Top / 2005年版の詳細管理策
HTML convert time: 0.051 sec.

2005年版の詳細管理策

Last-modified: 2017-01-04 (水) 12:52:49

ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策 > 情報セキュリティ用語

ISO27001:2005年版の詳細管理策

A.5 セキュリティ基本方針の項目

  • A.5.1 情報セキュリティ基本方針
  • 目的:情報セキュリティのための経営陣の方向性及び支持を、事業上の要求事項、関連する法令及び規則に従って規定するため。
  • A.5.1.1 情報セキュリティ基本方針文書

    管理策:情報セキュリティ基本方針文書は、経営陣によって承認されなければならず、また、全従業員及び関連する外部関係者に公表し、通知しなければならない。
  • A.5.1.2 情報セキュリティ基本方針のレビュー

    管理策:情報セキュリティ基本方針は、あらかじめ定められた間隔で、または重大な変化が発生した場合に、それが引き続き適切、妥当及び有効であることを確実にするためにレビューしなければならない。

解説

経営者は情報セキュリティ基本方針を作成して周知する。


A.6 情報セキュリティのための組織

  • A.6.1 内部組織
    • A.6.1.1 情報セキュリティの役割及び責任
    • A.6.1.2 職務の分離
    • A.6.1.3 関係当局との連絡
    • A.6.1.4 専門組織との連絡
    • A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
  • A.6.2 モバイル機器及びテレワーキング
    • A.6.2.1 モバイル機器の方針
    • A.6.2.2 テレワーキング

解説

  • 内部組織の管理策は、組織内の情報セキュリティを管理するため行なうもの。
  • モバイルコンピュ一ティング及びテレワーキングは、モバイルコンピューティング及びテレワーキングの設備を用いる時の情報セキュリティを確実にするため行なう。

A.7資産の管理の項目

  • A.7.1 資産に対する責任
    • A.7.1.1 資産目録
    • A.7.1.2 資産の管理責任者
    • A.7.1.3 資産利用の許容範囲
  • A.7.2 情報の分類
    • A.7.2.1 分類の指針
    • A.7.2.2 情報のラベル付け及び取扱い

解説

A.7.1 資産に対する責任は、組織の資産の適切な保護を達成し、維持するため行なう。

A.7.2 情報の分類は、情報の適切なレベルでの保護を確実にするため行なう。


A.8人的資源のセキュリティの項目

  • A.8.1 雇用前
    • A.8.1.1 役割及び責任
    • A.8.1.2 選考
    • A.8.1.3 雇用条件
  • A.8.2 雇用期間中
    • A.8.2.1 経営陣の責任
    • A.8.2.2 情報セキュリティの意識向上、教育及び訓練
    • A.8.2.3 懲戒手続
  • A.8.3 雇用の終了または変更
    • A.8.3.1 雇用の終了又は変更に関する責任
    • A.8.3.2 資産の返却
    • A.8.3.3 アクセス権の削除

解説

A.8.1 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。

A.8.2 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中
で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。

A.8.3 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。


A.9物理的及び環境的セキュリティ 理策の項目

  • A.9.1 セキュリティを保つべき領域
    • A.9.1.1 物理的セキュリティ境界
    • A.9.1.2 物理的入退管理策
    • A.9.1.3 オフィス、部屋及び施設のセキュリティ
    • A.9.1.4 外部及び環境の脅威からの保護
    • A.9.1.5 セキュリティを保つべき領域での作業
    • A.9.1.6 一般の人の立ち寄り場所及び受渡し場所
  • A.9.2 装置のセキュリティ
    • A.9.2.1 装置の設置及び保護
    • A.9.2.2 サポートユーティリティ
    • A.9.2.3 ケーブル配線のセキュリティ
    • A.9.2.4 装置の保守
    • A.9.2.5 構外にある装置のセキュリティ
    • A.9.2.6 装置の安全な処分又は再利用
    • A.9.2.7 資産の移動

解説

A.9.1 セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。

A.9.2 装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。


A.10通信及び運用管理 の項目~

  • A.10.1 運用の手順及び責任
    • A.10.1.1 操作手順書
    • A.10.1.2 変更管理
    • A.10.1.3 職務の分割
    • A.10.1.4 開発施設、試験施設及び運用施設の分離
  • A.10.2 第三者が提供するサービスの管理
    • A.10.2.1 第三者が提供するサービス
    • A.10.2.2 第三者が提供するサービスの監視及びレビュー
    • A.10.2.3 第三者が提供するサービスの変更に対する管理
  • A.10.3 システムの計画作成及び受入れ
    • A.10.3.1 容量・能力の管理
    • A.10.3.2 システムの受入れ
  • A.10.4 悪意のあるコード及びモバイルコードからの保護
    • A.10.4.1 悪意のあるコードに対する管理策
    • A.10.4.2 モバイルコードに対する管理策
  • A.10.5 バックアップ
    • A.10.5.1 情報のバックアップ
  • A.10.6 ネットワークセキュリティ管理
    • A.10.6.1 ネットワーク管理策
    • A.10.6.2 ネットワークサービスのセキュリティ
  • A.10.7 媒体の取扱い
    • A.10.7.1 取外し可能な媒体の管理
    • A.10.7.2 媒体の処分
    • A.10.7.3 情報の取扱手順
    • A.10.7.4 システム文書のセキュリティ
  • A.10.8 情報の交換
    • A.10.8.1 情報交換の方針及び手順
    • A.10.8.2 情報交換に関する合意
    • A.10.8.3 配送中の物理的媒体
    • A.10.8.4 電子的メッセージ通信
    • A.10.8.5 業務用情報システム
  • A.10.9 電子商取引サービス
    • A.10.9.1 電子商取引
    • A.10.9.2 オンライン取引
    • A.10.9.3 公開されている情報
  • A.10.10 監視
    • A.10.10.1 監査ログ取得
    • A.10.10.2 システム使用状況の監視
    • A.10.10.3 ログ情報の保護
    • A.10.10.4 実務管理者及び運用担当者の作業ログ
    • A.10.10.5 障害のログ取得
    • A.10.10.6 クロックの同期

解説

A.10.1運用の手順及び責任は、情報処理設備の正確、かつ、セキュリティを保った運用を確実にするため行なう。

A.10.2第三者が提供するサービスの管理は、第三者の提供するサービスに関する合意に沿った、情報セキュリティ及びサービスの適切なレベルを確保し、維持するため行なう。

A.10.3システムの計画作成及び受入れは、システム故障のリスクを最小限に抑えるため行なう。
A.10.4 悪意のあるコード及びモバイルコードからの保護は、ソフトウェア、情報の完全性を保護するため行なう。

A.10.5バックアップは、情報及び情報処理施設の完全性及び可用性を維持するため行なう。

A.10.6ネットワークセキュリティ管理は、ネットワークにおける情報の保護、及びネットワークを支える基盤の保護を確実にするため行なう。
A.10.7媒体の取扱いは、資産の認可されていない開示、改ざん、除去、又は破壊、並びにビジネス活動の中断を防止するため行なう。
A.10.8情報の交換は、組織の内部で交換した及び外部と交換した、情報及びソフトウェアのセキュリティを維持するため行なう。
A.10.9電子商取引サービスは、電子商取引サービスのセキュリティ、及びそれらサービスのセキュリティを保った利用を確実にするため行なう。

A.10.10監視は、認可されていない情報処理活動を検出するため行なう。


A.11 アクセス制御 の項目

  • A.11.1 アクセス制御に対する業務上の要求事項
    • A.11.1.1 アクセス制御方針
  • A.11.2 利用者アクセスの管理
    • A.11.2.1 利用者登録
    • A.11.2.2 特権管理
    • A.11.2.3 利用者パスワードの管理
    • A.11.2.4 利用者アクセス権のレビュー
  • A.11.3 利用者の責任
    • A.11.3.1 パスワードの使用
    • A.11.3.2 無人状態にある利用者装置
    • A.11.3.3 クリアデスク・クリアスクリーン方針
  • A.11.4 ネットワークのアクセス制御
    • A.11.4.1 ネットワークサービスの利用についての方針
    • A.11.4.2 外部から接続する利用者の認証
    • A.11.4.3 ネットワークにおける装置の識別
    • A.11.4.4 遠隔診断用及び環境設定用ポートの保護
    • A.11.4.5 ネットワークの領域分割
    • A.11.4.6 ネットワークの接続制御
    • A.11.4.7 ネットワークルーティング制御
  • A.11.5 オペレーティングシステムのアクセス制御
    • A.11.5.1 セキュリティに配慮したログオン手順
    • A.11.5.2 利用者の識別及び認証
    • A.11.5.3 パスワード管理システム
    • A.11.5.4 システムユーティリティの利用
    • A.11.5.5 セッションのタイムアウト
    • A.11.5.6 接続時間の制限
  • A.11.6 業務用ソフトウェア及び情報のアクセス制御
    • A.11.6.1 情報へのアクセス制限
    • A.11.6.2 取扱いに慎重を要するシステムの隔離
  • A.11.7 モバイルコンピュ一ティング及びテレワーキング
    • A.11.7.1 モバイルのコンピューティング及び通信
    • A.11.7.2 テレワーキング

解説

A.11.1アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。

A.11.2利用者アクセスの管理は、情報システムへの、認可された利用者のアクセスを確実にし、認可されていないアクセスを防止するため行なう。

A.11.3利用者の責任は、認可されていない利用者のアクセス、並びに情報及び情報処理設備の損傷又は盗難を防止するため行なう。

A.11.4ネットワークのアクセス制御は、ネットワークを利用したサービスへの認可されていないアクセスを防止するため行なう。

A.11.5オペレーティングシステムのアクセス制御は、OSへの、認可されていないアクセスを防止するため行なう。

A.11.6業務用ソフトウェア及び情報のアクセス制御は、業務用ソフトウエアシステムが保有する情報への認可されていないアクセスを防止するため行なう。

A.11.7モバイルコンピュ一ティング及びテレワーキングは、モバイルコンピューティング及びテレワーキングの設備を用いる時の情報セキュリティを確実にするため行なう。


A.12 情報システムの取得、開発及び保守 の項目

  • A.12.1 情報システムのセキュリティ要求事項
    • A.12.1.1 セキュリティ要求事項の分析及び仕様化
  • A.12.2 業務用ソフトウエアでの正確な処理
    • A.12.2.1 入力データの妥当性確認
    • A.12.2.2 内部処理の管理
    • A.12.2.3 メッセージの完全性
    • A.12.2.4 出力データの妥当性確認
  • A.12.3 暗号による管理策
    • A.12.3.1 暗号による管理策の利用方針
    • A.12.3.2 かぎ(鍵)管理
  • A.12.4 システムファイルのセキュリティ
    • A.12.4.1 運用ソフトウェアの管理
    • A.12.4.2 システム試験データの保護
    • A.12.4.3 プログラムソースコードへのアクセス制御
  • A.12.5 開発及び支援プロセスにおけるセキュリティ
    • A.12.5.1 変更管理手順
    • A.12.5.2 オペレーティングシステ ム変更後の業務用ソフトウェアの技術的レビュー
    • A.12.5.3 パッケージソフトウェアの変更に対する制限
    • A.12.5.4 情報の漏えい(洩)
    • A.12.5.5 外部委託によるソフトウェア開発
  • A.12.6 技術的ぜい弱性管理
    • A.12.6.1 技術的ぜい弱性の管理

解説

A.12.1 情報システムのセキュリティ要求事項は、セキュリティは情報システムの欠くことのできない部分であることを確実にするため行なう。

A.12.2業務用ソフトウエアでの正確な処理は、業務用ソフトウェアにおける情報の誤り、消失、認可されていない変更又は誤用を防止するため行なう。

A.12.3暗号による管理策は、暗号手段によって、情報の機密性、真正性又は完全性を保護するため行なう。

A.12.4システムファイルのセキュリティはシステムファイルのセキュリティを確保するため行なう。

A.12.5開発及び支援プロセスにおけるセキュリティは、業務用ソフトウエアシステムのソフトウエア及び情報のセキュリティを維持するため行なう。

A.12.6技術的ぜい弱性管理は、公開された技術的ぜい弱性の悪用によって生じるリスクを軽減するため行なう。


A.13 情報セキュリティインシデントの管理の項目~

  • A.13.1 情報セキュリティの事象及び弱点の報告
    • A.13.1.1 情報セキュリティ事象の報告
    • A.13.1.2 セキュリティ弱点の報告
  • A.13.2 情報セキュリティインシデントの管理及びその改善
    • A.13.2.1 責任及び手順
    • A.13.2.2 情報セキュリティインシデントからの学習
    • A.13.2.3 証拠の収集

解説

A.13.1情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。

A.13.2情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため
行なう。


A.14 事業継続管理の項目

  • A.14.1 事業継続管理における情報セキュリティの側面
    • A.14.1.1 事業継続管理手続への情報セキュリティの組込み
    • A.14.1.2 事業継続及びリスクアセスメント
    • A.14.1.3 情報セキュリティを組み込んだ事業継続計画の策定及び実施
    • A.14.1.4 事業継続計画策定の枠組み
    • A.14.1.5 事業継続計画の試験、維持及び再評価

解説

A.14事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。


A.15 コンプライアンスの項目

  • A.15.1 法的要求事項の順守
    • A.15.1.1 適用法令の識別
    • A.15.1.2 知的財産権(IPR)
    • A.15.1.3 組織の記録の保護
    • A.15.1.4 個人データ及び個人情報の保護
    • A.15.1.5 情報処理施設の誤用防止
    • A.15.1.6 暗号化機能に対する規則
  • A.15.2 セキュリティ基本方針及び標準の順守、並びに技術的コンプライアンス
    • A.15.2.1 セキュリティ方針及び標準の順守
    • A.15.2.2 技術的コンプライアンスの点検
  • A.15.3 情報システム監査に対する考慮事項
    • A.15.3.1 情報システム監査に対する管理策
    • A.15.3.2 情報システム監査ツールの保護

解説

A.15.1 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。

A.15.2 セキュリティ基本方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。

A.15.3 情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への/からの干渉を最小限にするため行なう。

情報セキュリティマネジメントシステム コンサルティング

2013年版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。

   お問合せは、ここをクリック→お問合せ