Cloud Security Alliance クラウドコントロールマトリックス4.0 監査ガイド
こんにちは、丸山満彦です。
Cloud Security Alliance (CSA) がクラウドコントロールマトリックス4.0 監査ガイドに関する文書を公表していますね。。。
このガイドは、Certificate of Cloud Auditing Knowledge ガイドの第 7 章 CCM 監査ガイドライン(特に7.5: CCM 監査ワークブック)を拡張したもので
- クラウドサービスプロバイダ(CSP)に対して CCM 監査を実施することを計画している監査人
- CCMフレームワークを利用してクラウドサービスのポートフォリオを評価するクラウドサービスカスタマ(CSC)
- CCMフレームワークを利用してクラウドのセキュリティ対策を設計、開発、実施しようとしているCSPまたはCSC
に向けて作成されたようですね。。。
● Cloud Security Alliance (CSA)
・2021.12.08 (press) Cloud Security Alliance Releases New Cloud Controls Matrix Auditing Guidelines
・2021.12.08 CCMv4.0 Auditing Guidelines
・[PDF] 簡単な質問に答えるとダウンロードできます
Executive Summary | エグゼクティブサマリー |
1. Introduction | 1. はじめに |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2 CCM Compliance Audit Documentation | 1.2 CCMコンプライアンス監査文書 |
1.3 Key Assumptions | 1.3 主な前提条件 |
1.4 Target Audience | 1.4 対象となる聴衆 |
1.5 Versioning | 1.5 バージョニング |
2. Auditing Guidelines | 2. 監査ガイドライン |
2.1 Audit and Assurance (A&A) | 2.1 監査・保証(A&A) |
2.2 Application and Interface Security (AIS) | 2.2 アプリケーション及びインターフェースのセキュリティ(AIS) |
2.3 Business Continuity Management and Operational Resilience (BCR) | 2.3 事業継続管理と運用維持(BCR) |
2.4 Change Control and Configuration Management (CCC) | 2.4 変更管理と構成管理(CCC) |
2.5 Cryptography, Encryption and Key Management (CEK) | 2.5 暗号、暗号化、鍵管理(CEK) |
2.6 Datacenter Security (DCS) | 2.6 データセンターセキュリティ(DCS) |
2.7 Data Security and Privacy Lifecycle Management (DSP) | 2.7 データセキュリティとプライバシーライフサイクル管理(DSP) |
2.8 Governance, Risk Management and Compliance (GRC) | 2.8 ガバナンス、リスクマネジメントとコンプライアンス(GRC) |
2.9 Human Resources (HRS) | 2.9 人事(HRS) |
2.10 Identity and Access Management (IAM) | 2.10 アイデンティティとアクセスの管理(IAM) |
2.11 Interoperability and Portability (IPY) | 2.11 相互運用性・移植容易性(IPY) |
2.12 Infrastructure and Virtualization Security (IVS) | 2.12 インフラと仮想化のセキュリティ(IVS) |
2.13 Logging and Monitoring (LOG) | 2.13 記録と監視(LOG) |
2.14 Security Incident Management, E-Discovery, and Cloud Forensics (SEF) | 2.14 セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジック(SEF) |
2.15 Supply Chain Management, Transparency, and Accountability (STA) | 2.15 サプライチェーンの管理、透明性と説明責任(STA) |
2.16 Threat and Vulnerability Management (TVM) | 2.16 脅威と脆弱性の管理(TVM) |
2.17 Universal Endpoint Management (UEM) | 2.17 統合エンドポイント管理(UEM) |
Acronyms | 頭字語 |
Glossary | 用語集 |
● まるちゃんの情報セッキュリティ気まぐれ日記
・2021.10.26 Cloud Security Alliance 継続的監査メトリクスカタログ at 2021.10.19
・2021.09.15 Cloud Security Alliance クラウド・コントロール・マトリクス v4.0 実装ガイダンス
・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン
・2021.01.23 Cloud Security Alliance - Cloud Controls Matrix v4を公表しましたね。。。
« Cloud Security Alliance 外部起源鍵によるクラウド鍵管理システム at 2021.12.02 | Main | 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善 »
Comments