- 審査員A:重要視する要素(CIAのいずれか一つ)だけで評価しても構わない。
- 審査員B:CIAを完全に独立して評価すること。
- 審査員C:上のどちらでも構わないし、C*I*Aでも、C*C*I*Aでも、C+I+Aでも構わない。要は組織が納得して決めている方法なら問わない。
当初は工数のかからない方法をとり、善事改善のアプローチを取るのが普通の感覚。
5 | 基本方針 |
5.1 | 基本方針 |
5.1.1 | 方針書 |
5.1.2 | レビュー |
6 | 組織 |
6.1 | 内部組織 |
6.1.1 | 経営陣の役割責任 |
6.1.2 | 調整 |
6.1.3 | 役割責任 |
6.1.4 | 施設に対する認可 |
6.1.5 | 機密保持契約 |
6.1.6 | 関係当局との連絡 |
6.1.7 | 専門組織との連絡 |
6.1.8 | 独立したレビュー |
6.2 | 外部組織 |
6.2.1 | 外部組織に関連したリスク |
6.2.2 | 顧客対応時のセキュリティ |
6.2.3 | 第3者契約時の背きゅうり亭 |
7 | 資産 |
7.1 | 責任 |
7.1.1 | 目録 |
7.1.2 | 資産の保有者 |
7.1.3 | 資産利用の許可 |
7.2 | 分類 |
7.2.1 | 分類の指針 |
7.2.2 | ラベル付けと取り扱い |
8 | 人的セキュリティ |
8.1 | 雇用前 |
8.1.1 | 役割責任 |
8.1.2 | 選考 |
8.1.3 | 雇用条件 |
8.2 | 雇用中 |
8.2.1 | 経営者の責任 |
8.2.2 | 意識向上・教育訓練 |
8.2.3 | 懲戒手続き |
8.3 | 雇用の終了 |
8.3.1 | 雇用終了の責任 |
8.3.2 | 資産の返却 |
8.3.3 | アクセス嫌の削除 |
9 | 物理的環境的セキュリティ |
9.1 | 領域に対するセキュリティ |
9.1.1 | セキュリティ境界 |
9.1.2 | 入退管理 |
9.1.3 | オフィス・室・施設のセキュリティ |
9.1.4 | 外部・環境からの脅威への保護 |
9.1.5 | セキュリティエリアでの作業 |
9.1.6 | 一般立ち入り・受け渡し |
9.2 | 装置に対するセキュリティ |
9.2.1 | 設置 |
9.2.2 | 支援ユーティリティ |
9.2.3 | ケーブル |
9.2.4 | 保守 |
9.2.5 | 構外に設置された装置 |
9.2.6 | 廃棄・再利用 |
9.2.7 | 移動 |
10 | 通信及び運用 |
10.1 | 運用手順と責任 |
10.1.1 | 操作手順 |
10.1.2 | 変更管理 |
10.1.3 | 職務の分離 |
10.1.4 | 環境の分離 |
10.2 | 第三者サービス |
10.2.1 | サービス契約 |
10.2.2 | レビュー |
10.2.3 | 第三者サービスの変更管理 |
10.3 | システムの計画と受け入れ |
10.3.1 | 容量・能力の管理 |
10.3.2 | システムの受け入れ |
10.4 | 悪意の在るコード・モバイルコード管理 |
10.4.1 | 悪意の在るコードの管理 |
10.4.2 | モバイルコードの管理 |
10.5 | バックアップ |
10.5.1 | バックアップ |
10.6 | ネットワークのセキュリティ |
10.6.1 | ネットワークのセキュリティ |
10.6.2 | ネットワークサービスのセキュリティ |
10.7 | 媒体の管理 |
10.7.1 | 方針 |
10.7.2 | 媒体の処分・再利用 |
10.7.3 | 情報の取り扱い |
10.7.4 | システム文書の取り扱い |
10.8 | 情報の交換 |
10.8.1 | 方針 |
10.8.2 | 合意 |
10.8.3 | 配送中媒体の管理 |
10.8.4 | 電子的メッセージの管理 |
10.8.5 | 業務システムの管理 |
10.9 | 電子商取引の管理 |
10.9.1 | 電子商取引 |
10.9.2 | オンライン取引 |
10.9.3 | 公開情報 |
10.10 | 監視 |
10.10.1 | 監査の記録 |
10.10.2 | システムの状況 |
10.10.3 | 記録の保護 |
10.10.4 | 作業の記録 |
10.10.5 | 障害の記録 |
10.10.6 | クロックの整合 |
11 | アクセス制御 |
11.1 | アクセス制御ポリシー |
11.1.1 | アクセス制御ポリシー |
11.2 | アクセス権の管理 |
11.2.1 | 利用者登録 |
11.2.2 | 特権者の管理 |
11.2.3 | パスワードの管理 |
11.2.4 | アクセス権のレビュー |
11.3 | 利用者の責任 |
11.3.1 | パスワードの利用 |
11.3.2 | 無人状態装置の管理 |
11.3.3 | クリアデスク・クリアスクリーン |
11.4 | ネットワークアクセス制御 |
11.4.1 | 方針 |
11.4.2 | 外部アクセスへの認証 |
11.4.3 | 装置の識別 |
11.4.4 | 遠隔診断ポート |
11.4.5 | 領域の管理 |
11.4.6 | 接続制御 |
11.4.7 | 経路制御 |
11.5 | OSアクセス制御 |
11.5.1 | ログオン手順 |
11.5.2 | 利用者識別と認証 |
11.5.3 | パスワード管理システム |
11.5.4 | システムユーティリティの使用 |
11.5.5 | タイムアウト |
11.5.6 | 接続時間 |
11.6 | 業務ソフトアクセス制御 |
11.6.1 | 情報へのアクセス制御 |
11.6.2 | システムの隔離 |
11.7 | モバイル・テレワーク対応 |
11.7.1 | モバコン対応 |
11.7.2 | テレワーク対応 |
12 | システムの取得開発保守 |
12.1 | セキュリティ要求事項 |
12.1.1 | セキュリティ要求事項 |
12.2 | 正確な処理 |
12.2.1 | インプット |
12.2.2 | 内部処理 |
12.2.3 | メッセージの完全性 |
12.2.4 | アウトプット |
12.3 | 暗号による管理 |
12.3.1 | 利用方針 |
12.3.2 | かぎ管理 |
12.4 | システムファイルのセキュリティ |
12.4.1 | 運用ソフトウエアの管理(変更管理) |
12.4.2 | 試験データ管理 |
12.4.3 | ソースプログラムの管理 |
12.5 | 開発及び支援プロセスのセキュリティ |
12.5.1 | 変更管理 |
12.5.2 | OS変更時管理 |
12.5.3 | パッケージの変更管理 |
12.5.4 | 情報漏えい(隠れチャネル等) |
12.5.5 | 外部委託 |
12.6 | 技術的脆弱性管理 |
12.6.1 | 技術的脆弱性管理 |
13 | インシデント管理 |
13.1 | 情報セキュリティ事象と弱点の報告 |
13.1.1 | 事象の報告 |
13.1.2 | 弱点の報告 |
13.2 | インシデント管理 |
13.2.1 | 責任及び手順 |
13.2.2 | 学習 |
13.2.3 | 証拠の収集 |
14 | 事業継続管理 |
14.1 | 事業継続管理におけるセキュリティの側面 |
14.1.1 | 組み込み |
14.1.2 | リスクアセスメント |
14.1.3 | 計画策定と実施 |
14.1.4 | 枠組みの維持 |
14.15 | 訓練・再評価 |
15 | 順守(コンプライアンス) |
15.1 | 法的要求事項 |
15.1.1 | 識別 |
15.1.2 | 知的財産権取り扱い手順 |
15.1.3 | 記録の保護 |
15.1.4 | 個人情報取り扱い手順 |
15.1.5 | 情報処理施設誤用防止 |
15.1.6 | 暗号規制への対応 |
15.2 | セキュリティ方針・標準・技術的順守 |
15.2.1 | セキュリティ方針・標準順守 |
15.2.2 | 技術的順守 |
15.3 | 監査対応 |
15.3.1 | 監査対応 |
15.3.2 | 監査ツール |
①事業、②組織、③ロケーション、④資産、⑤技術
①顧客やパートナー企業との関連、ビジネスプロセス、商品・サービスの観点から、ISMSの適用範囲を定義すること。
②組織体制、役割分担、関連部門とのIF
③地理的・地域的(洪水低地/構想ビル/飲食街/ギャンブル場)、敷地的(門/塀/カメラ/守衛/電磁波漏洩)、建物構造(耐火/耐震/雑居ビル)、階層断面図(昇降機/階段/非常階段)、フロア構造(ドア/窓/業務GRパーティション)。重要な情報資産の配置(サーバー/PC/PBX/アンテナ類/シュレッダー/プリンター/コピー/FAX/廃棄物処理場)。
④どうも情報資産だけで話を済ませることが多い。事業上の資産は事業の特徴で述べる。
⑤技術の記載は難しい。イメージが湧かないから。情報セキュリティに関連する重要な技術要素となると、ネットワーク関連、暗号化関連、認証関連かな。ネットワーク情報資産でもあるからその辺の整理は必要か。研究開発に関連する技術はやはり事業上の特徴、または情報資産の特徴として記述した方が分かり易い。