1. ISO/IEC 27002:2022 管理策と目的
5.組織的管理策
5.1 情報セキュリティのための方針群
管理策
情報セキュリティ方針及びトピック固有の個別方針は、これを定義し、経営陣によって承認され、発行し、関連する要員及び関連する利害関係者へ伝達し認識され、計画した間隔で及び重要な変化が発生した場合にレビューすることが望ましい。
目的
事業、法令、規制及び契約上の要求事項に従って、経営陣の方向性の継続的な適合性、適切性、有効性、及び情報セキュリティのサポートを確実にするため。
5.2 情報セキュリティの役割及び責任
管理策
情報セキュリティの役割及び責任を、組織の要求に従って定め、割り当てることが望ましい。
目的
組織内における情報セキュリティの実施、運用及び管理のために、定義され、承認され、理解される構造を確立するため。
5.3 職務の分離
管理策
相反する職務及び責任範囲は、分離することが望ましい。
目的
情報セキュリティ管理策の不正、エラー及び回避のリスクを軽減するため。
5.4 経営陣の責任
管理策
経営陣は、組織の確立された情報セキュリティ方針、トピック固有の個別方針及び手順に従った情報セキュリティの適用を、すべての要員に要求することが望ましい。
目的
経営陣が、情報セキュリティにおける自らの役割を理解し、すべての要員が自らの情報セキュリティの責任を認識し、果たすことを確実にすることを目的として行動することを確実にするため。
5.5 関係当局との連絡
管理策
組織は関係当局との連絡体制を確立及び維持することが望ましい。
目的
組織と、関連する法務、規制及び監督当局との間で、情報セキュリティに関して適切な情報の流通が行われることを確実にするため。
5.6 専門組織との連絡
管理策
組織は、情報セキュリティに関する研究会または会議、及び情報セキュリティの専門家による協会・団体との連絡体制を確立し維持することが望ましい。
目的
情報セキュリティに関して適切な情報流通が行われることを確実にするため。
5.7 脅威インテリジェンス
管理策
情報セキュリティの脅威に関連する情報を収集及び分析し、脅威インテリジェンスを構築することが望ましい。
目的
適切なリスク低減処置を講じることができるように、組織の脅威環境についての認識をもつため。
5.8 プロジェクトマネジメントにおける情報セキュリティ
管理策
情報セキュリティをプロジェクトマネジメントに組み入れることが望ましい。
目的
プロジェクト及び成果物に関連する情報セキュリティリスクが、プロジェクトのライフサイクル全体を通じてプロジェクトマネジメントで効果的に対処されることを確実にするため。
5.9 情報及びその他の関連資産の目録
管理策
管理責任者を含む情報及びその他の関連資産の目録を作成し、維持することが望ましい。
目的
組織の情報及びその他の関連資産を特定し、それらの情報セキュリティを維持し、適切な管理責任を割り当てるため。
5.10 情報及びその他の関連資産の利用の許容範囲
管理策
情報及びその他の関連資産の利用並びに取扱手順の許容範囲に関する規則は、明確にし、文書化し、実施することが望ましい。
目的
情報及びその他の関連資産が適切に保護、利用及び取扱いされることを確実にするため。
5.11 資産の返却
管理策
要員及び必要に応じてその他の利害関係者は、雇用、契約または合意の変更または終了時に、自らが所持する組織の資産のすべてを返却することが望ましい。
目的
雇用、契約、または合意を変更または終了するプロセスの一環として、組織の資産を保護するため。
5.12 情報の分類
管理策
情報は、機密性、完全性、可用性及び関連する利害関係者の要求事項に基づく組織の情報セキュリティの要求に従って分類することが望ましい
目的
組織における情報の重要度に従って、情報の保護の要件を特定及び理解することを確実にするため。
5.13 情報のラベル付け
管理策
情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施することが望ましい。
目的
情報の分類の伝達を容易にし、情報の処理及び管理の自動化を支援するため。
5.14 情報転送
管理策
情報転送の規則、手順または合意を、組織内及び組織と他の関係者との間のすべての種類の転送設備に関して備えることが望ましい。
目的
組織内及び外部の利害関係者との間で転送される情報のセキュリティを維持するため。
5.15 アクセス制御
管理策
情報及びその他の関連資産への物理的及び論理的アクセスを制御するための規則を、業務及び情報セキュリティの要求事項に基づいて確立し、実施することが望ましい。
目的
情報及びその他の関連資産への認可されたアクセスを行わせ、認可されていないアクセスを防ぐことを確実にするため。
5.16 識別情報の管理
管理策
識別情報のライフサイクル全体を管理することが望ましい。
目的
組織の情報及びその他の関連資産にアクセスする個人及びシステムを一意に特定できるようにし、アクセス権を適切に割り当てることができるようにするため。
5.17 認証情報
管理策
認証情報の割当て及び管理は、認証情報の適切な取扱いについて要員に助言することを含む管理プロセスによって管理することが望ましい。
目的
適切なエンティティ認証を確実にし、認証プロセスの失敗を防ぐため。
5.18 アクセス権
管理策
情報及びその他の関連資産へのアクセス権は、アクセス制御に関する組織のトピック固有の個別方針及び規則に従って、提供、レビュー、変更及び削除することが望ましい。
目的
情報及びその他の関連資産へのアクセスが、業務上の要求事項に従って定義及び認可されることを確実にするため。
5.19 供給者関係における情報セキュリティ
管理策
供給者の製品またはサービスの使用に関連する情報セキュリティリスクを管理するためのプロセス及び手順を定義し実施することが望ましい。
目的
供給者関係において合意したレベルの情報セキュリティを維持するため。
5.20 供給者との合意における情報セキュリティの取扱い
管理策
供給者関係の種類に応じて、各供給者と、関連する情報セキュリティ要求事項を確立し合意することが望ましい。
目的
供給者関係において合意したレベルの情報セキュリティを維持するため。
5.21 ICTサプライチェーンにおける情報セキュリティの管理
管理策
ICT 製品及びサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセス及び手順を定義し実施することが望ましい。
目的
供給者関係において合意したレベルの情報セキュリティを維持するため。
5.22 供給者のサービス提供の監視、レビュー及び変更管理
管理策
組織は、供給者の情報セキュリティの実践及びサービス提供の変更を定常的に監視し、レビューし、評価し、管理することが望ましい。
目的
供給者との合意に沿って、合意したレベルの情報セキュリティ及びサービス提供を維持するため。
5.23 クラウドサービス利用における情報セキュリティ
管理策
クラウドサービスの取得、利用、管理及び終了のプロセスを、組織の情報セキュリティ要求事項に従って確立することが望ましい。
目的
クラウドサービスの利用における情報セキュリティを規定及び管理するため。
5.24 情報セキュリティインシデント管理の計画及び準備
管理策
組織は、情報セキュリティインシデント管理のプロセス、役割及び責任を定義、確立及び伝達することによって、情報セキュリティインシデント管理を計画及び準備することが望ましい。
目的
情報セキュリティ事象に関する伝達を含む、情報セキュリティインシデントへの迅速で、効果的で、一貫性があり、かつ秩序のある対応を確実にするため。
5.25 情報セキュリティ事象の評価及び決定
管理策
組織は情報セキュリティ事象を評価し、それらを情報セキュリティインシデントに分類するか否かを決定することが望ましい。
目的
情報セキュリティ事象の効果的な分類及び優先順位付けを確実にするため。
5.26 情報セキュリティインシデントへの対応
管理策
情報セキュリティインシデントは、文書化した手順に従って対応することが望ましい。
目的
情報セキュリティインシデントへの効率的かつ効果的な対応を確実にするため。
5.27 情報セキュリティインシデントからの学習
管理策
情報セキュリティインシデントから得られた知識は、情報セキュリティ管理策を強化し、改善するために用いることが望ましい。
目的
将来のインシデントの起こりやすさまたは影響を減らすため。
5.28 証拠の収集
管理策
組織は、情報セキュリティ事象に関連する証拠の特定、収集、取得及び保存のための手順を確立し、実施することが望ましい。
目的
懲戒処置及び法的処置の目的で、情報セキュリティインシデントに関連する証拠の一貫した効果的な管理を確実にするため。
5.29 事業の中断・阻害時の情報セキュリティ
管理策
組織は、事業の中断・阻害時に情報セキュリティを適切なレベルに維持する方法を計画することが望ましい。
目的
事業の中断・阻害時に情報及びその他の関連資産を保護するため。
5.30 事業継続のためのICTの備え
管理策
事業継続の目的及び ICT 継続の要求事項に基づいて、ICT の備えを計画、実施、維持及び試験することが望ましい。
目的
事業の中断・阻害時に組織の情報及びその他の関連資産の可用性を確実にするため。
5.31 法令、規制及び契約上の要求事項
管理策
情報セキュリティに関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組を特定し、文書化し、また、最新に保つことが望ましい。
目的
情報セキュリティに関連する法令、規制及び契約上の要求事項の順守を確実にするため。
5.32 知的財産権
管理策
組織は知的財産権を保護するための適切な手順を実施することが望ましい。
目的
知的財産権及び権利関係のある製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするため。
5.33 記録の保護
管理策
記録は、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護することが望ましい。
目的
法令、規制及び契約上の要求事項、並びに記録の保護及び可用性に関連する共同体または社会の期待の順守を確実にするため。
5.34 プライバシー及びPIIの保護
管理策
組織は、適用される法令、規制及び契約上の要求事項に従って、プライバシーの維持及び PII の保護に関する要求事項を特定し、満たすことが望ましい。
目的
PIIの保護の情報セキュリティの側面に関連する法令、規制及び契約上の要求事項の順守を確実にするため。
5.35 情報セキュリティの独立したレビュー
管理策
人、プロセス及び技術を含む、情報セキュリティ及びその実施の管理に対する組織の取組について、あらかじめ定めた間隔で、または重大な変化が生じた場合に、独立したレビューを実施することが望ましい。
目的
情報セキュリティを管理するための組織の取組の継続的な適切性、十分性及び有効性を確実にするため。
5.36 情報セキュリティのための方針群、規制及び標準の順守
管理策
組織の情報セキュリティ方針、トピック固有の個別方針、規則及び標準を順守していることを定期的にレビューすることが望ましい。
目的
情報セキュリティが組織の情報セキュリティ方針、トピック固有の個別方針、規則及び標準に従って実施及び運用されることを確実にするため。
5.37 操作手順書
管理策
情報処理設備の操作手順は、文書化し、必要とする要員に対して利用可能とすることが望ましい。
目的
情報処理設備の正確かつセキュリティに配慮した操作を確実にするため。
6.人的管理策
6.1 選考
管理策
要員になるすべての候補者についての経歴などの確認は、組織に加わる前に、適用される、規制及び倫理を考慮に入れて継続的に行うことが望ましい。また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行うことが望ましい。
目的
すべての要員が、予定する役割に対して適格かつ適切であり、雇用中に適格かつ適切であり続けることを確実にするため。
6.2 雇用条件
管理策
雇用契約書には、情報セキュリティに関する要員及び組織の責任を記載することが望ましい。
目的
要員が、予定する役割における自らの情報セキュリティの責任を理解することを確実にするため。
6.3 情報セキュリティの意識向上、教育及び訓練
管理策
組織の要員及び関連する利害関係者は、職務に関連する組織の情報セキュリティ方針、トピック固有の個別方針及び手順についての、適切な、情報セキュリティに関する意識向上、教育及び訓練を受け、また、定めに従ってその更新を受けることが望ましい。
目的
要員及び関連する利害関係者が自らの情報セキュリティの責任を意識し、それを果たすことを確実にするため。
6.4 懲戒手続
管理策
情報セキュリティ方針違反を犯した要員及びその他の関連する利害関係者に対して処置をとるために、懲戒手続を正式に定め、伝達することが望ましい。
目的
要員及びその他の関連する利害関係者が情報セキュリティ方針違反の結果を理解すること、違反を阻止すること、及びそれを犯した要員及びその他の関連する利害関係者を適切に扱うことを確実にするため。
6.5 雇用の終了または変更後の責任
管理策
雇用の終了または変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、実施し、関連する要員及びその他の利害関係者に伝達することが望ましい。
目的
雇用または契約を変更または終了する手続の一部として、組織の利益を保護するため。
6.6 秘密保持契約または守秘義務契約
管理策
情報保護に対する組織の要求事項を反映する秘密保持契約または守秘義務契約は、特定し、文書化し、定めに従ってレビューし、要員及びその他の関連する利害関係者が署名することが望ましい。
目的
要員または外部の関係者がアクセスできる情報の秘密保持を維持するため。
6.7 リモートワーク
管理策
組織の施設外でアクセス、処理または保存される情報を保護するために、要員が遠隔で作業している場合に、セキュリティ対策を実施することが望ましい。
目的
要員が遠隔で作業している場合に情報のセキュリティを確実にするため。
6.8 情報セキュリティ事象の報告
管理策
組織は、要員が発見したまたは疑いをもった情報セキュリティ事象を、適切な連絡経路を通して時機を失せずに報告するための仕組みを設けることが望ましい。
目的
要員が、特定可能な情報セキュリティ事象を時機を失せず、一貫性をもって効果的に報告することを支援するため。
7.物理的管理策
7.1 物理的セキュリティ境界
管理策
情報及びその他の関連資産のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いることが望ましい。
目的
組織の情報及びその他の関連資産への認可されていない物理的アクセス、損傷及び干渉を防ぐため。
7.2 物理的入退
管理策
セキュリティを保つべき領域は、適切な入退管理策及び立寄り場所によって保護することが望ましい。
目的
組織の情報及びその他の関連資産に、認可された物理的アクセスだけがなされることを確実にするため。
7.3 オフィス、部屋及び施設のセキュリティ
管理策
オフィス、部屋及び施設に対する物理的セキュリティを設計し、実装することが望ましい。
目的
オフィス、部屋及び施設内の組織の情報及びその他の関連資産への認可されていない物理的アクセス、損傷、並びに干渉を防ぐため。
7.4 物理的セキュリティの監視
管理策
施設は、認可されていない物理的アクセスについて継続的に監視することが望ましい
目的
認可されていない物理的アクセスを検知し、抑止するため。
7.5 物理的及び環境的脅威からの保護
管理策
基盤に対する、自然災害及びその他の意図的または意図的でない物理的脅威などの物理的及び環境的脅威に対する保護を設計し実装することが望ましい。
目的
物理的及び環境的脅威に起因する事象の結果を防止または低減するため。
7.6 セキュリティを保つべき領域での作業
管理策
セキュリティを保つべき領域での作業に関するセキュリティ対策を設計し、実装することが望ましい。
目的
セキュリティを保つべき領域にある情報及びその他の関連資産を、これらの領域で働く要員による損傷及び認可されていない干渉から保護するため。
7.7 クリアデスク・クリアスクリーン
管理策
書類及び取外し可能な記憶媒体に対するクリアデスクの規則、並びに情報処理設備に対するクリアスクリーンの規則を定義し、適切に実施させることが望ましい。
目的
通常の勤務時間内及び時間外の、机、スクリーン及びその他のアクセス可能な場所にある情報への認可されていないアクセス、情報の消失及び損傷のリスクを低減するため。
7.8 装置の設置及び保護
管理策
装置は、セキュリティを保って設置し、保護することが望ましい。
目的
物理的及び環境的脅威、並びに認可されていないアクセス及び損傷によるリスクを低減するため。
7.9 構外にある資産のセキュリティ
管理策
構外にある資産を保護することが望ましい。
目的
構外にある装置の紛失、損傷、盗難または侵害、及び組織の業務の中断を防止するため。
7.10 記憶媒体
管理策
記憶媒体は、組織における分類体系及び取扱いの要求事項に従って、取得、使用、移送及び廃棄のライフサイクルを通じて管理することが望ましい。
目的
記憶媒体上の情報に対して認可された開示、変更、移動または破棄だけがなされることを確実にするため。
7.11 サポートユーティリティ
管理策
情報処理施設は、サポートユーティリティの不具合による、停電、その他の故障から保護することが望ましい。
目的
サポートユーティリティの故障及び事業の中断・阻害による情報及びその他の関連資産の消失、損傷若しくは侵害、または組織の運用の中断を防止するため。
7.12 ケーブル配線のセキュリティ
管理策
電源ケーブル、データ伝送ケーブルまたは情報サービスをサポートするケーブルの配線は、傍受、妨害または損傷から保護することが望ましい。
目的
通信ケーブル及び電源ケーブルの配線に関連した、情報及びその他の関連資産の消失、損傷、盗難または侵害、並びに組織の運用の中断を防止するため。
7.13 装置の保守
管理策
装置は、情報の可用性、完全性及び機密性を維持することを確実にするために、正しく保守することが望ましい。
目的
保守の不足による、情報及びその他の関連資産の消失、損傷、盗難または侵害、並びに組織の運用の中断を防止するため。
7.14 装置のセキュリティを保った処分または再利用
管理策
記憶媒体を内蔵した装置は、処分または再利用する前に、すべての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、またはセキュリティを保って上書きしていることを確実にするために、検証することが望ましい。
目的
処分または再利用する装置からの情報漏えいを防止するため。
8.技術的管理策
8.1 利用者エンドポイント機器
管理策
利用者終端装置に保存し、そこで処理し、またはそれを通じてアクセス可能な情報を保護することが望ましい。
目的
利用者終端装置を使用することによってもたらされるリスクから情報を保護するため。
8.2 特権的アクセス権
管理策
特権的アクセス権の割当て及び利用は、制限し、管理することが望ましい。
目的
認可された利用者、ソフトウェア構成要素及びサービスだけに特権的アクセス権が与えられることを確実にするため。
8.3 情報へのアクセス制限
管理策
情報及びその他の関連資産へのアクセスは、アクセス制御に関する確立されたトピック固有の個別方針に従って、制限することが望ましい。
目的
情報及びその他の関連資産への認可されたアクセスだけを確実にし、認可されていないアクセスを防止するため。
8.4 ソースコードへのアクセス
管理策
ソースコード、開発ツール、及びソフトウェアライブラリへの読取り及び書込みアクセスを適切に管理することが望ましい。
目的
認可されていない機能が入り込むことを防止し、意図しないまたは悪意のある変更を回避し、価値の高い知的財産の機密性を維持するため。
8.5 セキュリティを保った認証
管理策
セキュリティを保った認証技術及び手順を、情報アクセス制限、及びアクセス制御に関するトピック固有の個別方針に基づいて備えることが望ましい。
目的
システム、アプリケーション及びサービスへのアクセスを許可するときに、利用者またはエンティティをセキュリティを保って認証することを確実にするため。
8.6 容量・能力の管理
管理策
現在の及び予測される容量・能力の要求事項に合わせて、資源の利用を監視し調整することが望ましい。
目的
情報処理施設、人的資源、オフィス及びその他の施設で必要とされる容量・能力の確保を確実にするため。
8.7 マルウェアに対する保護
管理策
マルウェアに対する保護は、利用者の適切な認識によって実施及び支援することが望ましい。
目的
情報及びその他の関連資産をマルウェアに対して保護することを確実にするため。
8.8 技術的脆弱性の管理
管理策
利用中の情報システムの技術的脆弱性に関する情報を獲得することが望ましい。また、そのような脆弱性に組織がさらされている状況を評価することが望ましい。さらに、適切な手段をとることが望ましい。
目的
技術的脆弱性の悪用を防止するため。
8.9 構成管理
管理策
ハードウェア、ソフトウェア、サービス及びネットワークのセキュリティ構成を含む構成を確立し、文書化し、実装し、監視及びレビューすることが望ましい。
目的
ハードウェア、ソフトウェア、サービス及びネットワークが、必要とされるセキュリティ設定で正しく機能し、認可されていない変更または誤った変更によって構成が変えられないことを確実にするため。
8.10 情報の削除
管理策
情報システム、装置またはその他の記憶媒体に保存している情報は、必要でなくなった場合は削除することが望ましい。
目的
取扱いに慎重を要する情報の不必要な漏えいを防止し、情報の削除に関する法令、規制及び契約上の要求事項を順守するため。
8.11 データマスキング
管理策
データマスキングは、適用される法律を考慮して、アクセス制御に関する組織のトピック固有の個別方針及びその他の関連するトピック固有の個別方針、並びに業務要求事項に従って使用することが望ましい。
目的
PII を含む、取扱いに慎重を要するデータの開示を制限し、法令、規制及び契約上の要求事項を順守するため。
8.12 データ漏えいの防止
管理策
データ漏えい防止対策を、取扱いに慎重を要する情報を処理、保存または送信するシステム、ネットワーク及びその他の装置に適用することが望ましい。
目的
個人またはシステムによる情報の認可されていない開示及び抽出を検出し防止するため。
8.13 情報のバックアップ
管理策
合意されたバックアップに関するトピック固有の個別方針に従って、情報、ソフトウェア及びシステムのバックアップを維持し、定期的に検査することが望ましい。
目的
データまたはシステムの損失からの回復を可能にするため。
8.14 情報処理施設の冗長性
管理策
情報処理施設は、可用性の要求事項を満たすのに十分な冗長性をもって、導入することが望ましい。
目的
情報処理施設の継続的な運用を確実にするため。
8.15 ログ取得
管理策
活動、例外処理、過失及びその他の関連事象を記録したログを取得し、保存し、保護し、分析することが望ましい。
目的
事象を記録し、証拠を生成し、ログ情報の完全性を確実にし、認可されていないアクセスを防止し、情報セキュリティインシデントにつながる可能性のある情報セキュリティ事象を特定し、調査を支援するため。
8.16 監視活動
管理策
情報セキュリティインシデントの可能性がある事象を評価するために、ネットワーク、システム及びアプリケーションについて異常な行動・動作がないか監視し、適切な処置を講じることが望ましい。
目的
異常な行動・動作及び潜在する情報セキュリティインシデントを検出するため。
8.17 クロックの同期
管理策
組織が使用する情報処理システムのクロックは、広く認められた時刻源と同期させることが望ましい。
目的
セキュリティ関連の事象及びその他の記録されたデータの関係付け及び分析を可能にし、情報セキュリティインシデントの調査を支援するため。
8.18 特権的なユーティリティプログラムの使用
管理策
システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理することが望ましい。
目的
ユーティリティプログラムの使用が、システム及びアプリケーションについての情報セキュリティ管理策に害を与えないことを確実にするため。
8.19 運用システムに関わるソフトウェアの導入
管理策
運用システムへのソフトウェアの導入をセキュリティを保って管理するための手順及び対策を実施することが望ましい。
目的
運用システムの完全性の維持を確実にし、技術的脆弱性の悪用を防止するため。
8.20 ネットワークのセキュリティ
管理策
システム及びアプリケーション内の情報を保護するために、ネットワーク及びネットワーク装置のセキュリティを保ち、管理し、制御することが望ましい。
目的
ネットワーク及びそれをサポートする情報処理施設における情報を、ネットワークを通じた危険から保護するため。
8.21 ネットワークサービスのセキュリティ
管理策
ネットワークサービスについて、セキュリティ機能、サービスレベル及びサービスの要求事項を特定し、実装し、監視することが望ましい。
目的
ネットワークサービスの使用におけるセキュリティを確実にするため。
8.22 ネットワークの分離
管理策
情報サービス、利用者及び情報システムは、組織のネットワーク上で、グループごとに分離することが望ましい。
目的
業務の要求に基づいて、ネットワークをセキュリティ境界で分割し、それらの間のトラフィックを管理するため。
8.23 ウェブ・フィルタリング
管理策
悪意のあるコンテンツにさらされることを減らすために、外部ウェブサイトへのアクセスを管理することが望ましい。
目的
システムがマルウェアによって危険にさらされることを防ぎ、認可されていないウェブ資源へのアクセスを防止するため。
8.24 暗号の使用
管理策
暗号鍵の管理を含む、暗号の効果的な利用のための規則を定め、実装することが望ましい。
目的
業務及び情報セキュリティの要求事項に従い、暗号に関連する法令、規制及び契約上の要求事項を考慮して、情報の機密性、真正性または完全性を保護するための暗号の適切かつ効果的な使用を確実にするため。
8.25 セキュリティに配慮した開発のライフサイクル
管理策
ソフトウェア及びシステムのセキュリティに配慮した開発のための規則を確立し、適用することが望ましい。
目的
情報セキュリティを、ソフトウェア及びシステムのセキュリティに配慮した開発ライフサイクルにおいて設計し、実装することを確実にするため。
8.26 アプリケーションのセキュリティの要求事項
管理策
アプリケーションを開発または取得する場合、情報セキュリティ要求事項を特定し、規定し、承認することが望ましい。
目的
アプリケーションを開発または取得する場合、すべての情報セキュリティ要求事項を特定し、対応することを確実にするため。
8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
管理策
セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持し、すべての情報システムの開発活動に対して適用することが望ましい。
目的
情報システムが、開発のライフサイクルにおいてセキュリティに配慮して設計、実装及び運用されることを確実にするため。
8.28 セキュリティに配慮したコーディング
管理策
セキュリティに配慮したコーディングの原則をソフトウェア開発に適用することが望ましい。
目的
ソフトウェアがセキュリティに配慮して書かれ、それによってソフトウェアの潜在的な情報セキュリティの脆弱性の数を減らすことを確実にするため。
8.29 開発及び受け入れにおけるセキュリティ試験
管理策
セキュリティ試験のプロセスを開発のライフサイクルにおいて定義し実施することが望ましい。
目的
アプリケーションまたはコードを運用環境に導入するときに、情報セキュリティ要求事項が満たされているかどうかの妥当性確認をするため。
8.30 外部委託による開発
管理策
組織は、外部委託したシステム開発に関する活動を指導、監視及びレビューすることが望ましい。
目的
組織が要求する情報セキュリティ対策が、外部委託したシステム開発で実施されることを確実にするため。
8.31 開発環境、試験環境及び運用環境の分離
管理策
開発環境、試験環境及び運用環境は、分離してセキュリティを保つことが望ましい。
目的
開発活動及び試験活動による危険から運用環境及びそのデータを保護するため。
8.32 変更管理
管理策
情報処理施設及び情報システムの変更は、変更管理手順に従うことが望ましい。
目的
変更を実行するときに情報セキュリティを維持するため。
8.33 試験情報
管理策
試験情報は、注意深く選定し、保護し、管理することが望ましい。
目的
試験の適切な実施、及び試験に使用する運用情報の保護を確実にするため。
8.34 監査試験中の情報システムの保護
管理策
運用システムのアセスメントを伴う監査試験及びその他の保証活動を計画し、試験者と適切な管理層の間で合意することが望ましい。
目的
監査及びその他の保証活動が運用システム及び業務プロセスに与える影響を最小限に抑えるため。
(出典)JSA「ISO/IEC 27002:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策」を基に作成