Без кейворда

Q 27017：2016 (ISO/IEC 27017：2015)

Q 27017：2016 (ISO/IEC 27017：2015) 目次

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002に基づくクラウドサービスのための

Information technology-Security techniques-Code of practice for

information security controls based on ISO/IEC 27002 for cloud services

この規格で規定する指針は，JIS Q 27002に規定する指針に追加し，これを補うものである。

− JIS Q 27002に定める関係する管理策への追加の実施の手引

ISO/IEC 27017:2015，Information technology−Security techniques−Code of practice for information

security controls based on ISO/IEC 27002 for cloud services（IDT）

なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1に基づき，“一致している”こ

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語

注記対応国際規格：ISO/IEC 27000，Information technology−Security techniques−Information

security management systems−Overview and vocabulary（MOD）

JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範

注記対応国際規格：ISO/IEC 27002:2013，Information technology−Security techniques−Code of

practice for information security controls（IDT）

JIS X 9401 情報技術−クラウドコンピューティング−概要及び用語

注記対応国際規格：ISO/IEC 17788，Information technology−Cloud computing−Overview and

ISO/IEC 17789，Information technology−Cloud computing−Reference architecture

この規格で用いる用語及び定義は，JIS Q 27000，JIS X 9401及びISO/IEC 17789によるほか，次による。

Q 27017：2016 (ISO/IEC 27017：2015)

IaaS インフラストラクチャアズアサービス（Infrastructure as a Service）

PaaS プラットフォームアズアサービス（Platform as a Service）

個人を特定できる情報（Personally Identifiable Information）

SaaS ソフトウェアアズアサービス（Software as a Service）

SLA サービスレベル合意書（Service Level Agreement）

た。この規格は，クラウドサービス固有の情報セキュリティの脅威及びリスクに対処するため，JIS Q 27002

この規格の読者は，管理策，実施の手引及び関連情報について，JIS Q 27002の箇条5〜箇条18を参照

することが望ましい。JIS Q 27002は汎用的に適用可能であるため，その管理策，実施の手引及び関連情報

JIS Q 27002の6.1.2（職務の分離）はクラウドサービスプロバイダであるか否かを問わず適用できる管理

JIS Q 27002の拡張として，この規格は，さらに，クラウドサービスの技術的及び運用上の特徴に伴うリ

参照）を提供する。クラウドサービスカスタマ及びクラウドサービスプロバイダは，JIS Q 27002及びこの

JIS Q 27002の箇条15（供給者関係）は，供給者関係における情報セキュリティの管理のための管理策，

Q 27017：2016 (ISO/IEC 27017：2015)

め，JIS Q 27002の15.1.3（ICTサプライチェーン）が適用される。

クマネジメントを実施するための要求事項についてはJIS Q 27001を参照し，情報セキュリティリスクマ

ネジメントそのものの更なる指針については，ISO/IEC 27005を参照することを勧める。JIS Q 27001及び

ISO/IEC 27005はJIS Q 31000に整合性がとれており，そのJIS Q 31000はリスクマネジメントの一般的な

この規格は，JIS Q 27002に類似した形式で構成されている。この規格は，各箇条及び段落においてJIS

Q 27002の該当するテキストの適用を記載することによって，JIS Q 27002の箇条5〜箇条18を包含して

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002で規定する管理目的及び管理策が，追加の情報を必要とすることなく適用できる場合には，

JIS Q 27002への参照だけを示す。

JIS Q 27002の管理目的又は管理策に加えて，管理策を伴う管理目的又はJIS Q 27002の管理目的の配下

JIS Q 27002又はこの規格の附属書Aの管理策が，管理策に関連する追加のクラウドサービス固有の実施

JIS Q 27002の5.1に定める管理目的を適用する。

JIS Q 27002の5.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の5.1.2に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の6.1に定める管理目的を適用する。

JIS Q 27002の6.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の6.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の6.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の6.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の6.1.5に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の6.2に定める管理目的を適用する。

JIS Q 27002の6.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の6.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の7.1に定める管理目的を適用する。

JIS Q 27002の7.1.1に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の7.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の7.2に定める管理目的を適用する。

JIS Q 27002の7.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の7.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の7.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の7.3に定める管理目的を適用する。

JIS Q 27002の7.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の8.1に定める管理目的を適用する。

JIS Q 27002の8.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の8.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の8.1.3に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の8.1.4に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の8.2に定める管理目的を適用する。

JIS Q 27002の8.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の8.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の8.2.3に定める管理策及び付随する実施の手引を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の8.3に定める管理目的を適用する。

JIS Q 27002の8.3.1に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の8.3.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の8.3.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の9.1に定める管理目的を適用する。

JIS Q 27002の9.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の9.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の9.2に定める管理目的を適用する。

JIS Q 27002の9.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の9.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の9.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の9.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の9.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の9.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の9.3に定める管理目的を適用する。

JIS Q 27002の9.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の9.4に定める管理目的を適用する。

JIS Q 27002の9.4.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の

JIS Q 27002の9.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の9.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の9.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の9.4.5に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の10.1に定める管理目的を適用する。

JIS Q 27002の10.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の10.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の11.1に定める管理目的を適用する。

JIS Q 27002の11.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の11.1.2に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.1.3に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.1.4に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.1.5に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.1.6に定める管理策及び付随する実施の手引を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の11.2に定める管理目的を適用する。

JIS Q 27002の11.2.1に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の11.2.3に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.2.4に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の11.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の11.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の11.2.8に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の11.2.9に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の12.1に定める管理目的を適用する。

JIS Q 27002の12.1.1に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の12.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の12.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の12.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の12.2に定める管理目的を適用する。

JIS Q 27002の12.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の12.3に定める管理目的を適用する。

JIS Q 27002の12.3.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の12.4に定める管理目的を適用する。

JIS Q 27002の12.4.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の12.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の12.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の12.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の12.5に定める管理目的を適用する。

JIS Q 27002の12.5.1に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の12.6に定める管理目的を適用する。

JIS Q 27002の12.6.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の12.6.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の12.7に定める管理目的を適用する。

JIS Q 27002の12.7.1に定める管理策及び付随する実施の手引を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の13.1に定める管理目的を適用する。

JIS Q 27002の13.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の13.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の13.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の13.2に定める管理目的を適用する。

JIS Q 27002の13.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の13.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の13.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の13.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の14.1に定める管理目的を適用する。

JIS Q 27002の14.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002に定める14.1.2の管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の14.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の14.2に定める管理目的を適用する。

JIS Q 27002の14.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の14.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の14.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の14.2.4に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の14.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の14.2.6に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の14.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の14.2.8に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の14.2.9に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の14.3に定める管理目的を適用する。

JIS Q 27002の14.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の15.1に定める管理目的を適用する。

JIS Q 27002の15.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の15.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の15.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の15.2に定める管理目的を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の15.2.1に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の15.2.2に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の16.1に定める管理目的を適用する。

JIS Q 27002の16.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の16.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の16.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の16.1.4に定める管理策及び付随する実施の手引を適用する。

JIS Q 27002の16.1.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の16.1.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の16.1.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の17.1に定める管理目的を適用する。

JIS Q 27002の17.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の17.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の17.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の17.2に定める管理目的を適用する。

JIS Q 27002の17.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の18.1に定める管理目的を適用する。

JIS Q 27002の18.1.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の

JIS Q 27002の18.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の18.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の18.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。

ISO/IEC 27018［Code of practice for protection of personally identifiable information (PII) in public clouds

acting as PII processors］は，この話題に追加の情報を提供する。

JIS Q 27002の18.1.5に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の18.2に定める管理目的を適用する。

JIS Q 27002の18.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド

JIS Q 27002の18.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。

JIS Q 27002の18.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

引を記載している。管理策の管理目的がJIS Q 27002と同じ場合は管理目的の再載を省略した。

JIS Q 27001に適合するISMSにおいてこれらの管理策を実施しようとする組織は，この附属書に記載さ

JIS Q 27002の8.1に定める管理目的を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

ISO/IEC 27040（Information technology−Security techniques−Storage security）に記載されている，セキュ

JIS Q 27002の12.1に定める管理目的を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の12.4に定める管理目的を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

JIS Q 27002の13.1に定める管理目的を適用する。

Q 27017：2016 (ISO/IEC 27017：2015)

Recommendation ITU-T X.1601 (2014)，Security framework for cloud computing.

Australian Government Information Management Office 2013，Summary of Checkpoints in: Privacy and Cloud

Computing for Australian Government Agencies, Better Practice Guide, Version 1.1, February, pg. 8.

Australian Government Cyber Security Centre 2015，Cloud Computing Security for Tenants−April.

Australian Government Cyber Security Centre 2015, Cloud Computing Security for Cloud Service Providers−April.

Cloud Security Alliance 2014, Cloud Controls Matrix−January.

ENISA 2009，Cloud Computing Security Risk Assessment−November.

ENISA 2009，Cloud Computing Information Assurance Framework−November.

Hong Kong OGCIO 2013，Security & Privacy Checklist for Cloud Service Providers in Handling Personal

Identifiable Information in Cloud Platforms−April.

Hong Kong OGCIO 2013，Security Checklists for Cloud Service Consumers−January.

ISACA 2012，Security Considerations for Cloud Computing−July.

NIST, SP 800-144 2011，Guidelines on Security and Privacy in Public Cloud Computing−December.

NIST, SP 800-146 2012，Cloud Computing Synopsis and Recommendations−May.

SPRING Singapore 2012，Annex A: Virtualisation Security Risk Assessment of Singapore Technical Reference

30:2012 Technical Reference for virtualisation security for servers−March.

Q 27017：2016 (ISO/IEC 27017：2015)

SPRING Singapore 2012，Annex A: Checklist of security and service level considerations when reviewing SaaS of

Singapore Technical Reference 31:2012 Technical Reference for security and service level guidelines for the usage of

public cloud computing services−March.

SPRING Singapore 2013，Annex A: Cloud Service Provider Disclosure of Singapore Standard SS 584:2013

Specification for Multi-Tiered Cloud Computing Security−August.

SPRING Singapore 2012，Annex B: Checklist of security and service level considerations when reviewing IaaS of

Singapore Technical Reference 31:2012 Technical Reference for security and service level guidelines for the usage of

public cloud computing services−March.

SPRING Singapore 2013，Singapore Standard SS 584:2013 Specification for Multi-Tiered Cloud Computing Security

SPRING Singapore 2012，Singapore Technical Reference 30:2012 Technical Reference for virtualisation security for

SPRING Singapore 2012，Singapore Technical Reference 31:2012 Technical Reference for security and service level

guidelines for the usage of public cloud computing services−March.

US Government FedRAMP PMO 2014，FedRAMP Security Controls Baseline Version 2.0−June.

Q 27017：2016 (ISO/IEC 27017：2015)

[1] Recommendation ITU-T X.805 (2003)，Security architecture for systems providing end-to-end communications.

[2] ISO/IEC 17203:2011，Information technology−Open Virtualization Format (OVF) specification

[3] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項

注記対応国際規格：ISO/IEC 27001，Information technology−Security techniques−Information

security management systems−Requirements

[4] ISO/IEC 27005:2011，Information technology−Security techniques−Information security risk management

[5] ISO/IEC 27018:2014，Information technology−Security techniques−Code of practice for protection of

personally identifiable information (PII) in public clouds acting as PII processors

[6] ISO/IEC 27036-1:2014，Information technology−Security techniques−Information security for supplier

relationships−Part 1: Overview and concepts

[7] ISO/IEC 27036-2:2014，Information technology−Security techniques−Information security for supplier

relationships−Part 2: Requirements

[8] ISO/IEC 27036-3:2013，Information technology−Security techniques−Information security for supplier

relationships−Part 3: Guidelines for information and communication technology supply chain security

[9] ISO/IEC CD 27036-4，Information technology−Security techniques−Information security for supplier

relationships−Part 4: Guidelines for security of cloud services−(Under development)

[10] ISO/IEC 27040:2015，Information technology−Security techniques−Storage security

[11] ISO 19440:2007，Enterprise integration−Constructs for enterprise modelling

[12] JIS Q 31000:2010 リスクマネジメント−原則及び指針

注記対応国際規格：ISO 31000:2009，Risk management−Principles and guidelines

[13] NIST, SP 800-145 2011，The NIST Definition of Cloud Computing.

[14] NIST 2009，Effectively and Securely Using the Cloud Computing Paradigm.

[15] ENISA 2009，Cloud Computing Benefits, risks and recommendations for information security.

[16] Cloud Security Alliance，Security Guidance for Critical Areas of Focus in Cloud Computing V3.0.

[17] Cloud Security Alliance，Top Threats to Cloud Computing V1.0.

[18] Cloud Security Alliance，Domain 12: Guidance for Identity & Access Management V2.1.

[19] ISACA，Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives.

[20] ISACA，Cloud Computing Management Audit/Assurance Program.

📎📎📎📎📎📎📎📎📎📎