*

ISO27001・情報セキュリティマネジメントシステム認証取得支援コンサルティング

タテックス有限会社
HOME
サービス
Q&A
会社概要
お問合わせ
ISO14001
ISO27001
ISO27001:2013
ISMS-P
ISO20000
ISO22000
統合MS
ISO運用代行
自己適合宣言
OHSAS18001
プライバシーマーク
経営品質
サービスのフロー
内部監査員研修
Q&A
会社概要
指導実績
事例
お客様の声
企業再生
採用情報
お問合わせ
関連リンク
相互リンク
リンクモスト
簡単相互link
サイトマップ

ISO27001:2013の附属書A 詳細管理策

ISO27001:2013のコンサルティングはTATECS、タテックス有限会社で決まり!!

A.5 情報セキュリティのための方針群

A.5.1 情報セキュリティのための経営陣の方向性、A.5.1.1 情報セキュリティのための方針群、A.5.1.2 情報セキュリティのための方針群のレビュー


A.6 情報セキュリティのための組織

A.6.1 内部組織
A.6.1.1 情報セキュリティの役割及び責任、A.6.1.2 職務の分離、A.6.1.3 関係当局との連絡、A.6.1.4 専門組織との連絡、A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
A.6.2 モバイル機器及びテレワーキング
A.6.2.1 モバイル機器の方針、A.6.2.2 テレワーキング


A.7 人的資源のセキュリティ

A.7.1 雇用前
A.7.1.1 選考、A.7.1.2 雇用条件
A.7.2 雇用期間中
A.7.2.1 経営陣の責任、A.7.2.2 情報セキュリティの意識向上、教育及び訓練、A.7.2.3 懲戒手続
A.7.3 雇用の終了及び変更
A.7.3.1 雇用の終了又は変更に関する責任


A.8 資産の管理

A.8.1 資産に対する責任
A.8.1.1 資産目録、A.8.1.2 資産の管理責任 a)  、A.8.1.3 資産利用の許容範囲、A.8.1.4 資産の返却
A.8.2 情報分類
A.8.2.1 情報の分類、A.8.2.2 情報のラベル付け 、A.8.2.3 資産の取扱い
A.8.3 媒体の取扱い
A.8.3.1 取外し可能な媒体の管理、A.8.3.2 媒体の処分、A.8.3.3 物理的媒体の輸送


A.9 アクセス制御

A.9.1 アクセス制御に対する業務上の要求事項
A.9.1.1 アクセス制御方針 、A.9.1.2 ネットワーク及びネットワークサービスヘのアクセス
A.9.2 利用者アクセスの管理
A.9.2.1 利用者登録及び登録削除 、A.9.2.2 利用者アクセスの提供 (provisioning) 、A.9.2.3 特権的アクセス権の管理 、 A.9.2.4 利用者の秘密認証情報の管理 、A.9.2.5 利用者アクセス権のレビュー 、A.9.2.6 アクセス権の削除又は修正
A.9.3 利用者の責任
A.9.3.1 秘密認証情報の利用
A.9.4 システム及びアプリケーションのアクセス制御
A.9.4.1 情報へのアクセス制限 、A.9.4.2 セキュリティに配慮したログオン手順 、A.9.4.3 パスワード管理システム 、A.9.4.4 特権的なユーティリティプログラムの使用 、A.9.4.5 プログラムソースコードヘのアクセス制御


A.10 暗号

A.10.1 暗号による管理策
A.10.1.1 暗号による管理策の利用方針 、A.10.1.2 鍵管理


A.11 物理的及び環境的セキュリティ

A.11.1 セキュリティを保つべき領域
A.11.1.1 物理的セキュリティ境界 、A.11.1.2 物理的入退管理策 、A.11.1.3 オフィス、部屋及び施設のセキュリティ 、A.11.1.4 外部及び環境の脅威からの保護、A.11.1.5 セキュリティを保つべき領域での作業 、A.11.1.6 受渡場所
A.11.2 装置
A.11.2.1 装置の設置及び保護 、A.11.2.2 サポートユーティリティ 、A.11.2.3 ケーブル配線のセキュリティ 、A.11.2.4 装置の保守 、A.11.2.5 資産の移動 、A.11.2.6 構外にある装置及び資産のセキュリティ 、A.11.2.7 装置のセキュリティを保った処分又は再利用 、A.11.2.8 無人状態にある利用者装置 、A.11.2.9 クリアデスク・クリアスクリーン方針


A.12 運用のセキュリティ

A.12.1 運用の手順及び責任
A.12.1.1 操作手順書 、A.12.1.2 変更管理 、A.12.1.3 容量・能力の管理 、A.12.1.4 開発環境、試験環境及び運用環境の分離
A.12.2 マルウェアからの保護
A.12.2.1 マルウェアに対する管理策
A.12.3 バックアップ
A.12.3.1 情報のバックアップ
A.12.4 ログ取得及び監視
A.12.4.1 イベントログ取得 、A.12.4.2 ログ情報の保護 、A.12.4.3 実務管理者及び運用担当者の作業ログ 、A.12.4.4 クロックの同期
A.12.5 運用ソフトウェアの管理
A.12.5.1 運用システムに関わるソフトウェアの導入
A.12.6 技術的ぜい弱性管理
A.12.6.1 技術的ぜい弱性の管理 、A.12.6.2 ソフトウェアのインストールの制限
A.12.7 情報システムの監査に対する考慮事項
A.12.7.1 情報システムの監査に対する管理策


A.13 通信のセキュリティ

A.13.1 ネットワークセキュリティ管理
A.13.1.1 ネットワーク管理策 、A.13.1.2 ネットワークサービスのセキュリティ 、A.13.1.3 ネットワークの分離 
A.13.2 情報の転送
A.13.2.1 情報転送の方針及び手順 、A.13.2.2 情報転送に関する合意 、A.13.2.3 電子的メッセージ通信 、A.13.2.4 秘密保持契約又は守秘義務契約


A.14 システムの取得、開発及び保守

A.14.1 情報システムのセキュリティ要求事項
A.14.1.1 情報セキュリティ要求事項の分析及び仕様化 、A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 、A.14.1.3 アプリケーションサービスのトランザクションの保護
A.14.2 開発及びサポートプロセスにおけるセキュリティ
A.14.2.1 セキュリティに配慮した開発のための方針 、A.14.2.2 システムの変更管理手順 、A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー 、A.14.2.4 パッケージソフトウェアの変更に対する制限 、A.14.2.5 セキュリティに配慮したシステム構築の原則 、A.14.2.6 セキュリティに配慮した開発環境 、A.14.2.7 外部委託による開発 、A.14.2.8 システムセキュリティの試験 、A.14.2.9 システムの受入れ試験
A.14.3 試験データ
A.14.3.1 試験データの保護


A.15 供給者関係

A.15.1 供給者関係における情報セキュリティ
A.15.1.1 供給者関係のための情報セキュリティの方針 、A.15.1.2 供給者との合意におけるセキュリティの取扱い 、A.15.1.3 ICT サプライチェーン
A.15.2 供給者のサービス提供の管理
A.15.2.1 供給者のサービス提供の監視及びレビュー 、A.15.2.2 供給者のサービス提供の変更に対する管理


A.16 情報セキュリティインシデント管理

A.16.1 情報セキュリティインシデントの管理及びその改善
A.16.1.1 責任及び手順 、A.16.1.2 情報セキュリティ事象の報告 、A.16.1.3 情報セキュリティ弱点の報告 、A.16.1.4 情報セキュリティ事象の評価及び決定 、A.16.1.5 情報セキュリティインシデントヘの対応 、A.16.1.6 情報セキュリティインシデントからの学習 、A.16.1.7 証拠の収集


◆ハインリッヒの法則
アメリカの安全技師ハインリッヒは、労働災害の事例の統計を分析した結果「1:29:300」や「ヒヤリ・ハット」の言葉で知られている法則を提唱した。
それによると「1件の重大事故が発生する背景には、29件の軽微な事故があり、300件の無償事故(ヒヤッとしたり、ハットしたこと)がある。さらに、その下には認識されない(気づかない、無視されている)数多くの不安定行動や不安定状態がある。」である。
 重大事故はめったに起こらないと言い切れない。原因となる不安定な要素がある場合には、重大事故はいつでも起こりうることを示唆している。


A.17 事業継続マネジメントにおける情報セキュリティの側面

A.17.1 情報セキュリティ継続
A.17.1.1 情報セキュリティ継続の計画 、A.17.1.2 情報セキュリティ継続の実施 、A,17.1.3 情報セキュリティ継続の検証、レビュー及び評価
A.17.2 冗長性
A.17.2.1 情報処理施設の可用性


◆ 解 説
-事業継続計画(Business continuity planning、BCP)は「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画(Business Continuity & Resiliency Planning、BCRP)とも呼ばれる。
-情報セキュリティの継続が事業継続マネジメント(BCM という。)プロセス又は災害復旧管理(DRM という。)プロセスに織り込まれているか否かを判断することが望ましい。
-事業継続及び災害復旧に関する正式な計画が策定されていない場合,通常の業務状況とは異なる困難な状況においても,情報セキュリティ要求事項は変わらず存続することを,情報セキュリティマネジメントの前提とすることが望ましい。

-事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。
-情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには,通常の BCM又は DRM における BIA に,情報セキュリティに関する側面を織り込むことが推奨される。すなわち,情報セキュリティ継続に関する要求事項が,BCM プロセス又は DRM プロセスにおいて明確に定められているということである。
-BCMに関する情報が,JIS Q 22301,ISO 22313 及び ISO/IEC 27031 に示されている。

-冗長性とは 余分なもの、余剰がある、重複しているという意味である。IT用語では、主に余裕のある状態、二重化など、ポジティブな意味合いで使われることが多い。 データ圧縮などにおいては、効率性の妨げになる余剰分を排除するという場合に本来の余剰、重複の意味で使われることもある。 コンピュータシステムでは、耐障害性を高めるためにネットワークを含むシステム全体を二重化して予備システムを準備することを冗長化といい、冗長化によって信頼性、安全性を確保した状態を冗長性があるという。
-企業は,情報システムの可用性に関する業務上の要求事項を特定することが望ましい。


A.18 順守

A.18.1 法的及び契約上の要求事項の順守
A,18.1.1 適用法令及び契約上の要求事項の特定 、A.18.1.2 知的財産権 、 A.18.1.3 記録の保護 、A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護 、A.18.1.5 暗号化機能に対する規制
A.18.2 情報セキュリティのレビュー
A.18.2.1 情報セキュリティの独立したレビュー 、A.18.2.2 情報セキュリティのための方針群及び標準の順守 、A.18.2.3 技術的順守のレビュー


実績豊富なISOコンサルタント陣がISO9001、ISO14001、Pマーク取得ノウハウをご提供。ISO担当者だけでなく経営者も必見の情報です。まずは最新の無料レポートをご覧下さい。
ISO27001,ISO14001,ISO9001,Pマーク取得に関するお悩み・ご相談を無料メール相談でお受けします。専門家のアドバイスを受けたい方、まずはこの無料サービスをご利用下さい。


ニーズで選べる支援内容

・お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お問合わせください。
・既にシステム運用をしていて、改善したい、運用を支援してもらいたいのだが。。。といった改善のご相談もお気軽にお問合わせください。

・マニュアルや管理文書の改良(高度化、整合化、削減など)のための書き換えサービスを実施しております。
・ISO9001,ISO14001など他規格との統合マネジメントシステムも対応可能です。
・サービス内容はお客様との相談により対応しております。
・お気軽にお問合わせください。



Copyright © 2005-2018 TATECS , All Rights Reserved.
inserted by FC2 system