17-1-1. 対策基準の策定
ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。
ISO/IEC27001:2022に基づき管理策を決定する(例)
【凡例】採用:〇・不採用:✕
項目
採用、不採用
- 8.1 利用者エンドポイント機器
- 8.2 特権的アクセス権
- 8.3 情報へのアクセス制限
- 8.4 ソースコードへのアクセス
- 8.5 セキュリティを保った認証
- 8.6 容量・能力の管理
- 8.7 マルウェアに対する保護
- 8.8 技術的脆弱性の管理
- 8.9 構成管理
- 8.10 情報の削除
- 8.11 データマスキング
- 8.12 データ漏えいの防止
- 8.13 情報のバックアップ
- 8.14 情報処理施設の冗長性
- 8.15 ログ取得
- 8.16 監視活動
- 8.17 クロックの同期
- 8.18 特権的なユーティリティプログラムの使用
- 8.19 運用システムに関わるソフトウェアの導入
- 8.20 ネットワークのセキュリティ
- 8.21 ネットワークサービスのセキュリティ
- 8.22 ネットワークの分離
- 8.23 ウェブ・フィルタリング
- 8.24 暗号の使用
- 8.25 セキュリティに配慮した開発のライフサイクル
- 8.26 アプリケーションのセキュリティの要求事項
- 8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
- 8.28 セキュリティに配慮したコーディング
- 8.29 開発及び受け入れにおけるセキュリティ試験
- 8.30 外部委託による開発
- 8.31 開発環境、試験環境及び運用環境の分離
- 8.32 変更管理
- 8.33 試験情報
- 8.34 監査試験中の情報システムの保護
対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。
対策基準(例)
8.1 利用者エンドポイント機器
利用者エンドポイントデバイスに保存されている情報、処理される情報、または利用者エンドポイントデバイスを介してアクセス可能な情報を保護しなければならない。
8.2 特権的アクセス権
特権的アクセス権の割り当ておよび利用は、制限し、管理しなければならない。
8.3 情報へのアクセス制限
情報およびその他の関連資産へのアクセスは、確立されたアクセス制御に関するトピック固有の方針に従って、制限しなければならない。
8.4 ソースコードへのアクセス
ソースコード、開発ツール、ソフトウェアライブラリへの読取りおよび書込みアクセスを、適切に管理しなければならない。
8.5 セキュリティを保った認証
セキュリティを保った認証技術および手順を、情報へのアクセス制限およびアクセス制御に関するトピック固有の方針に基づいて備えなければならない。
8.6 容量・能力の管理
現在および予測される容量・能力の要求事項に合わせて、資源の利用を監視し、調整しなければならない。
8.7 マルウェアに対する保護
マルウェアに対する保護を実施し、利用者の適切な認識によって支援しなければならない。
8.8 技術的脆弱性の管理
利用中の情報システムの技術的脆弱性に関する情報を獲得しなければならない。また、そのような脆弱性に組織がさらされている状況を評価し、適切な手段をとらなければならない。
8.9 構成管理
ハードウェア、ソフトウェア、サービスおよびネットワークのセキュリティ構成を含む構成を確立、文書化、実装、監視し、レビューしなければならない。
8.10 情報の削除
情報システム、装置またはその他の記憶媒体に保存している情報は、必要でなくなった時点で削除しなければならない。
8.11 データマスキング
データマスキングは、適用される法令を考慮して、組織のアクセス制御に関するトピック固有の方針およびその他の関連するトピック固有の方針、並びに事業上の要求事項に従って利用しなければならない。
8.12 データ漏えいの防止
データ漏えい防止対策を、取扱いに慎重を要する情報を処理、保存、送信するシステム、ネットワークおよびその他の装置に適用しなければならない。
8.13 情報のバックアップ
合意されたバックアップに関するトピック固有の方針に従って、情報、ソフトウェアおよびシステムのバックアップを維持し、定期的に検査しなければならない。
8.14 情報処理施設の冗長性
情報処理施設・設備は、可用性の要求事項を満たすのに十分な冗長性を持って、導入しなければならない。
8.15 ログ取得
活動、例外処理、過失、その他の関連する事象を記録したログを取得、保存、保護し、分析しなければならない。
8.16 監視活動
セキュリティインシデントの可能性を評価するために、ネットワーク、システムおよびアプリケーションについて異常な挙動がないか監視し、適切な処置を講じなければならない。
8.17 クロックの同期
組織が使用する情報処理システムのクロックは、国の原子時計から配信される時刻に基づくクロックと同期させなければならない。
8.18 特権的なユーティリティプログラムの使用
システムおよびアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理しなければならない。
8.19 運用システムに関わるソフトウェアの導入
運用システムへのソフトウェアの導入をセキュリティを保って管理するための手順および対策を実施しなければならない。
8.20 ネットワークのセキュリティ
システムおよびアプリケーション内の情報を保護するために、ネットワークおよびネットワーク装置のセキュリティを保ち、管理し、制御しなければならない。
8.21 ネットワークサービスのセキュリティ
ネットワークサービスのセキュリティ機能、サービスレベルおよびサービスの要求事項を特定し、実装し、監視しなければならない。
8.22 ネットワークの分離
情報サービス、利用者および情報システムは、組織のネットワーク上でグループごとに分離しなければならない。
8.23 ウェブ・フィルタリング
悪意のあるコンテンツにさらされることを減らすために、外部Webサイトへのアクセスを管理しなければならない。
8.24 暗号の使用
暗号鍵の管理を含む、暗号の効果的な利用のための規則を定め、実施しなければならない。
8.25 セキュリティに配慮した開発のライフサイクル
ソフトウェアおよびシステムのセキュリティに配慮した開発のための規則を確立し、適用しなければならない。
8.26 アプリケーションのセキュリティの要求事項
アプリケーションを開発または取得する場合、情報セキュリティ要求事項を特定し、規定し、承認しなければならない。
8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
セキュリティに配慮したシステムを構築するための原則を確立、文書化、維持し、すべての情報システムの開発活動に対して適用しなければならない。
8.28 セキュリティに配慮したコーディング
セキュリティに配慮したコーディングの原則を、ソフトウェア開発に適用しなければならない。
8.29 開発及び受入れにおけるセキュリティ試験
セキュリティテストのプロセスを開発のライフサイクルにおいて定め、実施しなければならない。
8.30 外部委託による開発
組織は、外部委託したシステム開発に関する活動を指揮、監視し、レビューしなければならない。
8.31 開発環境、試験環境及び運用環境の分離
開発環境、テスト環境および本番環境は、分離してセキュリティを保たなければならない。
8.32 変更管理
情報処理設備および情報システムの変更は、変更管理手順に従わなければならない。
8.33 試験情報
テスト用情報は、適切に選定、保護、管理しなければならない。
8.34 監査試験中の情報システムの保護
運用システムのアセスメントを伴う監査におけるテストおよびその他の保証活動を計画し、テスト実施者と適切な管理層との間で合意しなければならない。
17-1-2の項では、策定した対策基準をもとに作成する実施手順について説明します。
詳細理解のため参考となる文献(参考文献)