27-15. 第15章. 組織的対策
15-1. 作成する候補となる実施手順書類について
15-2. 組織的対策として重要となる実施項目
章の目的
第15章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について学ぶことを目的とします。
主な達成目標
・ 組織的管理策をもとに、対策基準を策定する手順を理解すること。
・ 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。
要旨
15章の全体概要
15章では、セキュリティ対策を実施するための具体的な規則としての対策基準と、その実施手順について説明しています。対策基準は、ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考に策定します。実施手順はISO/IEC 27002に記載されている各管理策の手引きを参考に策定することができます。15章では「組織的管理策」を例にして、対策基準を策定する手順と、それぞれの対策基準に対応する実施手順の例を説明しています。
15-1. 作成する候補となる実施手順書類について
ISO/IEC 27001:2022の附属書Aに記載された93項目の管理策を参考に、必要な管理策を選択して対策基準を策定し、実施手順を作成する方法を説明しています。これにより、組織がリスクアセスメントの結果に基づいて適切な管理策を選び、その基準に従って具体的な手順書を内部文書として作成することが奨励されます。
15-2. 組織的対策として重要となる実施項目
組織が情報セキュリティを強化するために必要な取組について具体的に説明しています。これには、組織全体での情報管理の体系化、サイバーセキュリティ対策の適切な実施、個人情報の保護が含まれています。また、外部および内部の脅威情報を収集し、セキュリティ対策に役立てる「脅威インテリジェンス」の導入が推奨され、重要な情報資産を特定して管理するための情報資産管理台帳の作成と更新も重要視されています。
組織的管理策の項目
5.1 情報セキュリティのための方針群
5.2 情報セキュリティの役割及び責任
5.3 職務の分離
5.4 経営陣の責任
5.5 関係当局との連絡
5.6 専門組織との連絡
5.7 脅威インテリジェンス
5.8 プロジェクトマネジメントにおける情報セキュリティ
5.9 情報及びその他の関連資産の目録
5.10 情報及びその他の関連資産の利用の許容範囲
5.11 資産の返却
5.12 情報の分類
5.13 情報のラベル付け
5.14 情報転送
5.15 アクセス制御
5.16 識別情報の管理
5.17 認証情報
5.18 アクセス権
5.19 供給者関係における情報セキュリティ
5.20 供給者との合意におけるセキュリティの取扱い
5.21 ICTサプライチェーンにおける情報セキュリティの管理
5.22 供給者のサービス提供の監視、レビュー及び変更管理
5.23 クラウドサービス利用における情報セキュリティ
5.24 情報セキュリティインシデント管理の計画策定及び準備
5.25 情報セキュリティ事象の評価及び決定
5.26 情報セキュリティインシデントへの対応
5.27 情報セキュリティインシデントからの学習
5.28 証拠の収集
5.29 事業の中断・阻害時の情報セキュリティ
5.30 事業継続のためのICTの備え
5.31 法令、規制及び契約上の要求事項
5.32 知的財産権
5.33 記録の保護
5.34 プライバシー及びPIIの保護
5.35 情報セキュリティの独立したレビュー
5.36 情報セキュリティのための方針群、規則及び標準の順守
5.37 操作手順書
訴求ポイント
章を通した気づき・学び
ISO/IEC 27002の内容を参考に組織的管理策の対策基準を決定し、実施手順を作成することができます。ドキュメントの作成・更新は重要ですが、本来の目標は、効果的な情報セキュリティ対策の計画と実行にあることを忘れないことが重要です。
認識していただきたい実施概要
• リスクアセスメントの結果をもとに必要な組織的管理策を選択し、対策基準を策定すること。
• 対策基準は、基本方針とともに公開可能なものとして策定すること。
• 決定した対策基準を実行に移すための実施手順を策定すること。
• 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
