ASP・SaaS事業者 管理/メンテナンス
ヸビス利用 企業等ユヸ
デヸタベヸス
ンターネット
フ ス/事業所
ステム管理 /監視 デヸタセンタ 国内/国外 事業者
Web
プリ プリ
ヸバ群
プラットフォーム
認証 決済
・・
等
運用管理端末
運用管理端末
Annex 2
組織ン運用編取 対策 目一覧表
番 対策 目 区 実施チ ッ
Ⅱ. . .
経営陣 、情報セキュ に関 る組織的 組に いての基本的 方針を定 た文書を作成 るこ た、当該文書に
、経営陣 認の署 等を行い、情報セキュ に関 る経営陣の責任を明確に るこ
基本
Ⅱ. . .
情報セキュ に関 る基本的 方針を定 た文書 、定期的又 ASP SaaSサ ビスの提供に係る重大 変更 生 た 場合 組織環境、業務環境、法的環境、技術的環境等 に見直しを行うこ この見直しの結果、変更の必要性 生 た場合に
、経営陣の 認の 改定等を実施 るこ
基本
Ⅱ. . .
経営陣 、情報セキュ に関 る 組に いての責任 関与を明示し、人員 資産 予算の面 の積極的 支援 支持を行 うこ
基本
Ⅱ. . .
従業員に対 る秘密保持又 守秘義務に いての要求を明確にし、文書化 るこ 当該文書 、定期的又 ASP SaaS サ ビスの提供に係る重大 変更 生 た場合 組織環境、業務環境、法的環境、技術的環境等 に見直しを行うこ
基本
Ⅱ. . .
情報セキュ 対策に ける具体的 実施基準や手 等を明確化し、文書化 るこ 当該文書 、定期的又 ASP SaaS サ ビスの提供に係る重大 変更 生 た場合 組織環境、業務環境、法的環境、技術的環境等 に見直しを行うこ
基本
Ⅱ. . . 外部組織 関わる業務プ セスに ける、情報資産に対 る ス を識別し、適 対策を実施 るこ 基本
Ⅱ. . .
情報資産への セス 可能 る外部組織 の契約に いて 、想定 る全ての セスに いて、 の範囲を規定 る こ
基本
Ⅱ. . .
連連携ASP SaaS事業者 提供 るASP SaaSサ ビスに いて、事業者間 合意 た情報セキュ 対策及びサ ビス ベ 、連携ASP SaaS事業者によ て確実に実施 るこ を担保 るこ
基本
Ⅱ. . .
連携ASP SaaS事業者 提供 るASP SaaSサ ビスの運用に関 る報告及び記録を常に確認し、 ビュ るこ た、
定期的に監査を実施 るこ
基本
Ⅱ. . .
扱う各情報資産に いて、管理責任者を定 る 共に、 の利用の許容範囲 利用可能者、利用目的、利用方法、返却方 法等 を明確にし、文書化 るこ
基本
Ⅱ. . .
組織に ける情報資産の価値や、法的要求 個人情報の保護等 等に基 、 扱いの慎重 の度合いや重要性の観点 情報資産を 類 るこ
基本 Annex 組織 運用編 対策 目一覧表
Ⅱ. 情報セキュ への組織的 組の基本方針
Ⅱ. . 組織の基本的 方針を定 た文書
Ⅱ. . 外部組織 タセンタを含
Ⅱ. . 情報資産に対 る責任
Ⅱ. . 情報の 類
Ⅱ. 情報資産の管理
Ⅱ. 情報セキュ のた の組織
Ⅱ. . 内部組織
Ⅱ. . 連携ASP SaaS事業者 組 込 ASP SaaSサ ビスの管理
Ⅱ. 連携ASP SaaS事業者に関 る管理
番 対策 目 区 実施チ ッ
Ⅱ. . .
各情報資産の管理責任者 、自 の責任範囲に ける全ての情報セキュ 対策 、情報セキュ ポ に則 しく 確実に実施 るよう、定期的に ビュ 及び見直しを行うこ
基本
Ⅱ. . .
ASP SaaSサ ビスの提供に用いる情報 ス ム 、情報セキュ ポ の要求を遵守しているこ を確認 るた 、 定期的に点検 監査 るこ
基本
Ⅱ. . .
雇用予定の従業員に対して、機密性 完全性 可用性に係る情報セキュ の要求及び責任の 界点を提示 説明 る に、この要求等に対 る明確 意を て雇用契約を締結 るこ
基本
Ⅱ. . . 全ての従業員に対して、情報セキュ ポ に関 る意識向 のた の適 教育 訓練を実施 るこ 基本
Ⅱ. . . 従業員 、情報セキュ ポ しく ASP SaaSサ ビス提供 の契約に違反した場合の対応手続を備えるこ 基本
Ⅱ. . .
従業員の雇用 終了又 変更 た場合の セス権や情報資産等の扱いに いて、実施 事 や手続 、確認 目 等を明確に るこ
基本
Ⅱ. . .
全ての従業員に対し、業務に いて発見あるい 疑いを た情報 ス ムの い弱性や情報セキュ ン ン サ ビス停 、情報の漏えい 改 破壊 紛失、 ス感染等 に いて、 のよう の 記録し、 る け速や に管理責任者に報告 るよう手続 を定 、実施を要求 るこ
報告を受けた後に、迅速に整然 効果的 対応 るよう、責任体制及び手 を確立 るこ
基本
Ⅱ. . . .
個人情報、機密情報、知的財産等、法令又 契約 適 管理 求 ている情報に いて 、該当 る法令又 契約を 特定した 、 の要求に基 適 情報セキュ 対策を実施 るこ
基本
Ⅱ. . .
ASP SaaSサ ビスの提供及び 続 重要 記録 会計記録、 タベ ス記録、 引 、監査 、運用手 等 に い て 、法令又 契約及び情報セキュ ポ 等の要求事 に従 て、適 に管理 るこ
基本
Ⅱ. . .
利用可否範囲 対象区画 施設、利用 許可 る者等 の明示、認可手続の制定、監視、警告等によ 、認可 てい い目 的のた の情報 ス ム及び情報処理施設の利用を行わ いこ
基本
Ⅱ. . 情報セキュ ン ン 及び い弱性の報告
Ⅱ. . 雇用期間中
Ⅱ. . 雇用の終了又 変更
Ⅱ. . 情報セキュ ポ の遵守、点検及び監査
Ⅱ. コンプ ンス
Ⅱ . 法令 規則の遵守
Ⅱ. サポ の責任
Ⅱ. 従業員に係る情報セキュ
Ⅱ. . 雇用前
Ⅱ. 情報セキュ ン ン の管理
Annex 3
物理的ン技術的対策編取 対策 目一覧表
機密性
可用性 高 中 低 高 中 低
タ ン タ ン タ ン タ ン タ ン タ ン
※対策 目を実施 る に、
の実施 ベ を定量的ある い 具体的に評価 るた の 指標
a 死活監視 ンタ
応答確認
回 回 回 回 回 回
通知時間
稼動停 検知後、利用者に 通知 る の時間
内 内 時間 内 内 内 時間 内
a 障害監視 ンタ
回 回 回 回 回 回
通知時間
障害検知後、利用者に通知 る の時間
時間 時間
a フォ ンス監視 ンタ
回 回 回 回 回 回
通知時間
異常検知後、利用者に通知 る の時間
時間 時間
Ⅲ. . . ASP SaaSサ ビスの提供に用いる プ ョン、プ ッ フォ ム、サ ス 等の稼働監視、障害監視、
フォ ンス監視の結果を評価総括して、管理責任者に報 告 るこ
推奨
Ⅲ. . . ASP SaaSサ ビスの提供に用いる プ ョン、プ ッ フォ ム、サ ス 等 情報セキュ 対策機 器、通信機器等 の時刻 期の方法を規定し、実施 るこ
基本
Ⅲ. . . ASP SaaSサ ビスの提供に用いるプ ッ フォ ム、サ ス 、情報セキュ 対策機器、通信機器に い ての技術的 い弱性に関 る情報 S、 の他ソフ の ッチ発行情報等を定期的に収集し、随時 ッチによる 更新を行うこ
基本 S、 の他ソフ に対 る ッチ更新作業の着手
の時間 ベン ス
時間 内
ベン ス
時間 内
ベン ス
時間 内
ベン ス
日 内
ベン ス
日 内
ベン ス
日 内
Ⅲ. . . ASP SaaSサ ビスの提供に用いる プ ョン、プ ッ フォ ム、サ ス 等 情報セキュ 対策機 器、通信機器等 の監視結果障害監視、死活監視、
フォ ンス監視 に いて、定期報告書を作成して利用者 等に報告 るこ
推奨 定期報告の間隔 e 等による報告 含
ヶ暻 ヶ暻 ヶ暻 ヶ暻 ヶ暻 ヶ暻
Ⅲ. . . ASP SaaSサ ビスの提供に用いる プ ョン、プ ッ フォ ム、サ ス 等 情報セキュ 対策機 器、通信機器等 に係る稼働停 、障害、 フォ ンス低 等に いて、速報をフォ ップ る追加報告を利用者に 対して行うこ
基本 第一報速報 に続く追加報告 のタ ン
発見後 時間 発見後 時間 発見後 時間 発見後時間 発見後 時間 発見後 時間
Annex
区
実 施 チ
ェッ
Ⅲ. . .
低
対策参照値※※
基本
対策 目 対
策 目 番 号
高
評 価 目 番 号
Ⅲ. . .
ASP SaaSサ ビスの提供に用いる プ ョン、プ ッ フォ ム、サ ス 、情報セキュ 対策機 器、通信機器の稼働監視応答確認等 を行うこ
稼働停 を検知した場合 、利用者に速報を通知 るこ
推奨 ASP SaaSサ ビスの提供に用いる プ ョン、プ
ッ フォ ム、サ 、ス 、ネッ ワ に対し一定 間隔 フォ ンス監視 サ ビスの スポンス時間の監 視を行うこ
た、利用者 の 決 に基 いて、監視結果を利用者に 通知 るこ
Ⅲ. プ ョン、プ ッ フォ ム、サ ス 、ネッ ワ に共通 る情報セキュ 対策
Ⅲ. . 運用 管理に関 る共通対策
物理的 技術的対策編 対策 目一覧表
※※対策 目の実施 ベ の目 る評価 目の値 、 タ ン に設定 ている 特に達成 るこ 必要 ある 考え る値に いて を付している た、評価 目によ て 、対策参照値 ている タ ン 存在 る 、こ に いて 、ASPSaaS事 業者 任意に対策参照値を設定 るこ 、対策 目の実施 ベ を評価 たい
評価 目※
Ⅲ. . . ASP SaaSサ ビスの提供に用いる プ ョン、プ 基本 ッ フォ ム、サ ス 、情報セキュ 対策機 器、通信機器の障害監視サ ビス 常に動作しているこ
の確認 を行うこ
障害を検知した場合 、利用者に速報を通知 るこ
※対策 目を実施 る に、
の実施 ベ を定量的ある い 具体的に評価 るた の 指標
区
実 施 チ
ェッ
対策参照値※※
対策 目 対
策 目 番 号
評 価 目 番 号
※※対策 目の実施 ベ の目 る評価 目の値 、 タ ン に設定 ている 特に達成 るこ 必要 ある 考え る値に いて を付している た、評価 目によ て 、対策参照値 ている タ ン 存在 る 、こ に いて 、ASPSaaS事 業者 任意に対策参照値を設定 るこ 、対策 目の実施 ベ を評価 たい
評価 目※
Ⅲ. . . 情報セキュ 監視稼働監視、障害監視、 フォ ン ス監視等の実施基準 手 等を定 るこ
た、ASPSaaSサ ビスの提供に用いる プ ョ ン、プ ッ フォ ム、サ 、ス 、ネッ ワ の運 用管理に関 る手 書を作成 るこ
基本
Ⅲ. . . ASP SaaSサ ビスを利用者に提供 る時間帯を定 、こ の時間帯に けるASP SaaSサ ビスの稼働率を規定 るこ
た、 プ ョン、プ ッ フォ ム、サ ス の定期保守時間を規定 るこ
基本 ASP SaaSサ ビスの稼働率
99 % 99% 9 % 99 % 99% 9 %
Ⅲ. . . ASP SaaSサ ビスの提供に用いる プ ョン、プ ッ フォ ム、サ ス に対し、利用者の利用状況の 予測に基 いて設計した容量 能力等の要求事 を記録した 文書を作成し、保存 るこ
基本 容量能力等の要求事 を記 録した文書の保存期間
サ ビス提供期間+
年間
サ ビス提供期間+
ヶ暻
サ ビス提供期間+
ヶ暻
サ ビス提供期間+
年間
サ ビス提供期間+
ヶ暻
サ ビス提供期間+
ヶ暻
a 利用者の利用状況の記録
等 の保存期間 ヶ暻 ヶ暻 週間 ヶ暻 ヶ暻 週間
例外処理及び情報セキュ 事象の記録 等の保 存期間
年 年 ヶ暻 年 年 ヶ暻
スタン 機による運転再開
可能 ホッ スタン
可能 コ スタン
可能 ホッ スタン
可能 コ スタン
a い弱性診断の実施間隔
サ 等への外部 の侵 入に関 る簡易自動診断
ポ スキャン等
回 ヶ暻 回 ヶ暻 回 ヶ暻 回 ヶ暻 回 ヶ暻 回 ヶ暻
い弱性診断の実施間隔 サ 等への外部 の侵 入に関 る 細診断 ネッ ワ 関係、外部委 を含
回 ヶ暻 回 年 回 年 回 ヶ暻 回 年 回 年
い弱性診断の実施間隔 プ ョンの脆弱性の 細診断外部委 を含
回 年 回 年 回 年 回 年 回 年 回 年
Ⅲ. . . ASP SaaSサ ビスの提供に用いるプ ッ フォ ム、サ ス タ プ ム、電子 、 タベ ス 等に いて ス等に対 る対策を講 るこ
基本 タ ンフ の更新間隔
ベン ス
時間 内
ベン ス
時間 内
ベン ス
日 内
ベン ス
時間 内
ベン ス
日 内
ベン ス
日 内
Ⅲ. . プ ョン、プ ッ フォ ム、サ ス の運用 管理
ASP SaaSサ ビスの提供に用いる プ ョン、プ ッ フォ ム、サ ス に いて定期的に い弱性診 断を行い、 の結果に基 いて対策を行うこ
基本 利用者の利用状況、例外処理及び情報セキュ 事象の 記録 等 を 得し、記録 等 の保存期間を明示 るこ
Ⅲ. . .
Ⅲ. . .
Ⅲ. プ ョン、プ ッ フォ ム、サ ス
Ⅲ. . プ ョン、プ ッ フォ ム、サ ス の情報セキュ 対策 推奨