情報セキュリティマネジメントシステム
ISMS(情報セキュリティマネジメントシステム)とは、明確な方針や規定に基づき、情報資産のセキュリティ(機密性・完全性・可用性)を維持・管理するための仕組みです。ISMSに関する国際規格はISO/IEC2700ファミリと呼ばれており、日本でもJIS化すると伴に、ISMS適合性評価制度(JIPDEC)が2001年より運用されています。
ISO/IEC2700ファミリ
ISO/IEC2700ファミリの中で特に重要な規格は以下になります。
- ISO/IEC 27001:情報セキュリティマネジメントシステム要求事項
- ISO/IEC 27002:情報セキュリティ管理策の実践のための規範
ISO/IEC 27001には、組織がISMSを確立・実施し、継続的に改善するための要求事項が規定されています。ISO/IEC 27002には、組織がISMSを実施するためのガイドラインで、管理策が示されています。
ISMS適合性評価制度
ISMS適合性評価制度とは、組織のISMSが、ISO/IEC 27001に適合しているかの認定を行います。作業の流れは以下になります。
- 組織内の適用範囲の決定
- 情報セキュリティ方針(ポリシ)の確立
- リスクアセスメントの方法を決定
- 情報資産、脅威、脆弱性の洗い出し
- リスクレベルの算定
- リスク対応(回避、移転、軽減、受容)の決定
- 管理策の決定
- リスク対応計画と適用宣言書の作成
ISMS適合性評価制度は、半年~1年に1回の頻度で継続審査を受けるとともに、3年に1回は更新審査を受ける必要があります。ISMSは、以下のPDCA(Plan/Do/See/Action)の4つのステップを繰り返しながら継続的に運用することが推奨されています。
情報セキュリティ管理策
情報セキュリティ管理策(ISO/IEC 27002)は、以下の14のカテゴリから構成されます。
| A.5 | 情報セキュリティのための方針群 |
| A.6 | 情報セキュリティのための組織 |
| A.7 | 人的資源のセキュリティ |
| A.8 | 資産の管理 |
| A.9 | アクセス制御 |
| A.10 | 暗号 |
| A.11 | 物理的及び環境的セキュリティ |
| A.12 | 運用のセキュリティ |
| A.13 | 通信のセキュリティ |
| A.14 | システムの取得、開発及び保守 |
| A.15 | 供給者関係 |
| A.16 | 情報セキュリティインシデント管理 |
| A.17 | 事業継続マネジメントにおける情報セキュリティの側面 |
| A.18 | 順守 |
以下、特に技術的対策について以下の述べます。
A.5 情報セキュリティのための方針群
- 情報セキュリティのための経営陣の方向性
情報セキュリティのための経営陣の方向性及び支持を、事業上の要求事項並びに関連する法令及び規制に従って提示することを目的とします。- 情報セキュリティのための方針群
情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員及び関連する外部関係者に通知することが望ましい。 - 情報セキュリティのための方針群のレビュー
情報セキュリティのための方針群は、あらかじめ定めた間隔で、又は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューすることが望ましい。
- 情報セキュリティのための方針群
A.6 情報セキュリティのための組織
- 内部組織
組織内で情報セキュリティの実施及び運用に着手し、これを統制するための管理上の枠組みを確立することを目的とします。- 情報セキュリティの役割及び責任
全ての情報セキュリティの責任を定め、割り当てることが望ましい。 - 職務の分離
相反する職務及び責任範囲は,組織の資産に対する、認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために、分離することが望ましい。 - 関係当局との連絡
関係当局との適切な連絡体制を維持することが望ましい。 - 専門組織との連絡
情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持することが望ましい。 - プロジェクトマネジメントにおける情報セキュリティ
プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては,情報セキュリティに取り組むことが望ましい。
- 情報セキュリティの役割及び責任
- モバイル機器及びテレワーキング
モバイル機器の利用及びテレワーキングに関するセキュリティを確実にすることを目的とします。- モバイル機器の方針
モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用することが望ましい。 - テレワーキング
テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、針及びその方針を支援するセキュリティ対策を実施することが望ましい。
- モバイル機器の方針
A.7 人的資源のセキュリティ
- 雇用前
従業員及び契約相手がその責任を理解し、求められている役割にふさわしいことを確実にすることを目的とします。- 選考
全ての従業員候補者についての経歴などの確認は、関連する法令、規制及び倫理に従って行うことが望ましい。また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行うことが望ましい。 - 雇用条件
従業員及び契約相手との雇用契約書には、情報セキュリティに関する各自の責任及び組織の責任を記載することが望ましい。
- 選考
- 雇用期間中
従業員及び契約相手が、情報セキュリティの責任を認識し、かつ、その責任を遂行することを確実にすることを目的とします。- 経営陣の責任
経営陣は,組織の確立された方針及び手順に従った情報セキュリティの適用を、全ての従業員及び契約相手に要求することが望ましい。 - 情報セキュリティの意識向上、教育及び訓練
組織の全ての従業員、及び関係する場合には契約相手は、職務に関連する組織の方針及び手順についての、適切な、意識向上のための教育及び訓練を受け、また、定めに従ってその更新を受けることが望ましい。 - 懲戒手続
情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備えることが望ましい。
- 経営陣の責任
- 雇用の終了及び変更
雇用の終了又は変更のプロセスの一部として、組織の利益を保護することを目的とします。- 雇用の終了又は変更に関する責任
雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、その従業員又は契約相手に伝達し、かつ、遂行させることが望ましい。
- 雇用の終了又は変更に関する責任
A.8 資産の管理
- 資産に対する責任
組織の資産を特定し、適切な保護の責任を定めることを目的とします。- 資産目録
情報及び情報処理施設に関連する資産を特定することが望ましい。また、これらの資産の目録を、作成し、維持することが望ましい。 - 資産の管理責任
目録の中で維持される資産は、管理されることが望ましい。 - 資産利用の許容範囲
情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施することが望ましい。
- 資産目録
- 情報分類
組織に対する情報の重要性に応じて、情報の適切なレベルでの保護を確実にすることを目的とします。- 情報の分類
情報は,法的要求事項、価値、重要性、及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から、分類することが望ましい。 - 情報のラベル付け
情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施することが望ましい。 - 資産の取扱い
資産の取扱いに関する手順は、組織が採用した情報分類体系に従って策定し、実施することが望ましい。
- 情報の分類
- 媒体の取扱い
媒体に保存された情報の認可されていない開示、変更、除去又は破壊を防止することを目的とします。- 取外し可能な媒体の管理
組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施することが望ましい。 - 媒体の処分
媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分することが望ましい。 - 物理的媒体の輸送
情報を格納した媒体は、輸送の途中における、認可されていないアクセス、不正使用又は破損から保護することが望ましい。
- 取外し可能な媒体の管理
A.9 アクセス制御
- アクセス制御に対する業務上の要求事項
情報及び情報処理施設へのアクセスを制限することを目的とします。- アクセス制御方針
アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューすることが望ましい。 - ネットワーク及びネットワークサービスへのアクセス
利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供することが望ましい。
- アクセス制御方針
- 利用者アクセスの管理
システム及びサービスへの、認可された利用者のアクセスを確実にし、認可されていないアクセスを防止することを目的とします。- 利用者登録及び登録削除
アクセス権の割当てを可能にするために、利用者の登録及び登録削除についての正式なプロセスを実施することが望ましい。 - 利用者アクセスの提供(provisioning)
全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施することが望ましい。 - 特権的アクセス権の管理
特権的アクセス権の割当て及び利用は、制限し、管理することが望ましい。 - 利用者の秘密認証情報の管理
秘密認証情報の割当ては,正式な管理プロセスによって管理することが望ましい。 - 利用者アクセス権のレビュー
資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューすることが望ましい。 - アクセス権の削除又は修正
全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正することが望ましい。
- 利用者登録及び登録削除
- 利用者の責任
利用者に対して、自らの秘密認証情報を保護する責任をもたせることを目的とします。- 秘密認証情報の利用
秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求することが望ましい。
- 秘密認証情報の利用
- システム及びアプリケーションのアクセス制御
システム及びアプリケーションへの、認可されていないアクセスを防止することを目的とします。- 情報へのアクセス制限
情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って,制限することが望ましい。 - セキュリティに配慮したログオン手順
アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御することが望ましい。 - パスワード管理システム
パスワード管理システムは、対話式とすることが望ましく、また、良質なパスワードを確実とするものが望ましい。 - 特権的なユーティリティプログラムの使用
システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理することが望ましい。 - プログラムソースコードへのアクセス制御
プログラムソースコードへのアクセスは、制限することが望ましい。
- 情報へのアクセス制限
A.10 暗号
情報資産の機密性、完全性を保護するため、暗号を利用します。暗号鍵の管理は、生成、配布、保管、破棄などのライフサイクルでルールを作成します。
- 暗号による管理策
情報の機密性、真正性及び/又は完全性を保護するために、暗号の適切かつ有効な利用を確実にすることを目的とします。
- 暗号による管理策の利用方針
情報を保護するための暗号による管理策の利用に関する方針は、策定し、実施することが望ましい。 - 鍵管理
暗号鍵の利用、保護及び有効期間(lifetime)に関する方針を策定し、そのライフサイクル全体にわたって実施することが望ましい。
- 暗号による管理策の利用方針
A.11 物理的及び環境的セキュリティ
セキュリティを保つべき領域を定め、入退室管理を行い部外者の立ち入りを制限します。また、装置に設置については、資産の損傷・盗難・劣化等を考慮します。
- セキュリティを保つべき領域
組織の情報及び情報処理施設に対する認可されていない物理的アクセス、損傷及び妨害を防止することを目的とします。- 物理的セキュリティ境界
取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いることが望ましい。 - 物理的入退管理策
セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護することが望ましい。 - オフィス、部屋及び施設のセキュリティ
オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用することが望ましい。 - 外部及び環境の脅威からの保護
自然災害、悪意のある攻撃又は事故に対する物理的な保護を設計し、適用することが望ましい。 - セキュリティを保つべき領域での作業
セキュリティを保つべき領域での作業に関する手順を設計し、適用することが望ましい。 - 受渡場所
荷物の受渡場所などの立寄り場所、及び認可されていない者が施設に立ち入ることもあるその他の場所は、管理することが望ましい。また、可能な場合には、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離すことが望ましい。
- 物理的セキュリティ境界
- 装置
資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を防止することを目的とします。- 装置の設置及び保護
装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護することが望ましい。 - サポートユーティリティ
装置は、サポートユーティリティの不具合による、停電、その他の故障から保護することが望ましい。 - ケーブル配線のセキュリティ
データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は、傍受、妨害又は損傷から保護することが望ましい。 - 装置の保守
装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守することが望ましい。 - 資産の移動
装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出さないことが望ましい。 - 構外にある装置及び資産のセキュリティ
構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用することが望ましい。 - 装置のセキュリティを保った処分又は再利用
記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、又はセキュリティを保って上書きしていることを確実にするために、検証することが望ましい。 - 無人状態にある利用者装置
利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にすることが望ましい。 - クリアデスク・クリアスクリーン方針
書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用することが望ましい。
- 装置の設置及び保護
A.12 運用のセキュリティ
マルウェアからの保護、データのバックアップ、ログの取得と管理、技術的脆弱性管理などを実施します。運用の手順書を作成し、責任者を明確にする必要があります。
- 12.1 運用の手順及び責任
情報処理設備の正確かつセキュリティを保った運用を確実にすることを目的とします。- 操作手順書
操作手順は、文書化し、必要とする全ての利用者に対して利用可能とすることが望ましい。 - 変更管理
情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更は、管理することが望ましい。 - 容量・能力の管理
要求されたシステム性能を満たすことを確実にするために、資源の利用を監視・調整し、また、将来必要とする容量・能力を予測することが望ましい。 - 開発環境、試験環境及び運用環境の分離
開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離することが望ましい。
- 操作手順書
- マルウェアからの保護
情報及び情報処理施設がマルウェアから保護されることを確実にすることを目的とします。- マルウェアに対する管理策
ルウェアから保護するために、利用者に適切に認識させることと併せて、検出、予防及び回復のための管理策を実施することが望ましい。
- マルウェアに対する管理策
- バックアップ
データの消失から保護することを目的とします。- 情報のバックアップ
情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査することが望ましい。
- 情報のバックアップ
- ログ取得及び監視
イベントを記録し、証拠を作成することを目的とします。- イベントログ取得
利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューすることが望ましい。 - ログ情報の保護
ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護することが望ましい。 - 実務管理者及び運用担当者の作業ログ
システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューすることが望ましい。 - クロックの同期
組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは、単一の参照時刻源と同期させることが望ましい。
- イベントログ取得
- 運用ソフトウェアの管理
運用システムの完全性を確実にすることを目的とします。- 運用システムに関わるソフトウェアの導入
運用システムに関わるソフトウェアの導入を管理するための手順を実施することが望ましい。
- 運用システムに関わるソフトウェアの導入
- 技術的ぜい弱性管理
技術的ぜい弱性の悪用を防止することを目的とします。- 技術的ぜい弱性の管理
利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得することが望ましい。また、そのようなぜい弱性に組織がさらされている状況を評価することが望ましい。さらに、それらと関連するリスクに対処するために、適切な手段をとることが望ましい。 - ソフトウェアのインストールの制限
利用者によるソフトウェアのインストールを管理する規則を確立し、実施することが望ましい。
- 技術的ぜい弱性の管理
- 情報システムの監査に対する考慮事項
運用システムに対する監査活動の影響を最小限にすることを目的とします。- 情報システムの監査に対する管理策
運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意することが望ましい。
- 情報システムの監査に対する管理策
A.13 通信のセキュリティ
ネットワークの分離、通信データの暗号化、ログ監視を実施します。
- ネットワークセキュリティ管理
ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にすることを目的とします。- ネットワーク管理策
システム及びアプリケーション内の情報を保護するために、ネットワークを管理し,制御することが望ましい。 - ネットワークサービスのセキュリティ
組織が自ら提供するか外部委託しているかを問わず、全てのネットワークサービスについて、セキュリティ機能、サービスレベル及び管理上の要求事項を特定し、また、ネットワークサービス合意書にもこれらを盛り込むことが望ましい。 - ネットワークの分離
情報サービス、利用者及び情報システムは、ネットワーク上で、グループごとに分離することが望ましい。
- ネットワーク管理策
- 情報の転送
組織の内部及び外部に転送した情報のセキュリティを維持することを目的とします。- 情報転送の方針及び手順
あらゆる形式の通信設備を利用した情報転送を保護するために、正式な転送方針、手順及び管理策を備えることが望ましい。 - 情報転送に関する合意
合意では、組織と外部関係者との間の業務情報のセキュリティを保った転送について、取り扱うことが望ましい。 - 電子的メッセージ通信
電子的メッセージ通信に含まれた情報は、適切に保護することが望ましい。 - 秘密保持契約又は守秘義務契約
情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューし、文書化することが望ましい。
- 情報転送の方針及び手順
A.14 システムの取得、開発及び保守
- 情報システムのセキュリティ要求事項
ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にすることを目的とします。これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含みます。- 情報セキュリティ要求事項の分析及び仕様化
情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含めることが望ましい。 - 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約紛争、並びに認可されていない開示及び変更から保護することが望ましい。 - アプリケーションサービスのトランザクションの保護
アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止するために、保護することが望ましい。
− 不完全な通信
− 誤った通信経路設定
− 認可されていないメッセージの変更
− 認可されていない開示
− 認可されていないメッセージの複製又は再生
- 情報セキュリティ要求事項の分析及び仕様化
- 開発及びサポートプロセスにおけるセキュリティ
情報システムの開発サイクルの中で情報セキュリティを設計し、実施することを確実にすることを目的とします。- セキュリティに配慮した開発のための方針
ソフトウェア及びシステムの開発のための規則は、組織内において確立し、開発に対して適用することが望ましい。 - システムの変更管理手順
開発のライフサイクルにおけるシステムの変更は、正式な変更管理手順を用いて管理することが望ましい。 - オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
オペレーティングプラットフォームを変更するときは、組織の運用又はセキュリティに悪影響がないことを確実にするために、重要なアプリケーションをレビューし、試験することが望ましい。 - パッケージソフトウェアの変更に対する制限
パッケージソフトウェアの変更は、抑止し、必要な変更だけに限ることが望ましい。また,全ての変更は,厳重に管理することが望ましい。 - セキュリティに配慮したシステム構築の原則
セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持し,全ての情報システムの実装に対して適用することが望ましい。 - セキュリティに配慮した開発環境
組織は,全てのシステム開発ライフサイクルを含む、システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保護することが望ましい。 - 外部委託による開発
組織は,外部委託したシステム開発活動を監督し、監視することが望ましい。 - システムセキュリティの試験
セキュリティ機能の試験は、開発期間中に実施することが望ましい。 - システムの受入れ試験
新しい情報システム、及びその改訂版・更新版のために、受入れ試験のプログラム及び関連する基準を確立することが望ましい。
- セキュリティに配慮した開発のための方針
- 試験データ
試験に用いるデータの保護を確実にすることを目的とします。- 試験データの保護
試験データは、注意深く選定し、保護し、管理することが望ましい。
- 試験データの保護
A.15 供給者関係
- 供給者関係における情報セキュリティ
供給者がアクセスできる組織の資産の保護を確実にすることを目的とします。- 供給者関係のための情報セキュリティの方針
組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化することが望ましい。 - 供給者との合意におけるセキュリティの取扱い
関連する全ての情報セキュリティ要求事項を確立し、組織の情報に対して、アクセス、処理、保存若しくは通信を行う、又は組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意することが望ましい。 - ICTサプライチェーン
供給者との合意には、情報通信技術(ICT)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含めることが望ましい。
- 供給者関係のための情報セキュリティの方針
- 供給者のサービス提供の管理
供給者との合意に沿って、情報セキュリティ及びサービス提供について合意したレベルを維持することを目的とします。- 供給者のサービス提供の監視及びレビュー
組織は、供給者のサービス提供を定常的に監視し、レビューし、監査することが望ましい。 - 供給者のサービス提供の変更に対する管理
関連する業務情報、業務システム及び業務プロセスの重要性、並びにリスクの再評価を考慮して、供給者によるサービス提供の変更を管理することが望ましい。
- 供給者のサービス提供の監視及びレビュー
A.16 情報セキュリティインシデント管理
- 情報セキュリティインシデントの管理及びその改善
セキュリティ事象及びセキュリティ弱点に関する伝達を含む、情報セキュリティインシデントの管理のための、一貫性のある効果的な取組みを確実にすることを目的とします。- 責任及び手順
情報セキュリティインシデントに対する迅速、効果的かつ順序だった対応を確実にするために、管理層の責任及び手順を確立することが望ましい。 - 情報セキュリティ事象の報告
情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけ速やかに報告することが望ましい。 - 情報セキュリティ弱点の報告
組織の情報システム及びサービスを利用する従業員及び契約相手に、システム又はサービスの中で発見した又は疑いをもった情報セキュリティ弱点は、どのようなものでも記録し、報告するように要求することが望ましい。 - 情報セキュリティ事象の評価及び決定
情報セキュリティ事象は、これを評価し、情報セキュリティインシデントに分類するか否かを決定することが望ましい。 - 情報セキュリティインシデントへの対応
情報セキュリティインシデントは、文書化した手順に従って対応することが望ましい。 - 情報セキュリティインシデントからの学習
情報セキュリティインシデントの分析及び解決から得られた知識は、インシデントが将来起こる可能性又はその影響を低減するために用いることが望ましい。 - 証拠の収集
組織は、証拠となり得る情報の特定、収集、取得及び保存のための手順を定め、適用することが望ましい。
- 責任及び手順
A.17 事業継続マネジメントにおける情報セキュリティの側面
- 情報セキュリティ継続
情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むことが望ましい。- 情報セキュリティ継続の計画
組織は、困難な状況(例えば,危機又は災害)における、情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定することが望ましい。 - 情報セキュリティ継続の実施
組織は、困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための、プロセス、手順及び管理策を確立し、文書化し、実施し、維持することが望ましい。 - 情報セキュリティ継続の検証、レビュー及び評価
確立及び実施した情報セキュリティ継続のための管理策が、困難な状況の下で妥当かつ有効であることを確実にするために、組織は、定められた間隔でこれらの管理策を検証することが望ましい。
- 情報セキュリティ継続の計画
- 冗長性
情報処理施設の可用性を確実にすることを目的とします。- 情報処理施設の可用性
情報処理施設は、可用性の要求事項を満たすのに十分な冗長性をもって、導入することが望ましい。
- 情報処理施設の可用性
A.18 順守
- 法的及び契約上の要求事項の順守
情報セキュリティに関連する法的、規制又は契約上の義務に対する違反、及びセキュリティ上のあらゆる要求事項に対する違反を避けることを目的とします。- 適用法令及び契約上の要求事項の特定
各情報システム及び組織について、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保つことが望ましい。 - 知的財産権
知的財産権及び権利関係のあるソフトウェア製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を実施することが望ましい。 - 記録の保護
記録は、法令、規制、契約及び事業上の要求事項に従って、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護することが望ましい。 - プライバシー及び個人を特定できる情報(PII)の保護
プライバシー及びPIIの保護は、関連する法令及び規制が適用される場合には、その要求に従って確実にすることが望ましい。 - 暗号化機能に対する規制
暗号化機能は、関連する全ての協定、法令及び規制を順守して用いることが望ましい。
- 適用法令及び契約上の要求事項の特定
- 情報セキュリティのレビュー
組織の方針及び手順に従って情報セキュリティが実施され、運用されることを確実にすることを目的とします。- 情報セキュリティの独立したレビュー
情報セキュリティ及びその実施の管理(例えば,情報セキュリティのための管理目的、管理策、方針、プロセス、手順)に対する組織の取組みについて、あらかじめ定めた間隔で、又は重大な変化が生じた場合に、独立したレビューを実施することが望ましい。 - 情報セキュリティのための方針群及び標準の順守
管理者は、自分の責任の範囲内における情報処理及び手順が、適切な情報セキュリティのための方針群、標準類、及び他の全てのセキュリティ要求事項を順守していることを定期的にレビューすることが望ましい。 - 技術的順守のレビュー
情報システムを、組織の情報セキュリティのための方針群及び標準の順守に関して、定めに従ってレビューすることが望ましい。
- 情報セキュリティの独立したレビュー
IT
マネジメント、セキュリティ、ネットワーク、システム
www.sansakuro.com
2021.04.25
散策路TOP
数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論
www.sansakuro.com
2021.03.24
