Microsoft PowerPoint - ISMS詳細管理策講座

Similar documents
(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

ISMS情報セキュリティマネジメントシステム文書化の秘訣

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

ALogシリーズ 監査レポート集

Microsoft Word - sp224_2d.doc

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

マイナンバー制度 実務対応 チェックリスト

QMR 会社支給・貸与PC利用管理規程180501

Microsoft Word - 06_個人情報取扱細則_ doc

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

個人情報保護規定

スライド 1

はじめてのマイナンバーガイドライン(事業者編)

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

システム監査マニュアル

必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

中小企業向け サイバーセキュリティ対策の極意

日商PC検定用マイナンバー_参考資料

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

プライバシーマーク審査センター審査業務規則

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

個人情報分析表 類型 K1: 履歴書 職務経歴書 社員基礎情報 各種申請書 誓約書 同意書 入退室記録 教育受講者名簿 理解度確認テスト 本人から直接取得 社員管理に利用する 保管庫に保管する 廃棄する 残存 1. 同意を得ないで取得する 1. 目的外利用する 1. 紛失する 1. 廃棄物から情報漏

PowerPoint プレゼンテーション

(3) 個人情報保護管理者の有無 位置づけ CPO は取締役である (4) 認証取得の有無 ( 時期 ) 認証の種類 その認証を取得した理由 効果 プライバシーマーク ISO9001 ISO14001 ISO27001 の認証を取得 情報セキュリティ格付 A AAis( トリプルA) IT-BCP

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

に不要となった時点で速やかに抹消する (9) 提供した情報資産の返還 廃棄受託者は 中野区から提供された情報資産について本契約終了後 速やかに中野区に返却するか 消去又は廃棄してその旨を書面で報告する また 提供データの内容及び交換履歴に関して記録しておく (10) 記録媒体の制限受託者は 中野区か

最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig

情報セキュリティ基本方針書(案)

システム利用規程 1 趣旨 対象者 対象システム 遵守事項 PCにおけるセキュリティ対策 PCの利用 PCで使用できるソフトウェア PCのパスワード管理

スライド 1

ネットワーク管理規程 1 趣旨 対象者 対象システム 遵守事項 設置基準 導入時の遵守事項 共通の遵守事項 インターネット接続環境における導入時遵守事項 社

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

品質マニュアル(サンプル)|株式会社ハピネックス

マイナンバー対策マニュアル(技術的安全管理措置)

ISO9001:2015内部監査チェックリスト

Microsoft Word - JIS_Q_27002_.\...doc

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

組織内CSIRTの役割とその範囲

<4D F736F F D BD896694C C668DDA FEE95F1835A834C A AC7979D8AEE8F BD90AC E89FC90B394C5816A2E646F6378>

Webエムアイカード会員規約

Advance_LIMS+ESER_ pdf

第 1-4 条用語の定義 本ガイドラインにおいて, 次の各号に掲げる用語の定義は, それぞれ次に定めるところによる (1) 委託先等 とは, 委託先, 再委託先及び発注先をいう (2) 外部記憶媒体 とは, 機器に接続してそのデータを保存するための可搬型の装置をいう (3) 外部ネットワーク とは,

特定個人情報等取扱規程

保総発第○○○号

Microsoft Word - (情報システム係修正)情報システムの導入と廃棄の作業マニュアル

学校の個人情報漏えい事故の発生状況について 本資料は 平成 25 年度 ( 平成 25 年 4 月 1 日 ~ 平成 26 年 3 月 31 日 ) に学校 教育機関 関連組織で発生した 児童 生徒 保護者らの個人情報を含む情報の漏えい事故についての公開情報を調査し 集計したものです 学校や自治体が

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

(3) 利用 保管方法 要介護認定情報等の申出にて発生する厚生労働省 大学内での倫理審査の文書 研究方法のマニュアル等は 研究室で適切に管理する 厚生労働省より提供を受けた要介護認定情報等の保存媒体の保管場所は 研究室の戸棚に保管し 施錠する 要介護認定情報等の利用場所は 研究室のみとする サーバ室

特定個人情報の取扱いの対応について

Microsoft Word - ○指針改正版(101111).doc

財団法人日本体育協会個人情報保護規程

Microsoft PowerPoint - クラウドサービスセキュリティセミナー

P004: 個人情報取り扱い細則 個人情報取り扱い細則 制定平成 26 年 9 月 1 日初版 改定平成 28 年 4 月 1 日第二版 株式会社 **** 個人情報保護 管理者 1/6

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

目次 1. 目的と適用範囲 定義 原則 使用機器 審査資料交付システム タブレット端末 管理運用体制 電磁的記録管理運用責任者の役割 電磁的記録管理運用担当者の役割

新潟勤労者医療協会 下越病院    医療情報システムに関する運用管理規程

PowerPoint プレゼンテーション

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類 情報資産名称 備考 利用者範囲 管理部署 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 評価値 完全性 可用性 重要度 保存期限 登録日 脅威の発生頻度 ( 脅威の状況 シートで設定

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

本チェックシートは サイボウズ株式会社が提供する cybozu.com サービスについて そのセキュリティ対策を記載したものです サイボウズ株式会社は 下記認証登録範囲の情報セキュリティマネジメントシステムについて ISO/IEC27001:2013/JIS Q 27001:2014 の要求事項に適

5400 エミュレーターII 構成の手引き(第6章 トラブルシューティング)

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

<93648EA593498B4C985E82C98AD682B782E E838A F E315F C668DDA95AA292E786C7378>

McAfee Application Control ご紹介

JIS Q 27001:2014への移行に関する説明会 資料1

1 策定の目的 この手引書は 茅ヶ崎市地域防犯カメラ ( 以下 地域防犯カメラ という ) の設置及び運用について配慮すべき事項を定めることにより 地域防犯カメラの有用性とプライバシー保護等との調和を図り 地域防犯カメラを適切かつ効果的に活用し 茅ヶ崎市の安心して安全に暮らせるまちづくりを推進するこ

ハードディスクパスワードが設定されたパソコンを起動すると 図 2のようなパスワードの入力を要求する画面が表示され 正しいパスワードを入力しなければパソコンを起動することができません 以下の通りです (1) 文書を作成して [ 名前を付けて保存 ] をクリックすると 図 3の画面が表示されます (2)

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

中小企業向け サイバーセキュリティ対策の極意

中小企業向け はじめてのマイナンバーガイドライン

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

1 名称 三田市議会ペーパーレス会議システム導入 運用業務 2 目的電子データによる議会関連資料やその他関係資料の共有 情報の伝達 共有及びペーパーレス会議を実現するためのツールを導入することにより 議会運営の活性化及び議会 議員活動の効率化を図るとともに用紙類や印刷費 作業時間等に関わる経費等の削

特定個人情報の取扱いの対応について

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

文書管理規程 1.0 版 1

14個人情報の取扱いに関する規程

スライド 1

スライド 1

事故前提社会における           企業を支えるシステム操作統制とは

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

<4D F736F F F696E74202D202895CA8E86816A89638BC694E996A78AC7979D8EC091D492B28DB88A E >

アメリカ事務所におけるコンピュータ保守業務委託契約書


<4D F736F F D208BA689EF834B CC8A6D92E894C55F F2E646F63>

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す

Ⅰ はじめに 1 ガイドラインを策定する目的 大阪市は 政令指定都市の中でも街頭犯罪が多い都市となっており 安全で安心して暮らせるまちづくりのための対策が必要となっています その中で 防犯カメラは 24 時間撮影が可能であることから 犯罪の抑止効果があるとともに 犯罪発生時には容疑者の特定にも役立つ

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

借上くんマイナンバー制度対応

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx

障害管理テンプレート仕様書

Microsoft PowerPoint - A1.ppt

<90528DB88EBF96E2955B2E786C73>

この資料は マイナンバー制度 実施にともない企業( 事業者 ) が行われることをご紹介し情報セキュリティ対策や罰則についての誤った情報のため過大な準備をされることがないようお伝えし その上で なりすまし 犯罪等防止のため自社に応じたムダの少ない情報セキュリティ対策を検討されるための資料です

目 次 第 1 はじめに 2 1 ガイドライン策定の目的 2 2 ガイドラインの対象となる防犯カメラ 2 3 防犯カメラで撮影された個人の画像の性格 2 第 2 防犯カメラの設置及び運用に当たって配慮すべき事項 3 1 設置目的の設定と目的外利用の禁止 3 2 設置場所 撮影範囲 照明設備 3 3

FJAS図書クラウドサービスホワイトペーパー(第1.2版)

Transcription:

ISO27001 ISMSの基礎知識 合同会社 Double Face 1

詳細管理策とは ISMSの要求事項の中でも唯一実現の要否について実現しないことが許される管理策のことです 詳細管理策は次の章立てで構成されています A5 情報セキュリティ基本方針 A6 情報セキュリティのための組織 A7 資産の管理 A8 人的資源のセキュリティ A9 物理的および環境的セキュリティ A10 通信および運用管理 A11 アクセス制御 A12 情報システムの取得 開発及び保守 A13 情報セキュリティインシデントの管理 A14 事業継続管理 A15 遵守 合同会社 Double Face 2

詳細管理策は 全社的な対応を要する管理策と 部門や組織 施設によって異なる管理策に分かれます 合同会社 Double Face 3

リスクアセスメントリスクアセスメントの結果対応を要すると判断されたものに関しては対応が必要となりますが 不要と判定されれば選択しないことも許可されます また 選択することで業務上の問題となるもの 該当しないものなども詳細管理策としては適用除外の理由となります ただし これらの記録を明確に残さなければならず 判断の根拠を示さなければなりません 合同会社 Double Face 4

情報セキュリティ基本方針情報セキュリティ基本方針について次のことを規程しています 定期的に見直しすること 公開すること実際には要求事項にも同様の内容が規定されています 合同会社 Double Face 5

情報セキュリティのための組織次のことを実現することを求めています 経営陣から任命されたセキュリティ組織 部門横断でセキュリティについての情報交換のできる組織 情報セキュリティ責任の明確化 情報処理設備を導入する際の認可プロセス ( 問題ないか事前確認 ) 秘密保持制約のレビュー機能 外部組織との連絡体制 専門家との意見調整 セキュリティ対策の定期的な見直し 業務委託する場合のリスク管理 顧客がシステムへアクセスする際のリスク管理 契約における情報セキュリティ要件の明確化 合同会社 Double Face 6

資産の管理資産について 次のことが求められています 情報資産台帳の作成 資産の管理責任者の明確化 資産の利用許可範囲の明確化 ( どの情報は誰が使用してよいのか ) 資産分類 ( 情報の重要度に応じて区分けする ) 資産のラベル付け ( 情報の重要度が分かるようにラベル付けを行い区分けしやすくする ) これらの内容に基づき 現在は文書管理基準が策定されています 合同会社 Double Face 7

人的資源のセキュリティ従業員について 次のように管理することを求めています 雇用前に 選考を行い 雇用契約などでセキュリティに関する責任を明示する 従業員が守るべきセキュリティ上の役割や責任について明文化する セキュリティのルールを明文化し 周知する 情報セキュリティの維持向上教育を定期的に行う セキュリティ違反に対して 正式な懲戒手続きを設ける 雇用終了時の機密保持を行う 雇用終了時には資産を返却させ アクセス権を削除する 合同会社 Double Face 8

9.1 セキュリティを保つべき領域セキュリティ上 守るべき施設等へは物理的に次のように保護することが求められています 物理的に封鎖する ( ドア 壁など ) 物理的にアクセスを制限する ( 入退室管理など ) オフィスエリアもセキュリティを考慮したうえで設計する 火災などの災害から保護できるようにする 特にセキュリティの高いエリアでの作業ルールを定める 一般の人が立ち入るエリアはセキュリティの高いエリアとは切り離す 合同会社 Double Face 9

9.2 装置のセキュリティ物理的に破損するリスクのある装置に関しては 次の通り保護することが求められています 装置の設置場所には 環境上の影響が低いところを選ぶまたは保護する エアコン UPSの故障などが発生した時の対応が出来るようにしておく ケーブル配線は 損傷や 盗聴などのないように行う 適切に保守する ( 保守メニューを定める ) 社外に装置がある場合 社内とは異なるルールを考慮する ( オフィスエリア外に持ち出しも含む ) PCを廃棄する場合は情報を処理したうえで廃棄する 装置 情報 ソフトウェアは 事前の認可なしには持ち出さない ( 認可制度を作る ) 合同会社 Double Face 10

10.1 運用の手順および責任情報システムの運用手順について 次のことが求められています 情報システムの操作手順は文書化する 情報システムの変更は 記録し 変更前に計画し 影響範囲を考慮したうえで行う 情報システムの職務及び責任は分割する 開発環境は本番環境とは分ける 10.2 第三者が提供するサービスの管理第三者の提供するサービスをセキュリティの保たれた状態にするために 次のことが求められています サービスの責任範囲 セキュリティの責任 サービスレベルなどを合意する 第三者が提供するサービスを報告を受けるなどの方法で常に監視し 定期的に監査する サービスが変更された場合に リスクなどに影響がないか確認する 合同会社 Double Face 11

10.3 システムの計画作成及び受入れシステムを新規導入する際には 故障などのリスクを防ぐために次のことを実施する 必要なシステムの性能があることを確実するために 将来必要な容量 能力を予測しておく システムを受け入れる前に 試験を行って 問題ないことを確認する A10.4 悪意のあるコード及びモバイルコードからの保護 悪意のあるコード及びモバイルコードとは ウィルスや不正プログラム等のことを指します Winnyの禁止 ウィルス対策ソフトの導入 ウィルス感染時の対応手順策定など 10.5 バックアップバックアップについては 具体的な周期や対象となる情報を定めて行うことが求められています 合同会社 Double Face 12

10.6 ネットワークセキュリティ管理ネットワークについては 設計段階 さらには意地の過程において適切なネットワーク構成をするために次のことが求められています ネットワークを適切に管理 制御する ネットワークに関しては セキュリティを保てるよう設計し 全体像を決めることが求められます 管理 制御とは 変更の計画や記録などを行うことであり 影響評価を行ったうえでネットワークの変更などを行うことが求められます すべてのネットワークサービスにおいて サービス状態を把握できるようにしておく 社内に関してはネットワークの構成図を作ることが求められます 社外のサービスを受けているものに関しては 契約 サービスの報告などを受けることで実現されます 合同会社 Double Face 13

10.7 媒体の取扱い媒体とは 紙 メモリ HDD などのことを指し これらの媒体については次の通り取り扱うことが求められます 可搬媒体の管理に関する手順を策定する 媒体を処分する際の安全な処分の手順を策定する ( 物理的破壊など ) 媒体の取扱 保管ルールを定める 情報システムに関連した文書は特に厳重に保護するこれらのことを実現するために 情報の取扱手順策定は必須となってきます 合同会社 Double Face 14

10.8 情報の交換情報の交換は 内部 及び外部との情報交換も含みます 情報交換については セキュリティを保つために次のことが求められます メール Web 電話 Fax などの通信機器を使用する際のルールを決めておく 外部組織との間で情報交換を行う際には 両者で取り決めた方法を使って情報交換する 媒体を配送で送る場合 盗難 紛失 破損などにあわないように安全な配送方法を選択する メールなどに含まれる情報を保護するための対策をとる 相互接続のあるシステムとメッセージ通信を行う場合には そのメッセージの送信の仕方や 手順を策定する 10.9 電子商取引サービス電子商取引とは Web などを使って商取引を自社主導で行っている場合に適用が必要な項目です その場合には 改ざん対策や 商取引の記録が正確に残るような対策 また Web サイトの情報そのものを正確に保つことなどが求められます 合同会社 Double Face 15

10.10 監視監視は エラーの検知だけでなく不正アクセスなどの検知のために行われます 監視については次のように実現することが求められています 作業ログ インシデント等の必要なログを取得し 保管する システムの使用状況を監視する また 結果をレビューする ( トラフィック アタックなど ) ログは改ざんされないように保護しておく システムを運用している際に発生する作業の記録を残す ( 変更記録など ) 障害のログを取得し 対応する 情報システムのクロックは同期する 合同会社 Double Face 16

11.1 アクセス制御方針アクセス制御には方針を定めなければならないとされていますが アクセス制御は次のような概念で成立しています このアクセス権を 何に対して割り当てるのかがアクセス制御方針です 合同会社 Double Face 17

11.2 利用者アクセスの管理アクセス制御の一環として ユーザ管理の実施をすることが求められています ユーザ登録 削除は正式な承認プロセスを経て行うようすること 特権 ( アドミニストレータ スーパーユーザなど ) は必要最低限の人にしか与えず 与える場合は承認を必要とすること パスワードは 割り当てを行う場合は管理された割り当て方法で 個人ごとの設定の場合は その個人に対し 解析しづらいパスワードなどを選択させること 割り当てられたアクセス権は定期的に見直しをする 11.3 利用者の責任ユーザ管理の徹底において 利用者に対しても要求があります パスワードの選択時にはセキュリティ上解析しづらいパスワードにする 無人状態のPCが不正使用されないようにログオフ 電源オフなどを徹底する 離席時にはクリアスクリーン 普段からクリアデスクポリシーを徹底する 合同会社 Double Face 18

11.4 ネットワークのアクセス制御ネットワークを使用する際には 次の通りアクセスを制限する必要があります 不必要なネットワークには入らせないようにする 遠隔地からアクセスするユーザがいる場合は 認証方法を用意する 特定の機器などからのアクセスを認証しなければならない場合は 装置の識別を行う 診断用や 環境設定用に外部からアクセスできるようにあけているポートへのアクセスは制御する ネットワークはグループごとに分割する インターネットなどの共用ネットを使用する際のルールを決めておく アクセス制御が守られるよう ルーティングを設定する ネットワークの範囲や 対象となるネットワークごとに対応する管理策の内容が異なることがあります もちろん 採用可否についても分かれる可能性があります 合同会社 Double Face 19

11.5 オペレーティングシステムのアクセス制御ここでいうオペレーティングシステムとは 単に PC の OS だけのことを指すわけではなく 社内のシステム全体を指してオペレーティングシステムという表現をとっています 社内システムへアクセスする場合はログオン手順を経由すること ユーザIDは一意なものにすること ( 同じものは使わない ) パスワードは対話式のパスワードシステムであること 及び不適切なパスワードを排除するよう設定されていること システムを制御できるユーティリティの使用は制限すること 一定の使用中断時間が経過したら ネットワーク接続を切断すること ( ログオフでも可 ) リスクの高いシステムを使用する際には 使用を許可する時間を特定して使用させるようにする 合同会社 Double Face 20

11.6 業務用ソフトウェア及び情報のアクセス制御ここでいう業務用ソフトウェアとは データベースなどのソフトのことを指しています ファイルサーバなどに保管された情報と異なる管理が必要です ソフトウェア上で設定できるアクセス制御を行う 取り扱いに慎重を要するシステムである場合 隔離した環境に設置する 11.7 モバイルコンピューティング及びテレワーキングモバイルコンピューティングとはノート PC 等の持ち出し環境で使用すること テレワーキングとは遠隔地 ( おもに自宅 ) などで作業することを指しています モバイルコンピューティングをする場合のルールを策定する テレワーキングを行う場合のルールを策定する 合同会社 Double Face 21

12.1 情報システムのセキュリティ要求事項新規システムの導入や 既存のシステム改善を行う場合には事前に仕様を明示しなければならない 仕様として 求められるのは次のような内容 容量 性能 ソフトウェア及びミドルウェアの内容 セキュリティ上の優位点及び注意点 セキュリティ機能 システム導入などを行う場合は 仕様の明確化を行うとともに 仕様の内容を確認したうえで 問題ないことを承認してから導入することが求められます 合同会社 Double Face 22

12.2 業務用ソフトウェアでの正確な処理業務用ソフトを使用する際には 次のことを確実に行えるソフトウェアとすることが求められます システム間のメッセージを正確に 内容を正確に入力する内部処理が誤っていた場合に エラーを検出する機能を設ける 出力したデータが正確であったか確認する 合同会社 Double Face 23

12.3 暗号による管理策暗号は設定することにより セキュリティが高まりますが 逆に複合できなかったときにファイルが開けないといった問題が発生する可能性があります 暗号を使用する条件及び 暗号の種類は特定する 暗号かぎを使用する 12.4 システムファイルのセキュリティシステムファイルとはシステムを設定している情報のことを指します ソフトを導入する際には 既存のシステムで動作可能かを確認したうえで導入すること システムのテストに使用したデータは保護し 管理すること ソースコードへのアクセスは 必要な人間以外させないこと上記のことを情報システムの改善などを行う際に実施することが求められています 合同会社 Double Face 24

12.5 開発及びサポートプロセスにおけるセキュリティ システムの導入時に注意すべき点をここからは主に定義しています 変更管理の手順を用意すること 情報システムを変更する際には 事前に試験すること パッケージ販売されているソフトの変更は ライセンス上許可されている範囲内とすること 導入時に情報漏えいが起こらないように対応すること ソフト開発を外部委託した場合には 進捗などを監視すること 12.6 技術的ぜい弱性の管理現在利用中の情報システムの技術的なぜい弱性に関する情報は都度確認の上対応すること パッチインストール セキュリティ情報の確認など 合同会社 Double Face 25

13.1 情報セキュリティの事象および弱点の報告情報セキュリティに関する事象には システムのエラーなどだけでなく 情報漏えいや不正改ざんなどといった事象も含まれます これらの事象について次の通り対応することが求められています 情報セキュリティインシデントが発生した際の報告 連絡経路を定める インシデント及び疑いのあった事象はすべて記録する 13.2 情報セキュリティインシデントの管理及びその改善 情報セキュリティインシデントについて 組織としての対応体制を定める必要があります 情報セキュリティインシデントに対応する組織を定める 情報セキュリティインシデントを分析し 受けた被害などを明確にする 法的措置が必要となったときのために証拠を収集する 合同会社 Double Face 26

事業継続計画 合同会社 Double Face 27

順守コンプライアンスについて定義されており 次の内容を定める必要があります 適用法令対応方針の文書化 知的財産権の保護方法 法的に重要な記録 文書の保護 個人情報保護 情報処理施設を不正利用から保護する 暗号化の法令順守 ( 現在日本には 暗号化の法制はないため 適用は除外となる ) セキュリティ方針順守のための手順作成 情報システムのセキュリティチェック 情報システム監査のリスク対策 情報システム監査ツールのリスク対策 合同会社 Double Face 28

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック