15-1. 作成する候補となる実施手順書類について

項目：5.1 情報セキュリティのための方針群
採用、不採用：

項目：5.2 情報セキュリティの役割及び責任
採用、不採用：

項目：5.3 職務の分離
採用、不採用：

項目：5.4 経営陣の責任
採用、不採用：

項目：5.5 関係当局との連絡
採用、不採用：

項目：5.6 専門組織との連絡
採用、不採用：

項目：5.7 脅威インテリジェンス
採用、不採用：

項目：5.8 プロジェクトマネジメントにおける情報セキュリティ
採用、不採用：

項目：5.9 情報及びその他の関連資産の目録
採用、不採用：

項目：5.10 情報及びその他の関連資産の利用の許容範囲
採用、不採用：

項目：5.11 資産の返却
採用、不採用：

項目：5.12 情報の分類
採用、不採用：

項目：5.13 情報のラベル付け
採用、不採用：

項目：5.14 情報転送
採用、不採用：

項目：5.15 アクセス制御
採用、不採用：

項目：5.16 識別情報の管理
採用、不採用：

項目：5.17 認証情報
採用、不採用：

項目：5.18 アクセス権
採用、不採用：

項目：5.19 供給者関係における情報セキュリティ
採用、不採用：

項目：5.20 供給者との合意におけるセキュリティの取扱い
採用、不採用：

項目：5.21 ICTサプライチェーンにおける情報セキュリティの管理
採用、不採用：

項目：5.22 供給者のサービス提供の監視、レビュー及び変更管理
採用、不採用：

項目：5.23 クラウドサービス利用における情報セキュリティ
採用、不採用：

項目：5.24 情報セキュリティインシデント管理の計画策定及び準備
採用、不採用：

項目：5.25 情報セキュリティ事象の評価及び決定
採用、不採用：

項目：5.26 情報セキュリティインシデントへの対応
採用、不採用：

項目：5.27 情報セキュリティインシデントからの学習
採用、不採用：

項目：5.28 証拠の収集
採用、不採用：

項目：5.29 事業の中断・阻害時の情報セキュリティ
採用、不採用：

項目：5.30 事業継続のためのICTの備え
採用、不採用：

項目：5.31 法令、規制及び契約上の要求事項
採用、不採用：

項目：5.32 知的財産権
採用、不採用：

項目：5.33 記録の保護
採用、不採用：

項目：5.34 プライバシー及びPIIの保護
採用、不採用：

項目：5.35 情報セキュリティの独立したレビュー
採用、不採用：

項目：5.36 情報セキュリティのための方針群、規則及び標準の順守
採用、不採用：

項目：5.37 操作手順書
採用、不採用：

情報セキュリティ方針およびトピック固有の個別方針は、これを定義し、経営陣によって承認され、発行し、関連する要員および関連する利害関係者へ伝達し認識され、計画した間隔でおよび重要な変化が発生した場合にレビューしなければならない。 情報セキュリティの役割および責任を、組織の要求に従って定め、割り当てなければならない。 相反する職務および責任範囲は、分離しなければならない。 経営陣は、組織の確立された情報セキュリティ方針、トピック固有の個別方針および手順に従った情報セキュリティの適用を、すべての要員に要求しなければならない。 組織は、関係当局との連絡体制を確立および維持しなければならない。 組織は、情報セキュリティに関する研究会または会議、および情報セキュリティの専門家からの協会・団体との連絡体制を確立し維持しなければならない。 情報セキュリティの脅威に関連する情報を収集および分析し、脅威インテリジェンスを構築しなければならない。 情報セキュリティをプロジェクトマネジメントに組み入れなければならない。 管理責任者を含む情報およびその他の関連資産の目録を作成し、維持しなければならない。 情報およびその他の関連資産の利用並びに取扱い手順の許容範囲に関する規則は、明確にし、文書化し、実施しなければならない。 要員および必要に応じてその他の利害関係者は、雇用、契約または合意の変更または終了時に、自らが所持する組織の資産のすべてを返却しなければならない。 情報は、機密性、完全性、可用性および関連する利害関係者の要求事項に基づく組織の情報セキュリティの要求に従って分類しなければならない。 情報のラベル付けに関する適切な一連の手順は、「5.12 情報の分類」で確立した分類体系に従って策定し、実施しなければならない。 情報転送の規則、手順または合意を、組織内および組織と他の関係者との間のすべての種類の転送設備に関して備えなければならない。 情報およびその他の関連資産への物理的および論理的アクセスを制御するための規則を、業務および情報セキュリティの要求事項に基づいて確立し、実施しなければならない。 組織の情報およびその他の関連資産にアクセスする個人およびシステムを一意に特定できるようにし、アクセス権を適切に割り当てなければならない。 認証情報の割り当ておよび管理は、認証情報の適切な取扱いについて要員に助言することを含む管理プロセスによって管理しなければならない。 情報およびその他の関連資産へのアクセス権は、アクセス制御に関する組織のトピック固有の個別方針および規則に従って、提供、レビュー、変更および削除しなければならない。 供給者の製品またはサービスの使用に関連する情報セキュリティリスクを管理するためのプロセスおよび手順を定義し実施しなければならない。 供給者関係の種類に応じて、各供給者と、関連する情報セキュリティ要求事項を確立し合意をとらなければならない。 ICT 製品およびサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセスおよび手順を定め、実施しなければならない。 サービスの供給者の情報セキュリティの実践およびサービス提供の変更を定常的に監視し、レビューし、評価し、管理しなければならない。 クラウドサービスの取得、利用、管理および終了のプロセスを、組織の情報セキュリティ要求事項に従って定めなければならない。 セキュリティインシデント管理のプロセス、役割および責任を定義、確立および伝達し、セキュリティインシデント管理の計画を定めなければならない。 情報セキュリティ事象に対して、セキュリティインシデントに分類するか否かを決定するための評価を実施しなければならない。 セキュリティインシデントに対し、文書化した手順に従って対応しなければならない。 セキュリティインシデントから得られた知識を、情報セキュリティ管理策を強化し、改善するために用いなければならない。 情報セキュリティ事象に関連する証拠の特定、収集、取得および保存のための手順を定め、実施しなければならない。 事業の中断・阻害時に情報セキュリティを適切なレベルに維持するための方法を定めなければならない。 事業継続の目的およびICT 継続の要求事項に基づいて、ICT の備えを計画、実施、維持および試験しなければならない。 情報セキュリティに関する法令や契約事項を特定・文書化し、順守しなければならない。 知的財産権を保護するための適切な手順を実施しなければならない。 記録を、消失、破壊、改ざん、認可されていないアクセスおよび不正な流出から保護しなければならない。 適用される法令、規制および契約上の要求事項に従って、プライバシーの維持およびPII の保護に関する要求事項を特定し、満たさなければならない。 情報セキュリティおよびその実施の管理に対する組織の取組について、あらかじめ定めた間隔で、または重大な変化が生じた場合に、独立したレビューを実施しなければならない。 組織の情報セキュリティ方針、トピック固有の個別方針、規則および標準を順守していることを定期的にレビューしなければならない。 情報処理設備の操作手順を文書化し、必要な要員に対して利用可能な状態としなければならない。