目次 第 1 章総則 目的 定義... 1 第 2 章情報セキュリティサービスの基準に関する事項 情報セキュリティ監査サービスに係る審査基準 脆弱性診断サービスに係る審査基準 デジタルフォレンジックサービスに係る審査基準... 4

Similar documents
SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

監査に関する品質管理基準の設定に係る意見書

青森県情報セキュリティ基本方針

個人情報保護規定

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

JISQ 原案(本体)

品質マニュアル(サンプル)|株式会社ハピネックス

ISO9001:2015内部監査チェックリスト

< E9197BF C C A88D5C BA492CA29817A C982A882AF82E98FEE95F1835A834C A CE8DF4834B BD82BD82AB91E4816A5F34325F E977095D E786C7

文書管理番号

MSSGuideline ver. 1.0

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

スキル領域 職種 : マーケティング スキル領域と MK 経済産業省, 独立行政法人情報処理推進機構

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

<4D F736F F D A8D CA48F43834B C E FCD817A E


IT コーディネータ協会と SLA ~SLA サンプルと記述のポイント ~ 特定非営利活動法人 IT コーディネータ協会 2013 年 11 月 27 日 SLA-ITSM コンサルティング 古川博康 IT コーディネータは IT 経営を実現するプロフェッショナルです

<4D F736F F D2093C192E895578F8089BB8B408AD A8EC08E7B977697CC FC90B394C5816A2E646F6378>

SiteLock操作マニュアル

Microsoft Word - 【施行②】第50条解釈適用指針Rev4.doc

セキュリティ委員会活動報告

2 診断方法および診断結果 情報セキュリティ対策ベンチマークは 組織の情報セキュリティ対策の取組状況 (25 問 + 参考質問 2 問 ) と企業プロフィール (15 項目 ) を回答することにより 他社と比較して セキュリティ対策の 取組状況がどのレベルに位置しているかを確認できる自己診断ツールで

障害管理テンプレート仕様書

SOCの役割と人材のスキル

J-SOX 自己点検評価プロセスの構築

JCROA自主ガイドライン第4版案 GCP監査WG改訂案及び意見

個人情報管理規程

修-CIA Exam Change Handbook_FAQs_ indd

卵及び卵製品の高度化基準

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

財団法人日本体育協会個人情報保護規程

Microsoft Word - ○指針改正版(101111).doc

<90528DB88EBF96E2955B2E786C73>

JICA 事業評価ガイドライン ( 第 2 版 ) 独立行政法人国際協力機構 評価部 2014 年 5 月 1

授業計画書

Microsoft Word - JSQC-Std 目次.doc

JIS Q 27001:2014への移行に関する説明会 資料1

ISO19011の概要について

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

ISO 9001:2015 から ISO 9001:2008 の相関表 JIS Q 9001:2015 JIS Q 9001: 適用範囲 1 適用範囲 1.1 一般 4 組織の状況 4 品質マネジメントシステム 4.1 組織及びその状況の理解 4 品質マネジメントシステム 5.6 マネジ

FSMS ISO FSMS FSMS 18

ISMS情報セキュリティマネジメントシステム文書化の秘訣

14個人情報の取扱いに関する規程

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

第 4 条公共の場所に向けて防犯カメラを設置しようとするもので次に掲げるものは, 規則で定めるところにより, 防犯カメラの設置及び運用に関する基準 ( 以下 設置運用基準 という ) を定めなければならない (1) 市 (2) 地方自治法 ( 昭和 22 年法律第 67 号 ) 第 260 条の2

4.7.4 プロセスのインプットおよびアウトプット (1) プロセスへのインプット情報 インプット情報 作成者 承認者 備 考 1 開発に関するお客様から お客様 - の提示資料 2 開発に関する当社収集資 リーダ - 料 3 プロジェクト計画 完了報 リーダ マネージャ 告書 ( 暫定計画 ) 4

地域生活支援事業サービス提供事業者登録要綱

制定 : 平成 24 年 5 月 30 日平成 23 年度第 4 回理事会決議施行 : 平成 24 年 6 月 1 日 個人情報管理規程 ( 定款第 65 条第 2 項 ) 制定平成 24 年 5 月 30 日 ( 目的 ) 第 1 条この規程は 定款第 66 条第 2 項の規定に基づき 公益社団法

マイナンバー制度 実務対応 チェックリスト

個人情報保護規程 株式会社守破離 代表取締役佐藤治郎 目次 第 1 章総則 ( 第 1 条 - 第 3 条 ) 第 2 章個人情報の利用目的の特定等 ( 第 4 条 - 第 6 条 ) 第 3 章個人情報の取得の制限等 ( 第 7 条 - 第 8 条 ) 第 4 章個人データの安全管理 ( 第 9

Transcription:

情報セキュリティサービス基準 経済産業省 平成 30 年 2 月 28 日

目次 第 1 章総則... 1 1 目的... 1 2 定義... 1 第 2 章情報セキュリティサービスの基準に関する事項... 2 1 情報セキュリティ監査サービスに係る審査基準... 2 2 脆弱性診断サービスに係る審査基準... 3 3 デジタルフォレンジックサービスに係る審査基準... 4 4 セキュリティ監視 運用サービスに係る審査基準... 6 附則... 8

第 1 章総則 1 目的 本基準は 情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し 品質の維持 向上に努めている情報セキュリティサービスを明らかにするための基準を設けることで 情報セキュリティサービス業の普及を促進し 国民が情報セキュリティサービスを安心して活用することができる環境を醸成することを目的とする 2 定義本基準における用語の定義は 次に定めるところによる (1) 情報セキュリティサービス情報セキュリティ監査サービス 脆弱性診断サービス デジタルフォレンジックサービス及びセキュリティ監視 運用サービスのいずれか又は全てのサービスをいう (2) 情報セキュリティ監査サービス情報セキュリティに係るリスクのマネジメントが効果的に実施されるように リスクアセスメントに基づく適切なコントロールの整備 運用状況を 情報セキュリティ監査を行う主体が独立かつ専門的な立場から 国際的にも整合性のとれた基準に従って検証又は評価し もって保証を与え又は助言を行うサービスをいう (3) 脆弱性診断サービスシステムやソフトウェア等の脆弱性に関する一定の知見を有する者が システムやソフトウェア等に対して行う次に掲げるいずれか又は全てのサービスをいう ア Web アプリケーション脆弱性診断イプラットフォーム脆弱性診断ウスマートフォンアプリケーション脆弱性診断 (4) デジタルフォレンジックサービスシステムやソフトウェア等の資源及び環境の不正使用 サービス妨害行為 データの破壊 意図しない情報の開示等 並びにそれらへ至るための行為 ( 事象 ) 等への対応等や法的紛争 訴訟に際し 電磁的記録の証拠保全 調査及び分析を行うとともに 電磁的記録の改ざん及び毀損等についての分析及び情報収集等を行う一連の科学的調査手法及び技術 ( 以下 デジタルフォレンジック という ) についての次に掲げるいずれか又は全てのサービスをいう 1

ア機器や記録デバイスを対象とするデジタルフォレンジックによる調査イデジタルフォレンジックによる調査に付帯する訴訟支援及び電子証拠開示対応 (eディスカバリ) 等のサービス (5) セキュリティ監視 運用サービスシステムやソフトウェア等についての情報セキュリティを確保するための監視サービス及びシステムやソフトウェア等の適切な運用についての次に掲げるいずれか又は全てのサービスをいう アマネージドセキュリティサービス ( セキュリティインシデント又はその予兆の検知 防御を目的とするものをいう ) イセキュリティ監視サービス ( セキュリティ製品が出力するログの分析 通知 レポート提供を継続的に提供するものをいう ) ウマネージドセキュリティサービスやセキュリティ監視サービスを包含する複合的なサービス 第 2 章情報セキュリティサービスの基準に関する事項 1 情報セキュリティ監査サービスに係る審査基準 (1) 技術要件情報セキュリティ監査サービスを提供しようとする者は 次に掲げる技術要件に該当するものであること ア専門性を有する者の在籍状況サービス品質の確保のため 情報セキュリティ監査サービスに従事する要員のうち 附則 1-1に定める資格を有する者を技術責任者として業務に従事させるとともに 技術責任者のリスト ( 資格番号の表示のみでもよい ) を明示すること イサービス仕様の明示サービス品質の確保のため 附則 1-2に定める基準に従って 情報セキュリティ監査サービスが行われていることを明らかにしていること (2) 品質管理要件情報セキュリティ監査サービスを提供しようとする者は 次に掲げる品質管理要件に該当するものであること ア品質管理者の割当状況品質の維持 向上のため サービス品質の管理に関する担当者を割り当てていること ただし 当該担当者が専属してサービス品質の管理 2

を行うことを必ずしも求めるものではない イ品質管理マニュアルの整備品質の維持 向上のため 次に掲げる事項を含むサービス品質の管理のためのマニュアルを整備していること ( ア ) サービス提供プロセスの管理 ( イ ) アウトプットの管理ウ品質の維持 向上に関する手続等の導入状況品質の維持 向上のため 次に掲げる手続等を行っていること ( ア ) 次のいずれかの品質の維持 向上に関する手続等を行っていること a 情報セキュリティ監査サービスを行った案件について 当該案件に従事した者以外の者が監査計画及び監査報告書についてのレビューを行っていること b 情報セキュリティ監査サービスを行った案件についての査読を行っていること ( イ ) 情報セキュリティ監査サービスに従事する者に対して附則 1-3 に定める教育及び研修等のいずれかを実施又は受講させていること ( ウ ) 顧客の情報を保護するための手続を設け 運用するとともに 当該手続について情報セキュリティ監査サービスを行った案件の担当者以外による監査 ( 内部監査又は外部監査 ) を実施することにより実効性を確保していること 2 脆弱性診断サービスに係る審査基準 (1) 技術要件脆弱性診断サービスを提供しようとする者は 次に掲げる技術要件に該当するものであること ア専門性を有する者の在籍状況サービス品質の確保のため 脆弱性診断サービスに従事する要員のうち 次のいずれかの要件を満たす者を技術責任者として業務に従事させるとともに 要件を満たす者ごとの人数を明らかにすること ( ア ) 附則 2-1に定める資格を有する者 ( イ ) 附則 2-2に定める専門家コミュニティにおける講師若しくはリーダーの経験又は高等教育機関における脆弱性診断サービスの技術を対象とする講師経験を有する者 ( ウ ) 次のいずれかの事業において基準となる日から起算して過去 3 年間 3

に合計で5 件 ( 契約件数 包括的な契約の場合は1 年間分で1 件とみなす ) 以上の実績 ( 診断方法は問わない ) を有する者 a Web アプリケーション脆弱性診断 b プラットフォーム脆弱性診断 c スマートフォンアプリケーション脆弱性診断 ( エ ) 附則 2-3に定めるサービス品質確保に資する研修を修了している者イサービス仕様の明示サービス品質の確保のため 附則 2-4に定める基準に従って脆弱性診断サービスが行われていることとともに 附則 2-5に定める脆弱性診断の結果の取扱いを明らかにしていること (2) 品質管理要件脆弱性診断サービスを提供しようとする者は 次に掲げる品質管理要件に該当するものであること ア品質管理者の割当状況品質の維持 向上のため サービス品質の管理に関する担当者を割り当てていること ただし 当該担当者が専属してサービス品質の管理を行うことを必ずしも求めるものではない イ品質管理マニュアルの整備品質の維持 向上のため 次に掲げる事項を含むサービス品質の管理のためのマニュアルを整備していること ( ア ) サービス提供プロセスの管理 ( イ ) アウトプットの管理ウ品質の維持 向上に関する手続等の導入状況品質の維持 向上のため 次に掲げる手続等を行っていること ( ア ) 脆弱性診断サービスを行った案件について 当該案件に従事した者以外の者が検査実施報告書についてレビューを行っていること ( イ ) 脆弱性診断サービスに従事する者に対して附則 2-6に定める教育及び研修等のいずれかを実施又は受講させていること ( ウ ) 顧客の情報を保護するための手続を設け 運用するとともに 当該手続について脆弱性診断サービスを行った案件の担当者以外による監査 ( 内部監査又は外部監査 ) を実施することにより実効性を確保していること 3 デジタルフォレンジックサービスに係る審査基準 (1) 技術要件 4

デジタルフォレンジックサービスを提供しようとする者は 次に掲げる技術要件に該当するものであること ア専門性を有する者の在籍状況サービス品質の確保のため デジタルフォレンジックサービスに従事する要員のうち 次のいずれかの要件を満たす者を技術責任者として業務に従事させるとともに 要件を満たす者ごとの人数を明らかにすること ( ア ) 附則 3-1に定める資格を有する者 ( イ ) 附則 3-2に定める専門家コミュニティにおける講師若しくはリーダーの経験又は高等教育機関におけるデジタルフォレンジックの技術を対象とする講師経験を有する者 ( ウ ) 附則 3-3に定めるサービス品質確保に資する研修を修了している者イサービス仕様の明示サービス品質の確保のため 附則 3-4に定める基準に従ってデジタルフォレンジックサービスが行われていることを明らかにしていること (2) 品質管理要件デジタルフォレンジックサービスを提供しようとする者は 次に掲げる品質管理要件に該当するものであること ア品質管理者の割当状況品質の維持 向上のため サービス品質の管理に関する担当者を割り当てていること ただし 当該担当者が専属してサービス品質の管理を行うことを必ずしも求めるものではない イ品質管理マニュアル等の整備品質の維持 向上のため 次に掲げるものを整備していること ( ア ) サービス品質の管理のためのマニュアル ( イ ) 報告品質に関する約款及び基準ウ品質の維持 向上に関する手続等の導入状況品質の維持 向上のため 次に掲げる手続等を行っていること ( ア ) デジタルフォレンジックサービスを行った案件について 当該案件に従事した者又は (1) アの要件を満たす者が調査報告書についてレビューを行っていること ( イ ) デジタルフォレンジックサービスに従事する者に対して附則 3-5に定める継続的なデジタルフォレンジック技術資格維持コースの受講並びに教育及び研修を実施又は受講させていること 5

( ウ ) 顧客の情報を保護するための手続を設け 運用するとともに 当該手続についてデジタルフォレンジックサービスを行った案件の担当者以外による監査 ( 内部監査又は外部監査 ) を実施することにより実効性を確保していること 4 セキュリティ監視 運用サービスに係る審査基準 (1) 技術要件セキュリティ監視 運用サービスを提供しようとする者は 次に掲げる技術要件に該当するものであること ア専門性を有する者の在籍状況サービス品質の確保のため セキュリティ監視 運用サービスに従事する要員のうち 次のいずれかの要件を満たす者を技術責任者として業務に従事させているとともに 要件を満たす者ごとの人数を明らかにすること ( ア ) 附則 4-1に定める資格を有する者 ( イ ) 附則 4-2に定める専門家コミュニティにおける講師若しくはリーダーの経験又は高等教育機関におけるセキュリティ監視 運用サービスの技術を対象とする講師経験を有する者 ( ウ ) 次のいずれかの事業において基準となる日から起算して過去 3 年間に合計 5 件 ( 契約件数 継続的な契約の場合は1 年間分で1 件とみなす ) 以上かつ運用年数のべ10 年以上の実績を有する者 a マネージドセキュリティサービス b セキュリティアプライアンス製品の運用 ( エ ) 附則 4-3に定めるサービス品質確保に資する研修を修了している者イサービス仕様の明示サービス品質の確保のため 附則 4-4に定める内容に従ってセキュリティ監視 運用サービスが行われていることを明らかにしていること (2) 品質管理要件セキュリティ監視 運用サービスを提供しようとする者は 次に掲げる品質管理要件に該当するものであること ア品質管理者の割当状況品質の維持 向上のため サービス品質の管理に関する担当者を割り当てていること ただし 当該担当者が専属してサービス品質の管理を行うことを必ずしも求めるものではない 6

イ品質管理マニュアルの整備品質の維持 向上のため 次に掲げる事項を含むサービス品質の管理のためのマニュアルを整備していること ( ア ) サービス提供プロセスの管理 ( イ ) アウトプットの管理ウ品質の維持 向上に関する手続等の導入状況品質の維持 向上のため 次に掲げる手続等を行っていること ( ア ) 従事者の確保及び作業の実施等についてサービスの品質の維持 向上に関する管理の取組みが行われていること ( イ ) セキュリティ監視 運用サービスに従事する者に対して附則 4-5に定める継続的な教育及び研修等のいずれかを実施又は受講させていること ( ウ ) 顧客の情報を保護するための手続を設け 運用するとともに 当該手続についてセキュリティ監視 運用サービスを行った案件の担当者以外による監査 ( 内部監査又は外部監査 ) を実施することにより実効性を確保していること 7

附則 第 2 章各項における要件の詳細は次のとおりとする なお 本附則の内容は 情報セキュリティ技術の進歩の速度と情報セキュリティサービスへの要求の変化に鑑み 第 1 章第 1 項に示す目的の継続的な達成のため 基準等については常に最新のものを参照しつつ 適宜見直しを行うこととする 1. 情報セキュリティ監査サービスに関する附則 1 情報セキュリティ監査サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の資格 公認情報セキュリティ監査人 公認システム監査人 CISA(Certified Information System Auditor) システム監査技術者 2 情報セキュリティ監査サービスの提供において用いる以下に例示する内容相当の基準及びその明示方法の例示 情報セキュリティ監査基準を含む行政機関が定める情報セキュリティに係る監査基準 国際会計士連盟に加盟する団体又は Payment Card Industry Security Standards Council が定める基準 3 情報セキュリティ監査サービスの品質確保に資する教育又は研修 技術責任者年間 20 時間以上の教育又は研修 ( 資格維持のための研修を含む 教育サービス事業者が提供する教育 研修のほか OJT(On the Job Training) 社内講習や自習を含む ) 情報セキュリティ監査サービスに従事する者 ( 技術責任者以外 ) 年間 5 時間以上の教育又は研修 ( 資格維持のための研修を含む 教育サービス事業者が提供する教育 研修のほか OJT 社内講習や自習を含む ) 2. 脆弱性診断サービスに関する附則 1 脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の資格 情報処理安全確保支援士 CEH(Certified Ethical Hacker) CISSP(Certified Information Systems Security Professional) CISA 8

CISM(Certified Information Security Manager) GIAC(Global Information Assurance Certification) 2 講師又はリーダーの経験をもって 脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の専門家コミュニティ 特定非営利活動法人日本ネットワークセキュリティ協会 (JNSA) 日本セキュリティオペレーション事業者協議会 (ISOG-J) OWASP(The Open Web Application Security Project) 3 当該研修の修了をもって脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の研修 SANS Security Courses (504, 542, 560) 4 脆弱性診断サービスの提供において用いる以下に例示する内容相当の基準及びその明示方法の例示 Web アプリケーション脆弱性診断において 次に示す内容相当の診断を行う旨の提示 OWASP の定める ASVS(Application Security Verification Standard) レベル1 以上 独立行政法人情報処理推進機構による ウェブ健康診断仕様 が定める診断内容 OWASP が定める Security Testing Guideline 日本セキュリティオペレーション事業者協議会及び OWASP による脆弱性診断士スキルマッププロジェクトが定める 脆弱性診断ガイドライン Web アプリケーション脆弱性診断において 次に示すツールを使用して診断を行う旨の提示 Vulnerability Explorer(VEX) IBM Security AppScan プラットフォーム脆弱性診断において 次に示すツールを使用して診断を行う旨の提示 QualysGuard Tripwire IP360/PureCloud Nessus Metasploit OpenVAS 5 脆弱性診断サービスの提供において示す結果に関する取扱方法及びその明 9

示方法の例示 ツール出力についての分析を含んだ診断を実施する 診断結果報告書としてとりまとめる 診断結果に関する報告会を開催する 6 脆弱性診断サービスの品質確保に資する教育又は研修 脆弱性診断サービスに従事する者 年間 20 時間以上の教育又は研修 ( 資格維持のための研修を含む 教育サービス事業者が提供する教育 研修のほか OJT 社内講習や自習を含む ) 附則 2-2に定める専門家コミュニティにおける年間 20 時間以上の活動 上記 教育 研修及び専門家コミュニティにおける活動を合計で年間 20 時間以上実施していること 附則 2-1に定める資格を有する者における継続専門教育 ( 以下 CPE という ) による年間 20ポイント以上の取得 3. デジタルフォレンジックサービスに関する附則 1 デジタルフォレンジックサービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の資格 情報処理安全確保支援士 CISSP 2 講師又はリーダーの経験をもって デジタルフォレンジックサービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の専門家コミュニティ 特定非営利活動法人デジタル フォレンジック研究会 (IDF) 3 当該研修の修了をもってデジタルフォレンジックサービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の研修 SANS Forensic Courses (500, 508, 558, 572, 578, 610) Guidance (DF120, DF210) AccessData (FTK BootCamp) 特定非営利活動法人デジタル フォレンジック研究会会員企業が設けている各種フォレンジックトレーニングコース 4 デジタルフォレンジックサービスの提供において用いる以下に例示する内容相当の基準及びその明示方法の例示 証拠保全 解析手順 報告書作成等の各段階での基準を作成する ( 使用するツールや一連の手順等は 特定非営利活動法人デジタル フォレン 10

ジック研究会作成の 証拠保全ガイドライン に準拠 ) 代表的ツール (Encase, Xways, FTK 等 ) 及び特定非営利活動法人デジタル フォレンジック研究会の 日本語処理解析性能評価 を受検した製品を使用する 対象サービス内容は 特定非営利活動法人デジタル フォレンジック研究会作成の 証拠保全ガイドライン の付録 IDF 団体会員 製品 サービス区分リスト 1~4までとする 5 デジタルフォレンジックサービスの品質確保に資する教育又は研修 附則 3-1に定める資格を満たす者各資格に定められた教育及び研修 附則 3-1に定める資格を満たさない者年間 35 時間以上の次に掲げる活動のいずれか 教育又は研修 ( 教育サービス事業者が提供する教育 研修のほか 附則 3-1 3-2 3-3の条件を満たし デジタルフォレンジックの実務経験を有する者を教官とした OJT 又は社内講習を含む ) 附則 3-2に定める専門家コミュニティにおける活動 4. セキュリティ監視 運用サービスに関する附則 1 セキュリティ監視 運用サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の資格 情報処理安全確保支援士 CISA CISM CISSP GIAC 2 講師又はリーダーの経験をもって セキュリティ監視 運用サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の専門家コミュニティ 特定非営利活動法人日本ネットワークセキュリティ協会 日本セキュリティオペレーション事業者協議会 日本コンピュータインシデント対応チーム協議会 (NCA) (ISC) 2 (International Information Systems Security Certification Consortium) ISACA SANS 11

3 当該研修の修了をもってセキュリティ監視 運用サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の研修 SANS Security Courses (501, 503, 511) 4 セキュリティ監視 運用サービスの提供において用いる以下に例示する内容及びその明示方法の例示 SLA( サービスレベルアグリーメント ) SLO( サービスレベル目標 ) 又は約款の設定により 役割や責任の所在を明確化する SLA/SLO/ 約款において 可用性に関する指標を示す 次に例示すような具体的なサービス内容を示す サービスで利用するセキュリティ製品について その提供ベンダーによるサポート期間内において 当該ベンダーと継続的な関係を持ち システムのメンテナンスを行い パッチ適用や検知パターン / シグネチャのアップデートや製品のバージョンアップに追従する 製品の調達を伴うサービスにおいては その提供ベンダーからの正規の保守 運用サポートを合わせて取り扱う 次に例示すような具体的なサービス提供体制を示す 組織的な運用体制が存在し 属人的な運用に依存しない サービス提供環境 ( マシンルーム 監視ルーム ) に対する物理的又は論理的に監視運用基盤へのアクセス及び利用は制限されている サービス提供環境の管理は 自社の ISMS のもとで実施される 5 セキュリティ監視 運用サービスの品質確保に資する教育又は研修 セキュリティ監視 運用サービスに従事する者 年間 20 時間以上の教育又は研修 ( 資格維持のための研修を含む 教育サービス事業者が提供する教育 研修のほか OJT 社内講習や自習を含む ) 附則 4-2に定める専門家コミュニティにおける年間 20 時間以上の活動 上記 教育 研修及び専門家コミュニティにおける活動を合計で年間 20 時間以上実施していること 附則 4-1に定める資格を有する者における CPE による年間 20 ポイント以上の取得 12