東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

14

組織的管理策 14-1. 組織的管理策を参考とした対策基準・実施手順の策定

章の目的

第14章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について学ぶことを目的とします。

主な達成目標

  • 組織的管理策をもとに、対策基準を策定する手順を理解すること。
  • 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。

14-1-1. 対策基準の策定

対策基準を策定する際は、ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考にすることができます。
組織が対策基準を策定する際は、組織の業態や規模によって重視するべき管理策は異なり、適用の必要性がない管理策も存在します。一方で、ISO/IEC 27001:2022の附属書AやISO/IEC 27002:2022にない管理策が必要となるケースもあることをご留意ください。
自組織にとってのリスクを自ら考えて必要な管理策を選択するために、リスクアセスメントの手法を使用し、対策基準を策定します。

ISO/IEC 27001:2022附属書Aの管理策

カテゴリ

項目数
(合計93)

概要

組織的管理策

37

組織として取組む必要のある管理策。たとえば、情報セキュリティ方針、情報セキュリティの役割と責任、情報の分類などが含まれます。

人的管理策

8

従業員に関して取組む必要のある管理策。従業員の採用、情報セキュリティの意識向上、情報セキュリティ教育と訓練などが含まれます。

物理的管理策

14

情報システムのハードウェアや建物、設備に関する管理策。たとえば、オフィス、部屋および施設のセキュリティ、施設の物理的セキュリティ監視、装置の保守などが含まれます。

技術的管理策

34

技術面での管理策。ネットワークのセキュリティ、データの暗号化、データのバックアップ、脆弱性管理、ログ管理、マルウェア対策などが含まれます。

対策基準策定時の注意点

ISMSの認証取得を目標にして情報セキュリティ対策を進めると、ドキュメントの整備が目的になり、本来の情報セキュリティ対策がなおざりになってしまい、ISMSが形骸化するケースが少なくありません。策定した管理策が継続的に実行されていくことが重要となります。

組織は、情報セキュリティリスクを適切にコントロールするために必要となる管理策を念入りに検討し、対策基準を策定することが大切です。

ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。

ISO/IEC27001:2022に基づき管理策を決定する(例)

【凡例】採用:〇・不採用:✕

項目

採用、不採用

  • 5.1 情報セキュリティのための方針群
  • 5.2 情報セキュリティの役割及び責任
  • 5.3 職務の分離
  • 5.4 経営陣の責任
  • 5.5 関係当局との連絡
  • 5.6 専門組織との連絡
  • 5.7 脅威インテリジェンス
  • 5.8 プロジェクトマネジメントにおける情報セキュリティ
  • 5.9 情報及びその他の関連資産の目録
  • 5.10 情報及びその他の関連資産の利用の許容範囲
  • 5.11 資産の返却
  • 5.12 情報の分類
  • 5.13 情報のラベル付け
  • 5.14 情報転送
  • 5.15 アクセス制御
  • 5.16 識別情報の管理
  • 5.17 認証情報
  • 5.18 アクセス権
  • 5.19 供給者関係における情報セキュリティ
  • 5.20 供給者との合意におけるセキュリティの取扱い
  • 5.21 ICTサプライチェーンにおける情報セキュリティの管理
  • 5.22 供給者のサービス提供の監視、レビュー及び変更管理
  • 5.23 クラウドサービス利用における情報セキュリティ
  • 5.24 情報セキュリティインシデント管理の計画策定及び準備
  • 5.25 情報セキュリティ事象の評価及び決定
  • 5.26 情報セキュリティインシデントへの対応
  • 5.27 情報セキュリティインシデントからの学習
  • 5.28 証拠の収集
  • 5.29 事業の中断・阻害時の情報セキュリティ
  • 5.30 事業継続のためのICTの備え
  • 5.31 法令、規制及び契約上の要求事項
  • 5.32 知的財産権
  • 5.33 記録の保護
  • 5.34 プライバシー及びPIIの保護
  • 5.35 情報セキュリティの独立したレビュー
  • 5.36 情報セキュリティのための方針群、規制及び標準の順守
  • 5.37 操作手順書

対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。

対策基準(例)

5.1 情報セキュリティのための方針群

情報セキュリティ方針およびトピック固有の個別方針は、これを定義し、経営陣によって承認され、発行し、関連する要員および関連する利害関係者へ伝達し認識され、計画した間隔でおよび重要な変化が発生した場合にレビューしなければならない。

5.2 情報セキュリティの役割及び責任

情報セキュリティの役割および責任を、組織の要求に従って定め、割り当てなければならない。

5.3 職務の分離

相反する職務および責任範囲は、分離しなければならない。

5.4 経営陣の責任

経営陣は、組織の確立された情報セキュリティ方針、トピック固有の個別方針および手順に従った情報セキュリティの適用を、すべての要員に要求しなければならない。

5.5 関係当局との連絡

組織は、関係当局との連絡体制を確立および維持しなければならない。

5.6 専門組織との連絡

組織は、情報セキュリティに関する研究会または会議、および情報セキュリティの専門家による協会・団体との連絡体制を確立し維持しなければならない。

5.7 脅威インテリジェンス

情報セキュリティの脅威に関連する情報を収集および分析し、脅威インテリジェンスを構築しなければならない。

ONE POINT

対策基準を策定する際のポイント

ISO/IEC 27001:2022附属書Aの中には、中小企業にとっては負担が大きい管理策があります。ISO/IEC 27001:2022附属書Aに適切な管理策がない場合は、独自の管理策を追加することができます。組織の状況を考慮し、適切な対策基準を策定することが大切です。

対策基準(例)

5.8 プロジェクトマネジメントにおける情報セキュリティ

情報セキュリティをプロジェクトマネジメントに組み入れなければならない。

5.9 情報及びその他の関連資産の目録

管理責任者を含む情報およびその他の関連資産の目録を作成し、維持しなければならない。

5.10 情報及びその他の関連資産の利用の許容範囲

情報およびその他の関連資産の利用並びに取扱い手順の許容範囲に関する規則は、明確にし、文書化し、実施しなければならない。

5.11 資産の返却

要員および必要に応じてその他の利害関係者は、雇用、契約または合意の変更または終了時に、自らが所持する組織の資産のすべてを返却しなければならない。

5.12 情報の分類

情報は、機密性完全性可用性および関連する利害関係者の要求事項に基づく組織の情報セキュリティの要求に従って分類しなければならない。

5.13 情報のラベル付け

情報のラベル付けに関する適切な一連の手順は、「5.12 情報の分類」で確立した分類体系に従って策定し、実施しなければならない。

5.14 情報転送

情報転送の規則、手順または合意を、組織内および組織と他の関係者との間のすべての種類の転送設備に関して備えなければならない。

5.15 アクセス制御

情報およびその他の関連資産への物理的および論理的アクセスを制御するための規則を、業務および情報セキュリティの要求事項に基づいて確立し、実施しなければならない。

5.16 識別情報の管理

組織の情報およびその他の関連資産にアクセスする個人およびシステムを一意に特定できるようにし、アクセス権を適切に割り当てなければならない。

5.17 認証情報

認証情報の割り当ておよび管理は、認証情報の適切な取扱いについて要員に助言することを含む管理プロセスによって管理しなければならない。

5.18 アクセス権

情報およびその他の関連資産へのアクセス権は、アクセス制御に関する組織のトピック固有の個別方針および規則に従って、提供、レビュー、変更および削除しなければならない。

5.19 供給者関係における情報セキュリティ

供給者の製品またはサービスの使用に関連する情報セキュリティリスクを管理するためのプロセスおよび手順を定義し実施しなければならない。

5.20 供給者との合意における情報セキュリティの取扱い

供給者関係の種類に応じて、各供給者と、関連する情報セキュリティ要求事項を確立し合意をとらなければならない。

5.21 ICTサプライチェーンにおける情報セキュリティの管理

ICT 製品およびサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセスおよび手順を定め、実施しなければならない。

5.22 供給者のサービス提供の監視、レビュー及び変更管理

サービスの供給者の情報セキュリティの実践およびサービス提供の変更を定常的に監視し、レビューし、評価し、管理しなければならない。

5.23 クラウドサービスの利用における情報セキュリティ

クラウドサービスの取得、利用、管理および終了のプロセスを、組織の情報セキュリティ要求事項に従って定めなければならない。

5.24 情報セキュリティインシデント管理の計画及び準備

セキュリティインシデント管理のプロセス、役割および責任を定義、確立および伝達し、セキュリティインシデント管理の計画を定めなければならない。

5.25 情報セキュリティ事象の評価及び決定

情報セキュリティ事象に対して、セキュリティインシデントに分類するか否かを決定するための評価を実施しなければならない。

5.26 情報セキュリティインシデントへの対応

セキュリティインシデントに対し、文書化した手順に従って対応しなければならない。

5.27 情報セキュリティインシデントからの学習

セキュリティインシデントから得られた知識を、情報セキュリティ管理策を強化し、改善するために用いなければならない。

5.28 証拠の収集

情報セキュリティ事象に関連する証拠の特定、収集、取得および保存のための手順を定め、実施しなければならない。

5.29 事業の中断・阻害時の情報セキュリティ

事業の中断・阻害時に情報セキュリティを適切なレベルに維持するための方法を定めなければならない。

5.30 事業継続のためのICTの備え

事業継続の目的およびICT 継続の要求事項に基づいて、ICT の備えを計画、実施、維持および試験しなければならない。

5.31 法令・規制及び契約上の要求事項

情報セキュリティに関する法令や契約事項を特定・文書化し、遵守しなければならない。

5.32 知的財産権

知的財産権を保護するための適切な手順を実施しなければならない。

5.33 記録の保護

記録を、消失、破壊、改ざん、認可されていないアクセスおよび不正な流出から保護しなければならない。

5.34 プライバシー及びPIIの保護

適用される法令、規制および契約上の要求事項に従って、プライバシーの維持およびPII の保護に関する要求事項を特定し、満たさなければならない。

5.35 情報セキュリティの独立したレビュー

情報セキュリティおよびその実施の管理に対する組織の取組みについて、あらかじめ定めた間隔で、または重大な変化が生じた場合に、独立したレビューを実施しなければならない。

5.36 情報セキュリティのための方針群、規則及び標準の順守

組織の情報セキュリティ方針、トピック固有の個別方針、規則および標準を遵守していることを定期的にレビューしなければならない。

5.37 操作手順書

情報処理設備の操作手順を文書化し、必要な要員に対して利用可能な状態としなければならない。

14-1-2の項では、策定した対策基準をもとに作成する実施手順について説明します。