ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

ISMS管理策毎の実施手順の確認用リスト

ISMS管理策毎の実施手順の確認用リスト

目次

```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true

```

管理策:ISO/IEC 27002

ISO/IEC 27001に記載されている要求事項をもとに、さらに具体的なISMSの管理策を示した規格がISO/IEC 27002です。管理策とは、リスク対応策のことを指します。企業はISMSを導入する際、ISO/IEC 27002にある管理策から、自社に合ったものを選択し、対策基準として導入することになります。

管理策の属性

| 管理策の属性 | 属性値 | 関連するガイドラインなど | | ------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------- | | 管理策タイプ | 予防、検知、是正 | ー | | 情報セキュリティ特性 | 機密性、完全性、可用性 | ISO/IEC 27001 | | サイバーセキュリティ概念 | 識別、防御、検知、対応、復旧 | サイバーセキュリティフレームワーク(CSF) | | 運用機能 | ガバナンス、資産管理、情報保護、人的資源のセキュリティ、物理的セキュリティ、システムおよびネットワークセキュリティ、アプリケーションのセキュリティ、セキュリティを保った構成、識別情報およびアクセスの管理、脅威および脆弱性の管理、継続、供給者関係のセキュリティ、法および遵守、情報セキュリティ事象管理、情報セキュリティ保証 | ISO/IEC 27002:2013 | | セキュリティドメイン | ガバナンスおよびエコシステム、保護、防御、対応力 | ー |

組織的対策

情報化・サイバーセキュリティ・個人情報保護

5.1 情報セキュリティのための方針群

情報セキュリティ委員会は、「情報セキュリティ方針」などの情報セキュリティに関する方針を定義し、トップマネジメント(経営層)の承認を得る。また、情報セキュリティ委員会は、情報セキュリティに関する方針を適用範囲内の全従業者に公表する。また、「情報セキュリティ方針」は外部関係者にも公表する。 情報セキュリティ委員会は、「情報セキュリティ方針」以外の情報セキュリティのための方針群を、本手順において定める。方針群には以下を含める。 • モバイル機器の方針 • テレワーキング • アクセス制御方針 • 暗号による管理策の利用方針 • クリアデスク・クリアスクリーン • 情報転送の方針(および手順) • セキュリティに配慮した開発のための方針 • 供給者関係のための情報セキュリティの方針

5.2 情報セキュリティの役割及び責任

トップマネジメント(経営層)は、情報セキュリティに関連する役割を持つ情報セキュリティ委員会、内部監査責任者に対して、以下の責任および権限を割り当てる。また、トップマネジメント(経営層)は、これらの役割、責任および権限を従業者に伝達する。情報セキュリティの運用に際し、トップマネジメント(経営層)は、情報セキュリティ委員会の設置および運営を実施する。

情報セキュリティ委員会の役割は以下の通り。 a. リスク対応計画の策定 b. 情報セキュリティ実行体制の構築 c. 選択された管理策の実施 d. 教育・訓練 e. 運用の管理 f. 経営資源の管理 g. 情報セキュリティ事象・セキュリティインシデントの管理 h. 関連当局との連絡(警察・審査機関・コンサル会社・取引先・委託先など)

情報セキュリティ委員会の役割と、責任および権限は以下の通り。

• 情報セキュリティ委員会責任者
管理策の実施・運用について統括する。管理策の成果をトップマネジメント(経営層)に報告する。 • 教育責任者 管理策に関する教育計画の立案と実施を行う。 • 部門管理者(運用委員) 情報セキュリティの部門代表者として、部門を管理する。 • 情報システム管理者 情報システム部門の管理者で、情報システム管理に関する規定・規則に従い、情報セキュリティを維持するための安全管理対策を実施する。 • 文書管理責任者 管理策に関する文書や記録などの維持・管理を行う。

内部監査責任者の責任および権限は以下の通り。 内部監査責任者は、管理策とその実施状況に関わる監査を統括する責任と権限を有する。

5.3 職務の分離

a. 当組織は、申請者または作業者と、承認者を分離するように組織設計する。 b. 従業員の制約により兼任せざるを得ない場合、別部門などから監視を受けることを条件に、兼任できる。

5.4 経営陣の責任

トップマネジメント(経営層)はすべての従業者に対し、情報セキュリティ方針、各実施手順、並びにその他情報セキュリティに関する要求事項の遵守を求める。

5.5 関係当局との連絡

情報セキュリティ委員会は、関係当局およびその連絡先を「連絡先一覧表」に特定し、必要時に容易に連絡がとれる体制を確立・維持する。

5.6 専門組織との連絡

情報セキュリティ委員会は、専門組織およびその連絡先を「連絡先一覧表」に特定し、必要時に容易に連絡がとれる体制を確立・維持する。

5.8 プロジェクトマネジメントにおける情報セキュリティ

a.     プロジェクト管理者は、プロジェクトにおける必要な管理策を特定する。 b.     プロジェクトにおける必要な管理策は、プロジェクト終了後も考慮する。 c.     プロジェクト管理者は、情報セキュリティ責任者を任命する。 d.     情報システム管理者は、業務用情報システムの導入・改善にあたっては、必要に応じて情報セキュリティ上の要求事項を、要件定義書や提案依頼書などにより文書化する。

文書には下記から必要な事項を含める。 ・情報システムの設置場所(環境・障害からの対策を含む)に関する事項 ・無停電電源装置などのサポートユーティリティに関する事項 ・保守契約に関する事項 ・システムの冗長化に関する事項 ・通信、データの安全対策に関する事項 ・受け入れテストに関する事項 ・アクセス権限に関する事項

5.12 情報の分類

情報は一般・社外秘・関係者外秘で分類する。 情報セキュリティ委員会は、情報の分類を最低年1回見直す。

5.13 情報のラベル付け

従業員は、取扱う情報が一般・社外秘・関係者外秘の区分のうち、どれに該当するか認識できる必要がある。 書類の分類を容易に認識できない場合は、以下のいずれかの方法により適切なラベル付けを行う。 a. 分類をシールなどの色により識別する。 b. ファイルなどに分類を記入(またはスタンプ)することで識別する。 c. 分類ごとに収納場所を分ける。

5.14 情報転送

a. 重要な情報を外部に送信する場合は、セキュアなファイル共有サービスを利用する。やむを得ずファイル共有サービスが利用できない場合は、受信者と合意した上で、メールに添付して送信する。 b. 重要な情報を外部にFAXにて送信する場合は、入力した番号と、名刺や送り状を照合し、間違えがないことを確認してからスタートボタンを押す。また頻繁に送信する送り先は短縮ダイヤルに登録する。 c. 認可されていない者に聞かれる可能性がある場所で、重要な情報を口頭で伝えることは禁じる。 d. 重要な情報を外部に郵送する場合は、配達記録郵便や宅配便など配達記録が残る手段をとる。 e. 重要な情報を格納した媒体は、手渡しを原則とし、やむを得ず郵送する場合は、十分な梱包により媒体を保護する。 f. 個人情報の授受記録 • 紙や記憶媒体による個人情報の受け渡しに際しては、送付票や受領証などで受け渡しの完了を確認する。 • 電子メールにより個人情報の受け渡しを行う際には、送信済みメールおよび、受領確認の返信メールのいずれかまたは両方を受け渡し記録とする。 g. 電子メールの利用 • 電子メールは会社所定のソフトを使用し、その利用は業務上必要な場合に限定する。 • 社外メーリングリストへの参加は、原則禁止とする。 • 重要な情報(社外秘以上)はメール本文に記載して送信せず、aに従う。 h. 情報転送に関する合意 • 情報の転送先との間で、情報転送の手段について、あらかじめ合意を得る。 • 重要な情報を外部にメール添付またはFAXにて送信する場合は、必要に応じて送信予告、到着確認の電話を掛ける。 • 宅配便業者を利用する場合は、会社が指定する業者を利用する。 i. 電子的メッセージ通信 • 当組織のWebサイトに入力する情報の通信は、SSL/TLSにより行う。 • 電子データによる個人情報をインターネット経由で送受信する際は、SSL/TLSなどの暗号化対策やパスワード設定などの措置を講じる。

5.15 アクセス制御

a. 業務に必要な者のみが情報にアクセスできるようにし、アクセス権限および操作権限は、認められた場合以外は与えないようにする。 b. 社内LANは、情報システム管理者の承認を得た従業員、装置に限り接続する。 c. 社内の情報システムへの外部からのアクセスは、ファイアウォールなどによって通信を制限する。 d. 外部から社内のサーバに接続する場合、VPN接続を使用する。 e. 無線LANは物理的・論理的な認証、通信の暗号化などを施した上で利用する。 f. サーバ室へ入退を行う対象者に対して、入退資格を設け、資格のない者の立ち入りを禁じる。 g. サーバ室は、常時施錠可能とし、入退資格のない者の立ち入りを禁じる。

5.16 識別情報の管理

a.  情報システムの利用者登録および登録削除は、当該利用者の属する部門長が申請し、情報システム管理者の承認を得る。 利用者登録は業務上必要な範囲で従業者に付与する。

5.17 認証情報

a. 情報システム管理者は、利用者に仮パスワードを発行する場合、利用者本人のみが知ることができる方法で通知する必要がある。 b. 情報システム管理者は、利用者に対し、仮パスワードを直ちに変更することを要求し、通知する。 c. 秘密認証情報の利用 ・ 利用者は、英数字と記号を混在した10文字以上のパスワードを設定し、アルファベットには大小文字の両方を含める必要がある。利用者は、英数字と記号を混在した10文字以上のパスワードを設定し、アルファベットには大小文字の両方を含める必要がある。 ・ 他人に容易に推測されるようなわかりやすいパスワードの使用を禁じる。 ・ 他のサービスと重複するパスワードの利用を禁じる。 ・ 各システムにおける管理者IDのパスワードは、情報システム管理者において厳重に管理する必要がある。 ・ 利用者および情報システム管理者は、パスワードの代替もしくは補完のために、指紋などの生体認証、ICカード認証などの機器による認証方式も採用できるものとする。 d. パスワード管理システム ・ パスワードの入力は対話式とする。 ・ パスワードをシステムに記憶させることは禁じる。

5.18 アクセス権

a. 利用者のアクセス権は、重要情報に対しては必要最小限の者がアクセスするという原則のもとに、情報システム管理者が検討し、設定を行う。 b. 情報システム管理者は、定期的(最低年1回)および必要時にアクセス権限の棚卸および見直しを行う。 c. 退職者が発生した際は、業務に支障がないよう調整し、速やかに該当アカウントを削除する必要がある。申請は、当該従業員が最後に所属した部門の長がアクセス権限の削除を申請し、情報システム管理者、またはその指名する従業員が削除する。 d. 他部署への移動が生じた際は、aの手順に従い削除する。また、新規のアクセス権限は移動先部門の長が申請し、同様の手順に従い登録する。

脅威インテリジェンス

5.7 脅威インテリジェンス

既存または新たな脅威に関する情報を、次に示す専門機関から収集する。 ・IPA ・JVN(Japan Vulnerability Notes) ・JPCERT/CC ・ISAC (Information Sharing and Analysis Center) ・個人情報保護委員会 収集する情報は、以下のようなものとする。 ・変化する脅威の状況に関する情報(例:攻撃者や攻撃の種類) ・攻撃の方法、使用されるツールや技術に関する情報 ・特定の攻撃に関する詳細な情報 収集した情報を分析する。 脅威が、自組織にどのような影響を及ぼすか把握するために、収集した情報をもとにリスクアセスメントを実施する。 リスク低減の処置を実施する。 リスクアセスメントの結果をもとに、ファイアウォール・侵入検知システム・マルウェア対策ソリューションなど、技術的に予防、検知を行うための管理策を採用する。

情報資産台帳作成・維持実施

5.9 情報及びその他の関連資産の目録

情報セキュリティ委員会は「資産目録」を作成し、当組織における重要な資産を識別する。また「資産目録」を「年間計画表」に従い、最低年1回見直す。 情報セキュリティ委員会は「資産目録」において特定した資産に対し、同目録上に管理責任者(リスク所有者)を記載することにより管理責任を明確にする。

5.10 情報及びその他の関連資産の利用の許容範囲

情報の区分ごとの取扱いルールを以下に示す。 情報の区分は「5.12 情報の分類」で、ラベル表示については「5.13 情報のラベル付け」で定める。

5.11 資産の返却

情報セキュリティ委員会は、退職者が発生した際に、以下の対応を部門長に要求し、実施されたことを確認する。 名刺、社員証、IDカードなどの返却 会社が支給したノートPCや携帯電話などの返却 紙で保管する書類の返却、または廃棄

クラウドサービス利用

5.23 クラウドサービス利用における情報セキュリティ

クラウドサービスを導入する際、以下の評価表をもとにクラウドサービスを評価し、自社のセキュリティ要件事項を満たしているか確認する。

情報セキュリティインシデント対応

5.24 情報セキュリティインシデント管理の計画策定及び準備

セキュリティインシデントへの対応は、以下の手順で行う。 管理層の責任のもと、以下の手順を関係者に伝達する。

5.25 情報セキュリティ事象の評価及び決定

セキュリティの弱点、脅威に気付いた場合もしくは疑いを持った場合は、情報セキュリティ委員会に報告する。この際、自己で解決することよりも報告を優先させる。 情報セキュリティ事象の評価は、以下の表に従い、部門管理者(情報セキュリティ委員会メンバー)が行う。 ・大、中の項目に該当する情報セキュリティ事象は、セキュリティインシデントとして分類する。 ・項目の大、中、小の順に優先順位を付ける。

5.26 情報セキュリティインシデントへの対応

セキュリティインシデントへの対応手順は以下の表に従う。

5.27 情報セキュリティインシデントからの学習

a. 情報セキュリティ委員会は、セキュリティインシデントを管理・分析し、問題があれば、計画を立ててトップマネジメント(経営層)へ提議する。計画には、解決に向けての処置方法・費用・実施予定日・責任者を明確にする。 b. 将来のセキュリティインシデントの起こりやすさや影響を減らすため、情報セキュリティ委員会は、セキュリティインシデントから得られた知識を活かして「6.3 情報セキュリティの意識向上、教育及び訓練」を強化・改善する。

5.28 証拠の収集

情報セキュリティ委員会は、情報システムの事故が特定の個人、または組織に起因するもので、事後処置が法的処置に及ぶ可能性のある場合には、必要な証拠の収集、保全に努める。

事業継続計画策定

5.29 事業の中断・阻害時の情報セキュリティ

a. 資産のリスク分析 b. 「資産目録(情報資産管理台帳)」で特定した情報資産のうち、可用性の評価値が3の重要資産を情報セキュリティ継続のリスク分析対象とする。 ※ 可用性の評価値は、「12-2-2. リスク特定」で記載している方法により算出する。 c. aにおいて登録した資産に対して、以下のリスクについて考慮する。 ・地震・火災・洪水などの自然災害 ・ 人的なミス ・ システム障害 ・ 健康上の問題 d. bのリスクが生じた際に影響を受ける業務プロセスを特定し、リスクが発生した場合のシナリオを作成する。 e. リスクが生じた場合の影響度と、リスクが発生する可能性について検討し、検討結果に基づき優先順位を決定する。 f. dにおいて、優先順位が高いと判断したものに対して「事業継続計画書」を作成し、トップマネジメント(経営層)の承認を得る。 g. 「事業継続計画書」には以下の内容を含む。 ・ 実行開始条件(リスクシナリオの発生) ・ 非常時手順(発生時の連絡手順) ・ 回復手順(復旧のための手順) ・ 回復目標(目標時間を必要に応じて決定) ・ 再開手順(回復後のリハーサル手順) ・ 試験のスケジュール ・ 教育(教育が必要な場合はその計画) h. 策定した計画および手続きについて試験を実施し、試験の結果、必要があると判断した場合は計画を更新する。試験は以下のいずれかの方法、またはその組み合わせにより行う。 ・ 机上試験 ・ 模擬試験 ・ 技術的回復試験 ・ 代替施設における回復試験 ・ 供給者施設およびサービスの試験 i. 情報セキュリティ委員会は、事業継続に関する試験を最低年1回、継続的に実施する。

5.30 事業継続のためのICTの備え

a. ビジネスインパクト分析(不測のインシデントによって業務やシステムが停止した場合、会社の事業にどのような影響があるかを分析すること)を行い、事業継続が困難な状況を特定する。 b. 事業が中断・停止になった際の対応手順を策定し、文書化する。 c. 策定した対応手順が有効であることを確実にするため、あらかじめ定めた間隔(年1回以上)で試験を実施し検証する。

法的、規制および契約上の要件

5.19 供給者関係における情報セキュリティ

a. 当組織における供給者には、以下がある。 ・ ISP、電話サービス、IT機器などのサービス提供者 ・ 情報システムの開発・保守における外部委託先 ・ 会計、税務、法律などの専門サービス提供者 ・ 清掃業者、廃棄業者 ・ クラウドサービス b. 情報セキュリティ委員会は、部外者・外部組織からのオフィスエリアや情報システムへのアクセスを許可する際に生じる可能性があるリスクを考慮し、情報セキュリティ上の要求事項を明確にする。

5.20 供給者との合意におけるセキュリティの取扱い

a. 提供されるサービスの利用は、次の手順に従い行う。 1. 「委託先審査票」による評価・選定を行う。 2. 情報セキュリティ要求事項を考慮し、次の事項を含む契約を締結する。 ・ 機密保持契約などの情報の取扱いに関する契約 ・ 使用許諾に関する取り決め、コードの所有権および知的所有権(開発の場合) ・ 実施される作業場所および入退室管理 ・ 外部委託先が不履行となった場合の預託契約に関する取り決め 3. 情報セキュリティ委員会は、「5.19 供給者関係における情報セキュリティ」において検討したリスクを考慮し、必要に応じて第三者との間で契約を締結する。 b. クラウドサービスを介して重要資産を取扱う際は、利用者は多要素認証を有効にしてセキュリティを強化する必要がある。

5.21 ICTサプライチェーンにおける情報セキュリティの管理

a. ICT製品・サービスの供給者との契約には、必要に応じて再委託に関する事項を盛り込む。 b. クラウドサービスの利用にあたっては、クラウドサービス提供者の事業継続性、および以下のサービスに関する情報セキュリティ事項を考慮の上、クラウドサービスを選定する。 ・ サービスの導入実績、信頼性 ・ 利用者サポート機能 ・ 利用終了後のデータの扱い ・ サービスの可用性 c. ・暗号化など、通信経路の安全対策

5.31 法令、規制及び契約上の要求事項

a. 情報セキュリティ委員会は、当組織が遵守すべき法令、規制、および契約上の要求事項を識別し、「情報セキュリティに関する法令規制一覧表」に記載する。「情報セキュリティに関する法令規制一覧表」は最低年1回見直す。 b. 情報セキュリティ委員会は、当組織の従業者が「情報セキュリティに関する法令規制一覧表」を、必要に応じていつでも参照できる状態にする。 c. 特定した要求事項を満たすために、必要に応じて教育などのテーマとする。 d. 暗号化した装置を輸出する場合、または海外に持ち出す場合、該当する法規制について調査を行い、必要であれば対応を行う。

知的財産、データ、プライバシー

5.32 知的財産権

a. 知的財産権を保護するためのルールを策定し、組織内で教育・啓発活動を行う。 b. 知的財産権を侵害する行為を禁止する。 c. 知的財産権を侵害する行為が発生した場合には、速やかに是正措置を講じる。 d. ソフトウェアなどの使用許諾計画を遵守する。 e. 情報システム管理者は、パッケージソフトのライセンス管理を適切に行う。

5.33 記録の保護

当組織における記録は、関連する法令に基づき次表の保存期間にわたり、消失、破壊、改ざん、不正なアクセス、流失などがないように適切に保存する。

5.34 プライバシー及びPIIの保護

個人情報は、「5.10 情報およびその他の関連資産の利用の許容範囲」の取扱いルールに従い、厳重に取扱う。

セキュリティ対策状況の点検・監査・評価・認証

5.22 供給者のサービス提供の監視、レビュー及び変更管理

a. 情報セキュリティ委員会は、サービスの供給者に対して、あらかじめ定められた頻度(最低年1回)において契約の履行状況ならびに「委託先審査票」による遵守状況の確認を行う。 b. サービスの供給者との間で契約内容やサービスレベルに変更があった場合、変更点を受け入れることができるか否かを検証し、契約内容の見直しを実施する。

5.35 情報セキュリティの独立したレビュー

a. 年に1度、内部監査により独立したレビューを行う。 b. 以下に例示する、情報セキュリティに影響のある変化が生じた場合も、内部監査により独立したレビューを行う。 ・ 事業の追加/変更、業務手順の大幅な変更 ・ 住所変更、拠点の新設 ・ 情報セキュリティに関する主たる担当者の変更 ・関係する法令・規制、または契約の大幅な変更

5.36 情報セキュリティのための方針群、規則及び標準の順守

a. 情報セキュリティ委員会は、セキュリティに関する手順や実施標準が正しく実施されていることを確実にするため、「運用チェックリスト」にて、定期的(3ヶ月ごと)に点検を行う。 b. 情報セキュリティ委員会(入退管理責任者)は、入退記録が適切にとられているか否かを月に1度確認する。また、入退管理が有効かつ適切に実施されていることを定期的に確認し、不備が発見された場合は速やかに是正の処置をとる必要がある。 c. 情報システム管理者は、技術的な遵守事項が正しく実施されていることを確実とするため、上記のa、bに従い点検する。

5.37 操作手順書

情報処理設備の正確、かつ、セキュリティを保った運用を確実とするために、次の事項を明記した手順書を文書化し、必要に応じて利用者が参照できるようにする。 システムが故障した場合の再起動および回復の手順 a. 記憶媒体の取扱い手順 b. バックアップの取得手順 c. 保守手順 d. 容量、能力、パフォーマンスおよびセキュリティなどの監視手順

人的対策

スクリーニング

6.1 選考

従業者の募集・採用プロセスは以下の点を考慮のうえ行う。 a. 取得した履歴書、スキルシートなどから業務上の要求事項に対する適合を判断し、選考を行う。 b. 採用時の面接などにおける態度や言葉遣いなどから倫理観を判断し、選考を行う。 c. 役員や管理職の採用に関しては、過去の信用情報など、より詳細な調査を行う場合があるが、この際は本人の同意を得たうえで行う。

雇用契約書

6.2 雇用条件

情報セキュリティに関する責任を理解し、情報セキュリティ方針を守ることを従業員に誓約させるため、雇用契約書に、情報セキュリティに関する事項を盛り込み、誓約書に署名を求める。

懲戒手続き

6.4 懲戒手続

従業者が故意または過失により情報を漏えいした場合、または情報セキュリティ上の遵守事項に違反した場合は、罰則の対象とする。

雇用の終了または変更後の責任

6.5 雇用の終了又は変更後の責任

情報セキュリティの観点から、雇用の終了または変更後も従業員が守るべき義務や責任(例えば守秘義務)について定め、雇用時の誓約書に盛り込むと同時に、雇用の終了または変更時に再確認する。

守秘義務または秘密保持契約

6.6 秘密保持契約又は守秘義務契約

a. 当組織の従業者は、当組織との間で機密情報に関する秘密保持の契約を締結する。なお、同契約には原契約の終了後も一定期間、秘密保持の義務が課せられる旨の条項を含める。 b. 当組織との委託先との間で、必要に応じて秘密保持の契約を締結する。 c. 情報セキュリティ委員会は、年に一度、情報セキュリティ要求事項に照らして、秘密保持契約書の妥当性を検証する。

6.3 情報セキュリティの意識向上、教育及び訓練

a. すべての従業者は、職務に関連する方針および手順についての適切な、意識向上のための教育および訓練を受ける必要がある。 b. 当組織では従業者が次の事項に関して認識を持てるよう教育・訓練を実施する。 ・ 情報セキュリティ方針 ・ 情報セキュリティパフォーマンスの向上によって得られる便益を含む、情報セキュリティに対する自らの貢献 ・ ISO/IEC 27001の要求事項に適合しないことの意味 c. 教育計画は情報セキュリティ委員会が作成し、トップマネジメント(経営層)が承認する。 d. 当組織の主な教育を以下に示す。(以下の教育は「教育実施記録」に残す。) ・ 新任部門管理者(運用委員) 新任の情報セキュリティ委員会メンバーに実施する。 ・ 入社時・社内異動者の教育(適時) 新入社員、中間採用者に対して、入社時にセキュリティ教育を実施する。 ・ 定期教育(「年間計画表」に基づく) 年に最低1回、適用範囲内の従業者に対して、情報セキュリティの理解、再確認と改善、向上のための教育を実施する。 ・ 再教育 セキュリティ違反者および情報セキュリティに関する低理解度の従業者に対して、再教育を実施し、違反の再発防止に努める。 ・ 実施した教育の有効性評価 上記の教育実施後理解度調査などを実施し、実施した教育の有効性について評価を行う。

リモートワーク実施手順

6.7 リモートワーク

a. リモートワークは、情報セキュリティ委員長の承認を得たものに限って行える。 b. リモートワークにて使用するPCは、会社から貸与したPCとし、家族などの同居人と共有することは禁じる。 c. リモートワークにて使用するPCは、アンチウイルスソフトを導入し、「8.7 マルウェアに対する保護」に準じた設定を行う。 d. リモートワークにて使用するPCに、ファイル交換ソフトなどの不正なソフトウェアをインストールすることは禁じる。 e. 社内ネットワークへはVPNにて接続する。

情報セキュリティイベントの報告

6.8 情報セキュリティ事象の報告

情報セキュリティ事象は、「5.25 情報セキュリティ事象の評価及び決定」に従って報告し、評価を行う。

物理的対策

物理的なセキュリティ境界

7.1 物理的セキュリティ境界

a. 当組織は、「レイアウト図」により、セキュリティ境界を定義する。 ※レイアウト図は、「13-2-2. ISMS:4. 組織の状況」の「4-3.情報セキュリティマネジメントシステムの適用範囲の決定」内の「物理的境界 レイアウト図(例)」を参照 b. 重要な情報資産がある領域の入退を制限し、入退資格を有さない者の立ち入りを制限する。

入退室認証システム

7.2 物理的入退

a. 入退を行う対象者に対して、入退資格を設け、資格を持たない者の立ち入りを禁じる。入退資格は、従業者証またはセキュリティカードを交付することにより付与し、他人への貸借は禁じる。 b. 外来者の訪問は、原則として、「入退受付票」に氏名、身元、入退時刻を記録し、面談者が面会確認の押印または署名を行い、退出するまでエスコートする。 c. 宅配便などの荷物を受け取る場合は、各オフィスの入口より外で行うことを原則とし、例外的にオフィス内への入室を認める場合は、必ず応対者がエスコートする。

7.3 オフィス、部屋及び施設のセキュリティ

a. 各事業場は常時施錠可能とし、入退資格を持たない者の立ち入りを禁じる。やむを得ず施錠可能でない事業場においては、重要な情報はキャビネットに収納し施錠するなど、厳重な管理を行う。 b. 施錠、開錠は、原則として従業者が行う。 c. 入退を許可された外来者に対しては、原則として従業者が随行し、立ち入り場所を制限する。 d. 秘密の情報または活動が外部から見えないよう、ブラインドやパーティションを設置する。

物理的セキュリティの監視

7.4 物理的セキュリティの監視

a. 組織の施設は、監視カメラ、侵入者警報を設置し、認可されていないアクセスや、疑わしい行動を検知する。無人の領域には、必ず監視カメラおよび侵入者警報を設置する。 b. 監視カメラ、侵入者警報の動作確認をするため、3か月に1回点検を実施する。

物理的および環境的脅威からの保護

7.5 物理的及び環境的脅威からの保護

a. 各フロアには、火災報知器、消火器を設置する。 b. サーバ付近に段ボールなどの燃えやすいものを置くことを禁じる。 c. サーバの転倒対策として設置位置を工夫する。必要に応じて、転倒防止器具を利用するなどの対策を行う。

7.6 セキュリティを保つべき領域での作業

a. サーバ室には、スマートフォンやボイスレコーダー、カメラなど撮影や録音ができるものや、USBメモリなどサーバの情報をダウンロードできる機器の持ち込みは禁じる。 b. セキュリティを保つべき領域は常時施錠し、入退資格を持たない者の立ち入りを禁じる。

7.7 クリアデスク・クリアスクリーン

a. クリアデスク ・ 離席時や帰宅時には、重要情報や個人情報を含む書類や記憶媒体を机上やその周辺に放置しない。 ・ 書類やデータは、重要なものとそうでないものを区別して整理する。 ・ プリンタ、コピーに出力した印刷分は放置せず速やかに取り出す。 b. クリアスクリーン ・ 利用者は、食事やトイレ、会議などにより自席を離れる場合には、コンピュータのログアウト(ログオフ)やスクリーンロックを行い、第三者がコンピュータを操作したり、画面を盗み見たりできないようにする。 ・ ログインID、パスワードを机上に貼付することは禁じる。

7.8 装置の設置及び保護

a. スイッチ、無線LANアクセスポイントなどは、人目につくところや通行量の多い場所を避けて設置する。 b. サーバは、サーバ室など隔離されたエリアに設置する。隔離されていないエリアに設置する場合は、ラックなどへ収容する。 c. サーバが設置されたエリアでの飲食、喫煙は禁じる。 d. サーバが設置されたエリアの温度、湿度を監視し、サーバに悪影響を与えない状態を維持する。

オフプレミスの資産のセキュリティ

7.9 構外にある資産のセキュリティ

a. 社外にノートPCなどを持ち出す場合は、 ① ログインパスワードを設定する。 ② 必要のない機密情報、個人情報を格納しない。 ③ 格納するファイルは暗号化する(パスワードをつける)。 ④ OS・ソフトウェアが最新バージョンになっており、セキュリティソフトが入っていることを確認する。 ⑤ ノートPCなどが入ったカバンなどを交通機関の網棚などには置かず、常時携帯する。 b. 公共交通機関を利用する際に、顧客情報や個人情報など、重要な情報をノートPCや社用携帯で閲覧することは禁じる。

7.10 記憶媒体

a. 外づけの記録媒体を持ち出し・持ち込みする場合は、事前に許可を得た上で行う。また、不使用時は、キャビネットに施錠保管を行う。 b. 記憶媒体に収納する情報は必要最小限なものとし、必要のない機密情報や個人情報、会社の重要情報は保存しない。 c. 格納するファイルは暗号化して(パスワードをつけて)保存する。 d. 外部記憶媒体や、重要な情報が記された文書を机上や、棚上などに放置することは禁じる。 e. 私有の外部記憶媒体を持ち込む場合、社有の外部記憶媒体を持ち出す場合は、該当部門の責任者および情報システム管理者の許可を得る。 f. 外部記憶媒体によるデータを受け渡しは、データの内容に応じてセキュリティを確保できるような受け渡し方法をとる。 g. お客様のUSBメモリなどの記憶媒体を預かった場合は、使用する前に必ずアンチウイルスソフトによりスキャンを行う。 h. 不要な媒体を処分する場合は、「5.10 情報及びその他の関連資産の利用の許容範囲」のルールに従う。 i. 媒体を輸送する場合は、必要に応じて梱包などにより保護するとともに、「5.10 情報及びその他の関連資産の利用の許容範囲」のルールに従う。 j. サーバ、ネットワーク機器(スイッチ、ルータなど)の設置場所を、情報システム管理者の許可なく移動することは禁じる。 k. 当組織の資産および顧客から預かった資産を、情報セキュリティ委員長の許可なく無断で持ち出すことは禁じる。

7.11 サポートユーティリティ

a. 情報システム管理者は、必要に応じて無停電電源装置を設置する。無停電電源装置は、ランプの確認などにより、バッテリーの寿命が尽きていないことや、緊急時の切り替えが問題なく行えるかを定期的に確認する。 b. 情報システム管理者は、フロア(装置の設置場所)が適切な温度に保たれていることを適時確認する。

7.12 ケーブル配線のセキュリティ

a. 人が通る箇所のケーブル配線は、できるだけ床下か天井に配線する。床上に配線する場合には、モール、ケーブルカバーによる保護を行う。 b. 配線ケーブルに異常がないか、3か月に1回点検を行う。 c. 誤接続を防止するために、ケーブルにラベルをつける、役割ごとに色の異なるケーブルを使う。 d. ケーブル配線図を作成するとともに、機器の増設や移設により配線が変更になった場合には配線図を更新する。

7.13 装置の保守

サーバ、ネットワーク機器など主要な装置は、製造元から提供されたマニュアルを参照し、製造元が推奨する頻度にて点検、保守を行い、記録する。

7.14 装置のセキュリティを保った処分又は再利用

a. PCを処分する場合は、従業員が各自で処理せず、情報システム管理者に処理を依頼する。情報システム管理者は、ハードディスクなどの記憶媒体については、物理的破壊もしくは、完全消去により処分する。 b. 上記以外の方法により、処分する必要があると認められる場合、事前に情報セキュリティ委員長の承認を得ることを要するものとする。 c. 情報システム管理者は、装置を再利用する場合、不要な情報を完全に消去し、またライセンス供与されたソフトウェアが消去されたことを確認の上、再利用する。

技術的対策

エンドポイントデバイス

8.1 利用者エンドポイント機器

a. モバイル機器を社外に持ち出す場合、ログインパスワードを設定する。 b. 必要のない機密情報、個人情報などは、モバイル機器に格納しない。 業務上必要のある機密情報や個人情報をモバイル機器に格納する場合は、暗号化する。(パスワードをつける。) c. モバイル機器を利用者が限定されない無償のWiFiスポットなどへ接続することは禁じる。 ・ 携帯電話・スマートフォンの管理 社有の携帯電話・スマートフォン(以下「社有携帯電話など」という)を使用する者は、紛失、破損しないよう丁寧かつ慎重に扱う。 ・ 社有携帯電話などを使用する者は、使用者本人以外が操作できないよう、パスワードを設定して保護する。 ・ 持ち歩く際は、ストラップをつけるなどの紛失・盗難防止策を必要に応じて講じる。 ・ 電車やバスの中、その他公共の場所における使用は控え、個人情報やその他機密情報を他者に聞かれないよう十分配慮する。 ・ 私有の携帯電話・スマートフォンを業務で使用する場合は、情報システム管理者の承認を要する。また、社有携帯電話などと同様の安全対策を実施する。 d. 利用者はノートPCに対して、パスワードつきのスクリーンセーバを設定し、のぞき見を防止する。スクリーンセーバの設定時間は10分以内とする。

特権アクセス権

8.2 特権的アクセス権

a. 特権的アクセス権は特定の者に付与し、管理対象システムとその保有者を明確にする。 b. 半年に1回、または組織に何か変更があった際、特権的アクセス権を用いて作業する利用者をレビューし、特権的アクセス権を用いた作業に関して、その利用者が職務、役割、責任、力量の点で今も適格であるか否かを検証する。

アクセス制限

8.3 情報へのアクセス制限

a. 情報システム管理者は、取扱いに慎重を要する情報へのアクセス権限を、必要な者のみに割り当てる。 b. 未知の利用者識別情報または匿名の者による、取扱いに慎重を要する情報へのアクセスを許可しない。

安全な認証

8.4 ソースコードへのアクセス

ソースコードや設計書、仕様書などの関連書類は、アクセス権で管理されたフォルダに厳重に保管する。

8.5 セキュリティを保った認証

重要な情報システムにアクセスする際は、パスワードに加えて、多要素認証を使用し、不正アクセスの可能性を減らす。

キャパシティ管理

8.6 容量・能力の管理

a. 情報システム管理者は、コンピュータやネットワークの応答時間など、その負荷状況について、業務を通じて問題がないか否かを確認する。CPUやメモリ、ハードディスクなどの外部記憶装置の使用率など、リソースの使用状況を定期的に監視する。 b. リソースの使用状況に応じてリソースの割り当てを調整すると同時に、将来必要となる容量や能力を予測し、システムのパフォーマンスを維持するため、必要なリソースを事前に確保する。 c. 情報システム管理者は、問題が発見された場合、速やかに原因の究明を行い、情報セキュリティ委員会に報告する。 d. 情報セキュリティ委員会は、情報システム管理者に対策を指示し、必要に応じて経営陣に報告する。 e. 情報システム管理者は、中長期的な業務量の増減を考慮し、将来的にシステムに必要な容量を予測し、必要であればトップマネジメントに報告する。

マルウェアに対する保護

8.7 マルウェアに対する保護

a. ネットワークに接続するすべてのパソコン、サーバ上に情報システム管理者が指定したアンチウイルスソフトを導入する。 b. アンチウイルスソフトを常時設定にし、ファイルへのアクセスおよび電子メールの受信時に常時スキャンできる設定を行う。 c. 常時スキャンに加えて情報システム管理者が指定した期間に一度、ファイル全体に対するスキャンを行う。 d. 自動でウイルス定義ファイルの更新が行われるように設定する。 e. 標的型メール対応 ・ メールの添付書類やメール中のリンクは、原則として(送信者に確認するなどの方法で)安全が確認できるまで開かない。 ・ ファイルの拡張子を表示させる設定とし、添付ファイルの拡張子が、通常使用しない内容の場合、ファイルの参照を禁じる。 通常使用しないファイルの拡張子の例:.exe、.pif、.scr

技術的脆弱性の管理

8.8 技術的ぜい弱性の管理

a. 情報セキュリティ委員会および情報システム管理者は、技術的な脆弱性のニュースを常に意識し、時期を失せず効果的に外部の攻撃を防御する。 b. OSやアプリケーションには常に最新のセキュリティパッチを適用する。ただし、検証の結果、業務上支障があると認められる場合には、他の方法により脆弱性に対処する。

構成管理

8.9 構成管理

システムの構成要素とその相互関係を理解し管理するため、台帳や構成管理ツールを用いて、ハードウェア、ソフトウェア、ネットワーク機器、設定ファイルなど、システムを構成するすべての要素の情報を把握する。

情報の削除

8.10 情報の削除

a. 業務上必要がなくなったデータは速やかに削除する。 b. 記憶媒体上のデータを削除する際は、データ消去ソフトを使用し、復元できないよう、完全に削除する。 c. ハードディスクを廃棄する際は、磁気データ消去装置を用いてハードディスクのデータを削除してから廃棄する。

データ保護

8.11 データマスキング

保有している情報をマーケティング分析などの目的で二次利用する場合には、個人情報や重要情報が推測できない形に加工した上で利用する。

8.12 データ漏えいの防止

a. 漏えいから保護する情報を特定し、分類する。 b. ファイル共有ソフトの使用を禁じる。 c. 重要な情報が画面に表示されている場合は、スクリーンショットや写真を撮ることを禁じる。 d. ファイアウォールやIDS、IPSなどによって不正アクセスを防止する。「8.20 ネットワークのセキュリティ」に従う。 e. 重要データについてアクセス制限を設ける。「8.3 情報へのアクセス制限」に従う。 f. 重要データは暗号化して保管する。「8.24 暗号の使用」に従う。

バックアップ

8.13 情報のバックアップ

a. 情報システム管理者は、サーバ内に保存された重要データを障害による破壊や、不正アクセス、改ざんなどから守るために、必要に応じてシステムおよびデータのバックアップを行う。 b. バックアップ情報は、主事業所の災害による被害から免れるために、十分離れた安全でセキュリティを保った場所に保管する。 c. 情報システム管理者は、バックアップが確実に行われており、障害時に復元が可能か否かを月に1度チェックする。

冗長化

8.14 情報処理施設の冗長性

a. 情報システムは、可用性に関する業務上の要求事項を明確にし、必要に応じて予備の機器を用意して二重化を行い、冗長性をもたせる。 b. 緊急の場合、速やかに予備の機器に切り替えられるよう、動作確認を月に1回行う。

ロギング

8.15 ログ取得

a. 情報システム管理者は、サーバ内に保存された重要データを障害による破壊や、不正アクセス、改ざんなどから守るために、必要に応じてログの取得を行う。 b. 情報システム管理者は、必要に応じてログの定期的なチェックを行う。 c. ログは、情報システム管理者またはその指名する担当がアクセスできるようにする。 d. 情報システム管理者は、運用担当者がサーバで行った作業を確認する。確認は、作業ログ、または日報・サーバ作業記録の閲覧により行う。

監視

8.16 監視活動

ファイアウォール・IDS・IPSのログを常に監視し、異常な動作を検知した場合は速やかに対応する。

クロック同期

8.17 クロックの同期

a. 情報システム管理者は、クライアントPCやサーバなどすべての情報システムについてクロックを同期させる。 b. すべての情報システムのクロックを同期させるために、NTPを使用する。

特権ユーティリティの使用

8.18 特権的なユーティリティプログラムの使用

a. ユーティリティプログラムの使用は、原則としてOS標準機能のみ許可する。 b. その他のユーティリティプログラムが必要となった場合は、情報システム管理者の承認を得た上で利用する。

ソフトウェア管理

8.19 運用システムに関わるソフトウェアの導入

a. 運用システムに、開発用のコードを導入しない。 b. PCを含む社内の情報システムで使用するソフトウェアは、原則情報システム管理者によって指定されたもののみ使用し、それ以外のソフトウェアを使用する場合は、事前に許可を得るものとする。他社が開発したソフトウェアを利用する場合、その開発会社が要求している条件やスペックを満たす環境で運用する。 c. 情報システム管理者は、利用者がインストール可能なソフトウェアを定期的に見直す。 d. 利用者は認可されていないソフトウェアをインストールしてはならず、業務上、必要な場合は、情報システム管理者の承認を得た上でインストールする。 e. ファイル共有ソフトなど、ウイルス感染や不正アクセスなどの原因となりやすいソフトウェアのインストールを禁じる。

8.25 セキュリティに配慮した開発のライフサイクル

セキュリティに配慮した開発のための方針を以下に記す。 a. 開発の初期段階でセキュリティ要件を明確化する。 b. 開発環境は、「8.31 開発環境、試験環境及び運用環境の分離」の「b. セキュリティに配慮した開発環境」に従う。 c. 開発の各段階でセキュリティレビューを行い、セキュリティ要件が満たされているかを確認する。 d. 開発したシステムに脆弱性がないかテストする。 e. 開発文書(仕様書、設計書、テスト仕様など)は、必要最低限の者だけがアクセスできるようにする。 f. 受託開発または客先への派遣による開発では、クライアントから提示のあったセキュリティの方針・ルールなどに従う。

8.26 アプリケーションのセキュリティの要求事項

a. アプリケーションを取得する際、リスクアセスメントを通じてアプリケーションの情報セキュリティ要求事項を決定する。必要に応じて、情報セキュリティの専門家の支援を受け、情報セキュリティ要求事項を決定する。 b. セキュリティに配慮したシステムを構築するための原則は、以下の通りとする。 ・ 情報セキュリティ事象を防止・検知し、対応するために必要な管理策を分析すること。 ・ 情報セキュリティ要求事項を満たすための費用・時間・複雑さを考慮すること。

8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則

a. 社内使用の情報システムおよび外部向けに提供する情報システムの開発に際しては、情報セキュリティ事項を明確にし、要件定義として記録する。 b. 開発の各段階でセキュリティレビューを行い、セキュリティ要件が満たされているかを確認する。 c. 開発したシステムに脆弱性がないかテストする。

8.28 セキュリティに配慮したコーディング

a. ユーザーが入力したデータを確認し、問題がある場合は読み込まないようにする。 b. セキュリティ上の問題を発見しやすくするため、設計は可能な限りシンプルにする。 c. ユーザーには必要最小限の権限・機能を与える。 d. 他のシステムに送信するデータは、サニタイズ(特殊文字を一般的な文字に変換すること)を行い、不正操作を防止する。

8.29 開発及び受入れにおけるセキュリティ試験

a. 情報システムのセキュリティテストは、運用に移行する前に行う。 b. システムの受入れ試験 ・ 情報システムの導入または改修の際は、受入れ時に動作確認を行う。 ・ 必要に応じて受入れテストの仕様書を作成し、確認を行う。 ・ 必要に応じて、コード分析ツールや脆弱性スキャナのような自動化ツールを利用し、セキュリティに関連する欠陥を修正する。 ・ 受入れ試験の結果は、受入れ部門の管理者および情報システム管理者が承認する。

8.30 外部委託による開発

情報システムの開発を外部に委託する場合の手順は以下に従う。 a. 「委託先審査票」によって委託先を評価、選定、およびあらかじめ定められた頻度(最低年1回)で再審査し、また、契約の履行状況を監視する。 b. 委託先との契約を締結する。(契約書には情報セキュリティ要求事項を含める。) c. 成果物の品質および正確さを評価するため、「8.29 開発及び受入れにおけるセキュリティ試験」に定める「b. システムの受入れ試験」を実施する。

8.31 開発環境、試験環境及び運用環境の分離

a. 情報システムの開発に際しては、開発・テスト環境と本番環境を、物理的・論理的に分割する。 ・ セキュリティに配慮した開発環境 開発は、開発業務を行わない従業員から分離した場所およびシステムにて行う。また開発環境は、運用環境から分離する。 ・ ソースコードおよび設定ファイルは、不意の消去や改ざんから保護するため、必要最小限の者だけがアクセスできるようにする。

8.32 変更管理

a. 変更管理は以下のプロセスで行う。 1. 変更の承認 変更を行う前にその変更の必要性、変更が及ぼす影響、変更によるリスクの変動について評価し、情報システム管理者の承認を得る。 2. 変更のテスト 変更を適用する前に、情報システムへの影響を確認するためにテストを行う。 3. 変更の監査 変更後に変更が適切に行われたか否かを監査によって確認する。 b. 情報システム管理者は、サーバに周辺機器を接続する場合や、サービスパックを適用する場合、事前に情報収集し、問題の有無を確認する。万が一、適用後に問題が生じた場合は、再インストールすることで問題解決を即座に実施する。 c. OSやパッケージソフトを変更する際は、情報システム管理者はテスト機や予備機を用いて、現在の情報システムが変更後のOS上で問題なく動作するかを検証する。 d. パッケージソフトウェアのカスタマイズを原則として禁じる。万が一、修正を行う場合は、動作上の影響およびベンダーから将来的に受けるサポートへの影響を考慮し、情報システム管理者の許可を得る。

8.33 試験情報

a. テストデータとして個人情報を使用することを禁じる。 b. 実データをテストデータとして使用する場合は、情報システム管理者の承認を得てから使用する。テスト終了後は、実データを直ちに削除し、情報システム管理者に対して報告する。

8.34 監査試験中の情報システムの保護

a. 情報システムの監査は、システム停止のリスクを考慮し、営業時間外もしくは休日を利用して実施することを原則とする。 b. 情報システムのメンテナンスなどにより情報システムの稼動を停止する場合は、業務への影響を及ぼさない範囲または時間帯で行うように計画する。

ネットワークセキュリティ

8.20 ネットワークのセキュリティ

a. ネットワーク図および装置(例:ルータ、スイッチ)の構成ファイルを含む文書を最新に維持する。 b. 社内ネットワークへ接続する際は、情報システム管理者の承認を受け、指示された手順に従う。 c. 情報システム管理者は、ネットワークにおける社外との境界にはファイアウォールを設けるなど、不正侵入対策を施す。 d. ネットワーク装置のファームウェアの定期的なアップデートを行う。 e. 他人のID、パスワードで、社内ネットワークに接続することを禁じる。 f. 一旦、社内ネットワークから切り離したパソコンなどは、ウイルスチェックなどの安全確認を行ってから再接続する。 g. 持ち込みおよび私有PC利用の場合は、社内ネットワークに接続しない。やむを得ず接続する場合は、情報システム管理者が指定するソフトウェアによりウイルスチェックを行う。 h. 無線LANを使用する場合は、情報システム管理者の承認を得て、暗号化、接続パソコンの認証など、十分な安全対策を実施する。 i. 不特定が利用できる公衆無線LANやWiFiスポットに接続することは禁じる。

8.21 ネットワークサービスのセキュリティ

a. 利用しているネットワークサービスを特定する。 b. 情報システム管理者は、ネットワークサービスを利用する場合は、ネットワークサービス提供者とSLAを締結する。

ネットワークの分離

8.22 ネットワークの分離

a. インターネットと社内LANとの境界にファイアウォールを設置する。 b. メール、Webサーバなどの公開サーバは、社内のネットワークと分離する。 c. ゲスト用の無線アクセスネットワークを、社内用の無線アクセスネットワークから分離する。

Webフィルタリング

8.23 ウェブ・フィルタリング

フィルタリングソフトを利用し、業務上不必要なWebサイト、危険性のあるWebサイトへアクセスすることを防ぐ。

暗号の使用

8.24 暗号の使用

a. 暗号利用のための規則 ・ SSL/TLS 当組織のWebサイトの通信は、SSL/TLSを用いて暗号化する。 ・ 無線LAN 無線LANの通信は暗号化し、暗号化の規格は脆弱性の報告されていない安全な方法とする。 b. 鍵の管理 ・ SSL/TLS 情報システム管理者は、証明書に対する秘密鍵を適切に管理する。 ・ 無線LAN アクセスポイントの管理者画面は、情報システム管理者のみがアクセスでき、そのパスワードを厳重に管理する。 c. 重要データの暗号化 ・ 暗号化の対象とするデータを選定する。 ・ 利用する暗号の種類を決める。 ・ 暗号鍵のライフサイクルに関する方針を策定する。 ・ 暗号の管理責任者を定める。

文献リスト

引用文献

  • ISMS/ITSMS/BCMS/CSMS認証を取得するには
    • https://www.jipdec.or.jp/project/smpo/ninsyou.html
  • ISMS適合性評価制度
    • https://isms.jp/isms.html
  • ISMS推進マニュアル - 活用ガイドブック ISO/IEC 27001:2022 対応1.0版
    • https://isms-society.stores.jp/items/6427f4b51d175c002b8ee1cd

  • ISO/IEC 27002:2022 対応 情報セキュリティ管理策実践ガイド

    • https://isms-society.stores.jp/items/632a57a42e7452256400d84b

  • ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜

    • https://www.ipa.go.jp/jinzai/ics/corehumanresource/final_project/2021/ngi93u0000002klo-att/000092243.pdf

参考文献

  • ISO/IEC 27001:2022

    • https://www.iso.org/standard/27001

  • ISO/IEC 27002:2022

    • https://www.iso.org/standard/75652.html

  • ISMS認証機関一覧

    • https://isms.jp/lst/isr/index.html

  • サイバーセキュリティ関連の法律・ガイドライン

    • https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/legal/

  • セキュリティ・バイ・デザイン導入指南書

    • https://www.ipa.go.jp/jinzai/ics/corehumanresource/final_project/2022/ngi93u0000002kef-att/000100451.pdf

  • 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン

    • https://www.digital.go.jp/assets/contents/node/basicpage/fieldrefresources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/7e3e30b9/20240131resourcesstandardguidelinesguidelines01.pdf

  • ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜

    • https://www.ipa.go.jp/jinzai/ics/corehumanresource/final_project/2021/ngi93u0000002klo-att/000092243.pdf

  • (参考資料1)民間企業におけるゼロトラスト導入事例

    • https://www.digital.go.jp/assets/contents/node/basicpage/fieldrefresources/5805a275-3e16-4296-8a94-6557b58c6a4c/dd52a824/20231124meetingnetworkcasestudie_03.pdf

  • 中小企業のためのセキュリティインシデント対応の手引き

    • https://www.ipa.go.jp/security/sme/ps6vr7000001buco-att/ps6vr7000001bucx.pdf

  • 証拠保全ガイドライン 第9版

    • https://digitalforensic.jp/wp-content/uploads/2023/02/shokohoznGL9.pdf

本文ここまでです。

ページトップへ