針
- 5-28 15. 供給者関係 15.1.2 供給者との合意におけるセキュリティの取扱い
- 5-29 15. 供給者関係 15.1.3 ICTサプライチェーン
- 5-30 16. 情報セキュリティインシデント管理 16.1.1 責任及び手順
- 5-31 16. 情報セキュリティインシデント管理 16.1.2 情報セキュリティ事象の報告
- 5-32 16. 情報セキュリティインシデント管理 16.1.7 証拠の収集
- 5-33 18. 順守 18.1.1 適用法令及び契約上の要求事項の特定
- 5-34 18. 順守 18.1.2 知的財産権
- 5-35 18. 順守 18.1.3 記録の保護
- 5-36 18. 順守 18.1.5 暗号化機能に対する規制
- 5-37 18. 順守 18.2.1 情報セキュリティの独立したレビュー
第6章 ISO/IEC 27017の附属書Aを理解する
- 6-1 附属書AのCLD.6.3及びCLD.8.1
- 6-2 附属書AのCLD.9.5 CLD.9.5.1 仮想コンピューティング環境における分離
- 6-3 附属書AのCLD.9.5 CLD.9.5.2 仮想マシンの要塞化
- 6-4 附属書AのCLD.12.1 運用の手順及び責任
- 6-5 附属書AのCLD.13.1 ネットワークセキュリティ管理
第7章 ISO/IEC 27018の追加管理策を理解する
- 7-1 5. 情報セキュリティのための方針群
- 7-2 6. 情報セキュリティのための組織
- 7-3 7. 人的資源のセキュリティ
- 7-4 9. アクセス制御
- 7-5 10. 暗号 11.物理的及び環境的セキュリティ
- 7-6 12. 運用のセキュリティ 12.1.4 開発環境、試験環境及び運用環境の分離12.3.1 情報のバックアップ
- 7-7 12. 運用のセキュリティ 12.4.1 イベントログ取得 12.4.2 ログ情報の保護
- 7-8 13.通信のセキュリティ
- 7-9 16.情報セキュリティインシデント管理
- 7-10 18.順守
第8章 ISO/IEC 27018の附属書Aを理解する
- 8-1 附属書A A.1 同意と選択 A.1.1 PII主体の権利の行使に関する協力の義務
- 8-2 附属書A A.2 合法的目的の明確化 A.2.1 パブリッククラウドPIIプロセッサの目的 A.2.2 パブリッククラウドPIIプロセッサの商業的利用
- 8-3 附属書A A.4 データの最小化 A.4.1 一時的ファイルの安全な削除
- 8-4 附属書A A.5 利用、保持、開示の制限 A.5.1 PII開示の通知 A.5.2 PII開示の記録
- 8-5 附属書A A.7 公開性、透明性、及び通知 A.7.1 サブコントラクタによるPII処理の開示
- 8-6 附属書A A.9 説明責任 A.9.1 PIIを含むデータ侵害の通知
- 8-7 附属書A A.9 説明責任 A.9.2 管理セキュリティ方針及びガイドラインの維持期間 A.9.3 PIIの返却、転送、及び廃棄
- 8-8 附属書A A.10 情報セキュリティ A.10.1 機密保持同意書
- 8-9 附属書A A.10 情報セキュリティ A.10.2、A.10.3、A.10.4、A.10.5
- 8-10 附属書A A.10 情報セキュリティ A.10.6、A.10.7、A.10.8、A.10.9
- 8-11 附属書A A.10 情報セキュリティ A.10.10 ユーザIDの管理、A.10.11 契約における施策
- 8-12 附属書A A.10 情報セキュリティ A.11 プライバシーコンプライアンス
第9章クラウドセキュリティのISMSを構築する
- 9-1 クラウドセキュリティのマネジメントシステムの構築ステップ
- 9-2 Gap分析及びリスクアセスメント
- 9-3 手順の文書化
- 9-4 導入教育
- 9-5 内部監査とマネジメントレビューの実施
第10章クラウドセキュリティのISO規格の認定・認証制度を理解する
- 10-1 ISO/IEC 27001の認定・認証制度
- 10-2 ISO/IEC 27018の認証制度
- 10-3 ISO/IEC 27017の認証制度
第11章クラウドセキュリティのISO規格の認証審査を受審する
- 11-1 クラウドセキュリティの認証取得のメリット
- 11-2 ISO/IEC 27001及びISO/IEC 27017やISO/IEC 27018の認証審査までのステップ
- 11-3 ISO/IEC 27001の初回認証審査
- 11-4 ISO/IEC 27001及びISO/IEC 27017やISO/IEC 27018の維持審査と更新審査
お問い合わせ
ISO/IEC 27017・ISO/IEC 27018に関するお問い合わせ