ISMS情報セキュリティマネジメントシステム文書化の秘訣

目次 ISO27001 版発刊にあたって 3 まえがき 6 第 1 章企業を取り囲む脅威と情報セキュリティの必要性 11 第 2 章情報セキュリティマネジメントシステム要求事項及び対応文書一覧表 31 第 3 章情報セキュリティマネジメントシステムの基礎知識 43 第 4 章情報セキュリティマネジメントシステムの構築 51 1 認証取得までの流れ 51 2 推進体制の構築 52 3 適用範囲の決定 53 4 ISMS 基本方針の策定 56 5 ISMS マニュアルの作成 58 6 情報資産の洗い出し 58 7 リスクアセスメント 59 8 リスク対応計画書の作成 62 9 手順書の作成 62 10 運用開始 63 11 内部監査 63 12 マネジメントレビュー 64 13 ステージ 1 ステージ 2 審査 64 14 認証取得 65 第 5 章 ISMS 文書の作り方 69 第 6 章 ISMS マニュアルの作成方法 75 1 適用 81 情報セキュリティマネジメントシステム文書化の秘訣 4

2 引用規格 81 3 用語及び定義 81 4 ISMS の確立 82 4.1 ISMS 推進体制 82 4.2 情報セキュリティ基本方針セキュリティ目的 84 4.3 リスクマネジメントの枠組み 85 4.4 文書記録の管理 94 4.5 事業継続計画 97 5 ISMS の運用 100 5.1 管理策の実施 100 5.2 教育訓練 101 5.3 法律規制事項の順守 103 5.4 従業員の雇用 104 5.5 第三者との契約 106 6 ISMS の監視 108 6.1 日常の点検 108 6.2 内部 / 外部監査 109 6.3 システム監査 112 6.4 マネジメントレビュー 113 7 改善 115 7.1 継続的改善 115 7.2 是正処置手順 115 7.3 予防処置手順 117 第 7 章情報セキュリティ手順書 (5 例 ) 123 1 セキュリティインシデント対応手順 (IS-C-01) 123 2 情報取扱い手順 (IS-C-02) 132 3 社内システム構築管理手順 (IS-C-03) 141 4 社内システム利用手順 (IS-C-04) 156 5 施設セキュリティ管理手順 (IS-C-05) 165 第 8 章 ISMS システム文書様式集 175 第 9 章 ISMS 内部監査チェックリスト 215 第 10 章推奨様式類一覧 239 おわりに 240 情報セキュリティマネジメントシステム文書化の秘訣 5

7. リスクアセスメント 7.1 リスクの識別リスク分析の方法は種々ありますがここでは詳細分析法の一つの方法を採用しています手順は以下の通りです資産の特定その資産のセキュリティを脅かすすべての脅威を列挙この脅威が顕在化した時の損害の内容を機密性完全性可用性の面から推定現時点で採られている対策の評価 ( 不足点充実点 ) まず情報資産台帳に記載された情報資産について機密性完全性可用性の面から発生しうるリスクを予測しリスクアセスメント結果表 (IS-B-02) に記載しますリスクアセスメントの実施に際しては下記の点を留意します (1) 情報資産台帳に記載されている情報資産をさらにグループ化するグループ化は下記の方法で行う 1 情報資産台帳に記載されている情報資産のうち保管責任者のみ異なる資産はグループ化する例 A 社関連営業資料 ( 保管責任者 M 社員 ) B 社関連営業資料 ( 保管責任者 N 社員 ) 顧客営業資料 2 1でグループ化した情報資産で保管場所の属性が共通なものをさらにグループ化する例 A 社受注システム開発データ ( 保管場所開発部サーバ 1) B 社受注システム開発データ ( 保管場所開発部サーバ 2) 受注システム開発データ (2) (1) でグループ化した情報資産に対するすべての脅威を洗い出す脅威は表 1に示す脅威を考慮する (3) 脅威が発生したときの被害を機密性完全性可用性の面から推定する (4) 脅威の発生に備えて従来から実施している管理策を記述する表 1 脅威の事例人的脅威 ( 内部犯行 ) 委託先の脅威データ持出し漏洩盗聴無認可アクセス, 委託先社員の犯行 ( 持出しなど ) データ改ざん消去機器破壊データ紛失不注意な取扱い機器媒体の無断使用ネットワークからの脅威人的脅威 ( 外部犯行 ) 不正侵入によるデータ持出しデータ改ざん消去窃盗機器破壊データコピー盗み見ウィルスによるデータ破壊漏洩ネットワーク停止人的脅威 ( ミス能力不足意識欠如 ) 踏み台にされて第三者攻撃機器ソフトの設定ミス入力ミス操作ミス DOS/DDOS 攻撃紛失漏洩ソーシャルエンジニアリングなりすましウィルス付き媒体 PCの持ち込み設備ソフトネットワーク障害ソフトウェアの違法な利用機器の故障異常動作記録媒体異常ソフトバグ手順を無視した機器ソフトの操作誤用ネットワーク障害異常トラフィック人的脅威 ( リソースの欠如 ) 電源変動温度湿度環境異常水ガス処理異常キーパソンの退社病欠粉塵ガス液体などによる環境汚染ストライキ災害火災地震洪水, 台風雷火山活動情報セキュリティマネジメントシステム文書化の秘訣 59

ISMS マニュアル制定日 2006.05.10 頁 25 標題 5.ISMS の運用 5.2 教育訓練改訂日区分 A (3) 社内システムの管理社内システム / ネットワークの運用アクセス制御保守日常監視について社内システム構築管理手順 (IS-C-03) に規定する (4) 社内システムの利用個人貸与 PC 及び共通サーバへの利用方法障害時の対処など利用者として順守するべき事項を社内システム利用手順 (IS-C-04) に規定する (5) 事務室のセキュリティ事務室への入退室手順及び間仕切り受渡し場所など物理的対策ならびに第三者による当社情報資産へのアクセス対策について施設セキュリティ管理手順 (IS-C-05) に規定する本マニュアル手順書類に定める事項に違反した社員に対して当社の服務規程に定める懲戒規定に則り処罰するまた IS 管理責任者は当該社員の情報資産に対するアクセス権限の見直しを実施する 5.2 教育訓練 5.2.1 要求される力量 ISMS の推進にかかわる社員が持つべき力量を下表に示す IS 委員会委員 IS 管理責任者 ISMS の業務要求される力量任命者情報セキュリティ委員 IS 事務局員内部監査責任者経営者とともに組織の ISMS の方向性を定め行動指経営者針を指示することができる経営規模とバランスのとれた ISMS を導入できる ISMS について精通している経営者組織全体に ISMS を主導することができる組織に対する脅威と脆弱性を認識し適切なリスク対応をとることができる経営陣に対してマネジメントレビューの判断材料を提供できる部門内で ISMS を指導できる IS 管理責任者部門内の ISMS の問題点を把握し改善要求が出せる部門内の意見をまとめ IS 推進委員会で提案できる ISMS の要求事項を理解し ISMS 推進のための実務を IS 管理責任者遂行できる組織間の問題を調整できる監査プログラムを策定することができる監査チームを指導できる経営者内部監査員 ( チームリーダー ) ISMS の内部監査の方法に精通している経営者マネジメントシステム (ISMS QMS EMS など ) の内部監査の経験がある監査実施計画書を作成できるまた内部監査員を指導して監査結論を出し監査報告書を作成できる情報セキュリティマネジメントシステム文書化の秘訣 101

第 8 章 ISMS システム文書様式集 ISMS の構築 (P) 運用(D) 見直し(C) 改善(A) の各フェーズでは様々な文書や記録が作られますこの章ではその様式例を紹介します文書の中には資産台帳やリスク対応計画書のように文書番号を伴った ISMS 文書として管理されるものと内部監査報告書やセキュリティインシデント報告書のように記録として保管されるものに分かれます前者の文書の様式を IS-R-01~IS-R-29 後者の記録のための様式を IS-R-30 以降として採番してあります ISMS 文書名とその様式番号の対応は以下の通りです文書分類文書名文書番号様式番号文書 B 情報資産台帳 IS-B-01 IS-R-01 リスクアセスメント結果表 IS-B-02 IS-R-02 適用宣言書 IS-B-03 IS-R-03 リスク対応計画書 IS-B-04 IS-R-04 法的要求事項登録簿 IS-B-05 IS-R-05 事業継続リスクアセスメント IS-B-06 IS-R-06 事業継続計画書 IS-B-07 IS-R-07 年間教育計画表 IS-B-08 IS-R-08 社員資格登録簿 IS-B-09 IS-R-09 ISMS 年間監査計画書 IS-B-10 IS-R-10 文書記録一覧表 IS-B-11 IS-R-11 管理策有効性測定記録簿 IS-B-12 IS-R-12 記録様式についてはすでに使用している様式があればそれを継続して使用されることをお勧めしますまた組織によって必要となる記録は異なりますのでこの様式集の中から取捨選択し必要な様式は追加して下さい情報セキュリティマネジメントシステム文書化の秘訣 175