16-1-1. 対策基準の策定
ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。
ISO/IEC27001:2022に基づき管理策を決定する(例)
【凡例】採用:〇・不採用:✕
項目
採用、不採用
- 7.1 物理的セキュリティ境界
- 7.2 物理的入退
- 7.3 オフィス、部屋及び施設のセキュリティ
- 7.4 物理的セキュリティの監視
- 7.5 物理的及び環境的脅威からの保護
- 7.6 セキュリティを保つべき領域での作業
- 7.7 クリアデスク・クリアスクリーン
- 7.8 装置の設置及び保護
- 7.9 構外にある資産のセキュリティ
- 7.10 記憶媒体
- 7.11 サポートユーティリティ
- 7.12 ケーブル配線のセキュリティ
- 7.13 装置の保守
- 7.14 装置のセキュリティを保った処分または再利用
対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。
対策基準(例)
7.1 物理的セキュリティ境界
情報およびその他の関連資産のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いなければならない。
7.2 物理的入退
セキュリティを保つべき領域は、適切な入退管理策および立寄り場所によって保護しなければならない。
7.3 オフィス、部屋及び施設のセキュリティ
オフィス、部屋および施設に対する物理的セキュリティを設計し、実装しなければならない。
7.4 物理的セキュリティの監視
施設は、認可されていない物理的アクセスについて継続的に監視しなければならない。
7.5 物理的及び環境的脅威からの保護
自然災害およびその他の意図的または意図的でない、インフラストラクチャーに対する物理的脅威などの物理的および環境的脅威に対する保護を設計し、実装しなければならない。
7.6 セキュリティを保つべき領域での作業
セキュリティを保つべき領域での作業に関するセキュリティ対策を設計し、実施しなければならない。
7.7 クリアデスク・クリアスクリーン
書類および取外し可能な記憶媒体に対するクリアデスクの規則、並びに情報処理設備に対するクリアスクリーンの規則を定め、適切に実施しなければならない。
7.8 装置の設置及び保護
装置は、セキュリティを保って設置し、保護しなければならない。
7.9 構外にある資産のセキュリティ
構外にある資産を保護しなければならない。
7.10 記憶媒体
記憶媒体は、組織における分類体系および取扱いの要求事項に従って、取得、使用、移送および廃棄のライフサイクルを通して管理しなければならない。
7.11 サポートユーティリティ
情報処理施設・設備は、サポートユーティリティの不具合による、停電、その他の中断から保護しなければならない。
7.12 ケーブル配線のセキュリティ
電源ケーブル、データ伝送ケーブルまたは情報サービスを支援するケーブルの配線は、傍受、妨害または損傷から保護しなければならない。
7.13 装置の保守
装置は、情報の可用性、完全性、機密性を維持することを確実にするために、正しく保守しなければならない。
7.14 装置のセキュリティを保った処分または再利用
記憶媒体を内蔵した装置は、処分または再利用する前に、すべての取扱いに慎重を要するデータおよびライセンス供与されたソフトウェアを消去していること、またはセキュリティを保てるよう上書きしていることを確実にするために、検証しなければならない。
16-1-2の項では、策定した対策基準をもとに作成する実施手順について説明します。
詳細理解のため参考となる文献(参考文献)