情報セキュリティ管理基準
(平成20年改正版)
*1 J I S規格については、日本工業標準調査会(J I SC)のウェブサイト( ht t p: / / www. j i s c . go. j p/ )で検索することにより閲 覧することができる。
Ⅰ.主旨
イ ン タ ー ネ ッ ト を は じ め と す る 情 報 技 術 ( I T)が 組 織 体の 活 動 や社 会 生 活 に深 く 浸 透す る こ とに 伴 い、 情 報 セ キ ュ リ テ ィ の 確 保 は 、 組 織 体 が 有 効 か つ 効 率 的 に 事 業 活 動 を 遂 行 す るた め の 必 要な 条 件 、安 全 ・ 安 心 な 社 会 生 活 を 支 え る た め の 基 盤 要 件 と な っ て い る 。 一 般 に 組 織 体 に 求 めら れ る 情 報セ キ ュ リテ ィ 対 策 は 、 組 織 、 人 、 運 用 、 技 術 、 法 令 な ど 多 様 な 観 点 か ら み た 具体 的 な 対 策が 要 求 され て お り、 I Tが 浸 透 し た 企 業 に お い て は 、 こ れ ら に 加 え て 内 部 統 制 ( 法 令 順 守 、 情 報 管 理 等 ) の仕 組 み を 情報 セ キ ュリ テ ィ の観点から構築・運用する体制の確立も強く望まれている。
こ の よ う な 状 況 を 踏 ま え 、 経 済 産 業 省 で は 、 平 成 15年 に、 組 織 体が 効 果 的な 情 報 セ キュ リ テ ィマ ネ ジ メ ン ト 体 制 を 構 築 し 、 適 切 な コ ン ト ロ ー ル ( 管 理 策 ) を 整 備 ・ 運 用 す る た めの 実 践 的 な規 範 と して 、 「 情報 セキュリティ管理基準」(平成15年経済産業省告示第112号)を策定した。「情報セキュリティ管理 基準 」は、情報セキュリティマネジメントにおける管理策のための国際標準規格であるI SO/ I EC 17799: 2 000( J I S X 5080: 2002) を基 に し てお り 、組 織体 の業 種及 び規 模 等を 問わ ず汎 用的 に適 用で きる よう に、 情 報 資 産 を 保 護 す る た め の 最 適 な 実 践 慣 行 を 帰 納 要 約 し 、 情 報 セ キ ュ リ テ ィに 関 す る コン ト ロ ール の 目 的、コントロールの項目を規定したものである。
そ の後、平成17年には、情報セキュリティマネジメントに関わる重要な国際規格として、I SO/ I EC 27 001: 2005 I SMS要求事項(J I S Q 27001: 2006
*1
)及びI SO/ I EC 27002: 2005(旧I SO/ I EC 17799: 2000)情報 セキュリティマネジメントのための実践規範(J I S Q 27002: 2006)が策定された。
こ のようなI SO/ I ECにおける国際規格化の動きを受け、「情報セキュリティ管理基準」をより効果的に 活 用 で き る よ う に 、 国 際 規 格 と 整 合 を 取 る 形 で 見直 し を 行 った 。 見 直し に お いて は 、 I SMS認 証 取得 を 目 指 し て い る 組 織 、 独 自 に 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 確 立 を 検 討 し て いる 組 織 、 情報 セ キ ュリ テ ィ 監 査 を 実 施 す る 組 織 、 情 報 セ キ ュ リ テ ィ 監 査 を 受 け る 組 織 な ど 幅 広 い 利 用 者を 想 定 し て、 情 報 セキ ュ リ テ ィ マ ネ ジ メ ン ト の 基 本 的 な 枠 組 み と 具 体 的 な 管 理 項 目 を 規 定 す る こ と に よっ て 、 組 織体 が 効 率的 に 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト 体 制 の 構 築 と 、 適 切 な 管 理 策 の 整 備 と 運 用 を 行え る よ う に策 定 し た。 「 情 報 セ キ ュ リ テ ィ 管 理 基 準 ( 平 成 20年 改 正 版 ) 」 は 、 組 織 体に お け る情 報 セ キュ リ テ ィ マネ ジ メ ント の 円 滑 で 効 果 的 な 確 立 を 目 指 し て 、 マ ネ ジ メ ン ト サ イ ク ル 構 築 の 出 発 点 か ら 具 体的 な 管 理 策に 至 る まで 、 包 括 的 な 適 用 範 囲 を 有 す る 基 準 と な っ て い る 。 当 然 の こ と で は あ る が 、 組 織 体が 属 す る 業界 又 は 事業 活 動 の 特 性 等 を 考 慮 し 、 必 要 に 応 じ て 本 管 理 基 準 の 趣 旨 及 び 体 系 に の っ と っ て 、本 管 理 基 準の 項 目 等を 取 捨 選 択 、 追 加 す る こ と に よ り 、 該 当 す る 関 係 機 関 に お い て 独 自 の 管 理 基 準 を 策定 し 活 用 する こ と が望 ま し い。
な お 、 「 情 報 セ キ ュ リ テ ィ 管 理 基 準 ( 平 成 20年 改 正 版 )」 は 、 旧版 と 同 様に 、 本 管 理基 準 と 姉妹 編 を なす 「情報セキュリティ監査基準」(平成15年経済産業省告示第114号)に従って監査を行う場合、原則 と し て 、 監 査 人 が 監 査 上 の 判 断 の 尺 度 と し て 用 い る べ き 基 準 と な る 。 ま た 、本 管 理 基 準は 、 日 本に お け る I SMS認 証 制度 で あ る「 I SMS適 合 性 評 価制 度 」 にお い て 用い ら れ る適 合 性 評価 の 尺 度 と整 合 す るよ う に 配慮している。
Ⅱ. 構成
情 報 セ キ ュ リ テ ィ 管 理 基 準 ( 平 成 20年 改 正 版 ) は 、 マ ネ ジ メ ン ト 基 準と 管 理 策基 準 か ら構 成 さ れ る。
「 マ ネ ジ メ ン ト 基 準 」 で は 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 計 画 、 実 行、 点 検 、 処置 に 必 要な 実 施 事 項 を 定め て い る 。そ れ ぞ れの 事 項 は、 J I S Q 27001: 2006を基 にし て 策定 して いる が、 抽出 に当 たっ て は次の2点を考慮した。
・I SMS認証取得を目指している組織、独自に情報セキュリティマネジメントの確立を検討している 組 織 、 情 報 セ キ ュ リ テ ィ 監 査 を 実 施 す る 組 織 、 情 報 セ キ ュ リ テ ィ 監 査 を 受 け る 組 織 な ど 幅 広 い 利用者を想定した記述とする。
・情報セキュリティマネジメントの計画、実行、点検、処置の各プロセスで行うべき事項を明確に する。
「マネジメント基準」の内容は以下のとおりである。 1 情報セキュリティマネジメントの確立
1. 1 適用範囲の定義 1. 2 基本方針の策定 1. 3 リスクアセスメント 1. 4 管理策の選択
2 情報セキュリティマネジメントの導入と運用 2. 1 リスク対応計画
2. 2 管理策の実施
2. 3 情報セキュリティマネジメントの運用管理 2. 4 教育、訓練、意識向上および力量
3 情報セキュリティマネジメントの監視およびレビュー 3. 1 有効性の継続的改善
3. 2 監視及びレビューの準備 3. 3 管理策の有効性評価
3. 4 情報セキュリティマネジメントの継続性評価 4 情報セキュリティマネジメントの維持および改善
4. 1 改善策の導入 4. 2 是正処置 4. 3 予防処置
5 文書管理および記録の管理 5. 1 文書化
5. 2 文書管理 5. 3 記録の管理
「 管 理 策 基 準 」 は 、 組 織 に 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 確 立 段 階 に おい て 、 リ スク 対 応 方針 に 従 って 管理策を選択する際の選択肢を与えるものである。「管理策基準」のそれぞれの事項は、J I S Q 270 01: 2006附属書A「管理目的及び管理策」、J I S Q 27002: 2006をもとに専門家の知見を加えて作成してお り、管理目的と管理策で構成される。また、既存のI SMS認証などとの整合性にも配慮している。
「管理策基準」の内容は次のとおりである。 1 セキュリティ基本方針
1. 1 情報セキュリティ基本方針 2 情報セキュリティのための組織
2. 1 内部組織 2. 2 外部組織 3 資産の管理
3. 1 資産に対する責任 3. 2 情報の分類
4 人的資源のセキュリティ 4. 1 雇用前
4. 2 雇用期間中
4. 3 雇用の終了又は変更 5 物理的及び環境的セキュリティ
5. 1 セキュリティを保つべき領域 5. 2 装置のセキュリティ
6 通信及び運用管理
6. 1 運用の手順及び責任
6. 2 第三者が提供するサービスの管理 6. 3 システムの計画作成及び受入れ
6. 4 悪意のあるコード及びモバイルコードからの保護 6. 5 バックアップ
6. 6 ネットワークセキュリティ管理 6. 7 媒体の取扱い
6. 8 情報の交換
6. 9 電子商取引サービス 6. 10 監視
7 アクセス制御
7. 1 アクセス制御に対する業務上の要求事項 7. 2 利用者アクセスの管理
7. 3 利用者の責任
7. 4 ネットワークのアクセス制御
7. 5 オペレーティングシステムのアクセス制御 7. 6 業務用ソフトウェア及び情報のアクセス制御 7. 7 モバイルコンピューティング及びテレワーキング 8 情報システムの取得、開発及び保守
8. 1 情報システムのセキュリティ要求事項 8. 2 業務用ソフトウェアでの正確な処理 8. 3 暗号による管理策
8. 4 システムファイルのセキュリティ
8. 5 開発及びサポートプロセスにおけるセキュリティ 8. 6 技術的ぜい弱性管理
9 情報セキュリティインシデントの管理
9. 1 情報セキュリティの事象及び弱点の報告
9. 2 情報セキュリティインシデントの管理及びその改善 10 事業継続管理
10. 1 事業継続管理における情報セキュリティの側面 11 順守
11. 1 法的要求事項の順守
11. 2 セキュリティ方針及び標準の順守並びに技術的順守 11. 3 情報システムの監査に対する考慮事項
Ⅲ. マネジメント基準
1 情報セキュリティマネジメントの確立
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト を 確 立 す る た め に 、 そ の 基 盤 と な る 適 用 範囲 を 定 義 し、 基 本 方針 を 策 定 す る 。 こ れ ら を も と に 、 リ ス ク ア セ ス メ ン ト を 実 施 し 、 管 理 目 的 、 管 理 策の 選 択 を 実施 す る 。組 織 が 有効な情報セキュリティマネジメントを実施するための基盤作りを行う。
1. 1 適用範囲の定義
情 報セキュ リティ マネジ メントを 確立、 導入、運 用、監 視、レビ ュー、 維持及 び改善す るため に、 まず適用範囲を明確にし、組織に合った情報セキュリティマネジメントを構築する基盤を整える。 1. 1. 1 情報セキュリティマネジメントの適用範囲及び境界を定義する
組織は以下の点を考慮して適用範囲及び境界を定義する。
・自らの事業
・体制
・所在地
・資産
・技術の特徴
情報セキュリティマネジメントの目的や目標は、組織の特徴によって異なる。
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 対 す る 要 求 事 項 は そ れ ぞ れ の 組 織 の 事 業 に よ っ て 、 社 会 的 な 要 求 ( 法 令 、 業 界 の 慣 習 、 顧 客 満 足 な ど ) 、 内 部 的 な 要 求 ( 事 業 継 続 、 内 部 統 制 ) の双方があり、これらを考慮して適用範囲を定義する。
1. 2 基本方針の策定
1. 2. 1 情報セキュリティ基本方針を策定する
情 報 セ キ ュ リ テ ィ 基 本 方 針 の 策 定 に お い て は 、 適 用 範 囲 の 定 義 と 同 様 に 以 下 の 点 に つ い て考慮する。
・自らの事業
・体制
・所在地
・資産
・技術の特徴
また、文書化の際には以下の項目が定義されているかどうかを確認する。
・目的を設定するための枠組
・情報セキュリティに関係する活動の方向性
・事業における要求事項
・法令または規制による要求事項
・契約上のセキュリティ義務
・情報セキュリティマネジメントの確立及び維持体制(役割及び責任を含む)
・リスクアセスメントの方針(基準や取り組み方など)
基 本 方 針 は 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に お け る 判 断 の 基 盤 と な る 考 え 方 を 記 載 し た ものであり、組織の戦略に従って慎重に作成されなければならない。
1. 2. 2 経営陣は情報セキュリティ基本方針にコミットする
経 営 陣 が 情 報 セ キ ュ リ テ ィ 基 本 方 針 に コ ミ ッ ト し た 証 拠 を 以 下 の 記 録 な ど を も っ て 示 す。
・文書化された情報セキュリティ基本方針への署名
・情報セキュリティ基本方針が議論された会議の議事録
こ れ ら は 経 営 陣 の 責 任 を 明 確 に す る た め に 実 施 す る 。 コ ミ ッ ト し た 情 報 セ キ ュ リ テ ィ 基 本方針は組織に伝えられるように文書化され、しかるべき方法で通達する。
1. 3 リスクアセスメント
1. 3. 1 リスクアセスメントに対する組織の取り組み方を定義する
リスクアセスメントの実施に当たって以下の内容について議論し、定義する。
・リスクアセスメントを実施するための体制(責任、役割)
・リスクアセスメントの実施計画
・リスクアセスメントの手法(リスク受容基準を含む)
・リスク受容可能レベル
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に お け る リ ス ク ア セ ス メ ン ト 手 法 に は 、 定 番 と い え る も の が な く 、 そ れ ぞ れ の 組 織 に 適 合 し た も の を 選 択 し て い る 場 合 が 多 い 。 リ ス ク ア セ ス メ ン ト手法は以下の条件を満たすようなものを選択する。
こ こ で 設 定 す る リ ス ク 受 容 可 能 レ ベ ル は リ ス ク ア セ ス メ ン ト 作 業 全 般 に お け る 判 断 基 準 と し て 利 用 さ れ 、 そ の 結 果 を 反 映 し 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト 全 般 に お け る リ ス ク 受容基準及びリスク受容可能レベルを経営陣の承認のもとに決定する。(1. 3. 4参照)
・リスクアセスメントの結果が比較可能である
・リスクアセスメントの結果が再現可能である 必要に応じてツールを利用するなどが必要になる。 1. 3. 2 リスクを特定する
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 範 囲 内 に お け る リ ス ク を 特 定 す る に は 、 そ れ ぞ れ の 情 報資産において以下の点について考慮する。
・情報資産の管理責任者
・情報資産に対する脅威
・脅威に対応したぜい弱性
・機密性、完全性、可用性が損なわれた場合の影響
情 報 資 産 一 覧 を 作 成 し て い る の で あ れ ば 、 こ れ ら の 項 目 を 追 加 し 、 リ ス ク を 特 定 す る た め の チ ェ ッ ク リ ス ト と し て も よ い 。 特 定 し た 範 囲 内 の す べ て の 情 報 資 産 に つ い て リ ス ク を 特 定 す る た め に は 、 保 管 さ れ て い る 情 報 資 産 だ け で は な く 、 一 時 的 に 作 成 さ れ た 情 報 な ど
を考慮する必要がある。 1. 3. 3 リスクを分析し、評価する
特定した脅威やぜい弱性を基に、以下の点を考慮する。
・セキュリティインシデントが発生した場合の事業影響度
・セキュリティインシデントの発生頻度
・管理策が適用されている場合はその効果
リ ス ク を 特 定 す る た め の チ ェ ッ ク リ ス ト に 以 下 の 項 目 を 加 え 、 評 価 方 法 を 定 型 化 す る と よい。
・セキュリティインシデントが発生した場合の事業影響度
・セキュリティインシデントの発生頻度
リスク評価の結果は今後の改善に利用するため保管しておく。 1. 3. 4 経営陣はリスク受容基準及びリスクの受容可能レベルを決定する
リ ス ク を 明 確 に す る た め に 、 リ ス ク 受 容 基 準 を 決 定 す る 。 リ ス ク 受 容 基 準 は リ ス ク を 測 る た め の 基 準 で あ り 、 リ ス ク ア セ ス メ ン ト 手 法 を よ り 効 果 的 に す る た め に 以 下 の 点 に つ い て考慮する。
・リスクアセスメントの結果が比較可能である
・リスクアセスメントの結果が再現可能である
ま た 、 リ ス ク 受 容 基 準 に し た が っ て 、 ど の レ ベ ル の リ ス ク ま で を 受 け 入 れ る の か を 明 確 にするために、リスクの受容可能レベルを決定する。
決 定 し た リ ス ク 受 容 基 準 及 び リ ス ク の 受 容 可 能 レ ベ ル に つ い て は 、 経 営 陣 の 責 任 を 明 確 にするための証拠として、以下を残す。
・リスク受容基準及びリスク受容可能レベルが承認された会議の議事録 1. 4 管理策の選択
リスク アセス メントの 結果に 応じて 適切な管 理策を 選択する 。管理 策の選択 には「 管理策基 準」を 活用する。
1. 4. 1 リスク対応のための選択肢を特定し、評価する
リ ス ク 対 応 に は 以 下 の 選 択 肢 が あ り 、 対 応 が 必 要 だ と さ れ た す べ て の も の に つ い て い ず れかの措置を採る。
・適切な管理策の適用
・方針またはリスクの受容可能レベルに応じた、リスクの受容
・リスクの回避(資産の廃棄もしくは業務の停止など)
・リスクの移転
ど の 選 択 肢 を 選 ん だ 場 合 も 、 そ の 理 由 を 明 確 に し 、 記 載 し て お く 。 こ れ に よ っ て リ ス ク 対応の評価や改善に役立つことになる。
1. 4. 2 リスク対応のための管理目的及び管理策を選択する
リ ス ク 対 応 の た め の 方 針 が 決 ま っ た ら 、 管 理 策 の 目 的 ( 管 理 目 的 ) 及 び 管 理 策 に つ い て 検討する。検討の際には以下について考慮する。
・リスクの受容可能レベル
・関連する法令
・規制や契約上の要求事項
具 体 的 な 管 理 策 の 選 択 に お い て は 、 管 理 目 的 に 対 応 し た 「 管 理 策 基 準 」 か ら 適 切 な も の を 選 択 す る 。 た だ し 、 「 管 理 策 基 準 」 は す べ て を 網 羅 し て い る わ け で は な い の で 、 組 織 の 事業や業務などによってその他の管理策を追加してもよい。
対 策 の 選 択 に お い て は 、 で き る 限 り 複 数 の 選 択 肢 の 中 か ら 適 切 な も の を 選 ぶ よ う に し、 管 理 策 が 無 効 化 さ れ た 場 合 の 代 替 策 や 、 環 境 の 変 化 に 伴 う 改 善 策 の 立 案 な ど に 役 立 て る よ うにするのが望ましい。
1. 4. 3 残留リスクについて経営陣の承認を得る
す べ て の リ ス ク に つ い て 管 理 目 的 や 管 理 策 を 選 択 し た 時 点 で 、 残 留 リ ス ク に つ い て 明 確 にし、今後の対応計画を作成する。計画の作成においては以下の点について考慮する。
・技術的に対応可能になる時期
・コスト的に対応可能になる時期
経営陣の責任を明確にするために、承認された会議の議事録を正しく保管する。 1. 4. 4 情報セキュリティマネジメントを導入し運用することについて経営陣の許可を得る
残 留 リ ス ク に つ い て 承 認 を 得 た う え で 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト を 導 入 し 運 用 す ることについて、経営陣の許可を得る。
経 営 陣 は 許 可 を 行 う こ と に よ っ て 責 任 を 負 う こ と に な る た め 、 そ の 責 任 を 全 う す る た め に も マ ネ ジ メ ン ト レ ビ ュ ー を 実 施 し 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト が 適 切 に 実 施 さ れ て いるかどうかを判断するための情報収集を行う。
2 情報セキュリティマネジメントの導入と運用
組 織 が 特 定 し た リ ス ク に 対 応 す る た め の 管 理 を 実 施 す る 。 管 理 策 が 目 的 に沿 っ て 、 期待 通 り に実 施 さ れ る た め の 運 用 基 盤 を 策 定 し 、 見 直 し を 行 う こ と で よ り 効 果 的 な 対 応 を 可 能と す る 。 組織 全 体 が情 報 セ キュリティマネジメントに協力する体制として教育・訓練、意識向上プログラムなども実施する。 2. 1 リスク対応計画
2. 1. 1 リスク対応計画を策定する
リ ス ク 対 応 計 画 の 策 定 で は 、 情 報 セ キ ュ リ テ ィ リ ス ク の 運 営 管 理 の た め に 、 以 下 の 内 容 について特定し、文書化する。
・経営陣の適切な活動
・経営資源
・責任体制
・優先順位
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に お い て は 最 終 的 な 承 認 を 経 営 陣 が 行 っ て い る こ と が ほ と ん ど で あ り 、 責 任 が 経 営 陣 に 集 中 し て い る 。 こ れ は 経 営 陣 が 責 任 を 放 棄 し て し ま え ば、 情 報 セ キ ュ リ テ ィ に つ い て の 取 り 組 み は 行 わ な い と す る の と 同 義 で あ り 、 経 営 陣 が ど の よ うに行動し、どのような責任を持つかについて明確にする必要がある。
2. 1. 2 リスク対応計画を実施する
特 定 し た 管 理 目 的 を 達 成 す る た め に リ ス ク 対 応 計 画 を 実 施 す る 。 リ ス ク 対 応 計 画 の 実 施 に お い て は 、 明 確 に さ れ た 個 々 の 責 任 に つ い て 全 う し て い る こ と を 確 認 す る た め の 方 策 を 講じておく必要がある。
2. 1. 3 経営陣はリスク対応計画の実施のために十分な経営資源を提供する
リスク対応計画には相応の経営資源が必要になる。以下の点について考慮する。
・管理策の導入にかかる費用、人員、作業工数、技術
・管理策の運用にかかる費用、人員、作業工数、技術
・セキュリティインシデント発生時の一時対応にかかる費用
・その他のリスク対応にかかる費用
運 用 に お い て は 管 理 策 の 効 果 測 定 な ど を 実 施 す る た め に 必 要 な 経 営 資 源 に つ い て 考 察 し、 予 算 化 し て お く こ と が 重 要 に な る 。 ま た 、 セ キ ュ リ テ ィ イ ン シ デ ン ト が 発 生 し た 場 合 の 一 時対応についても検討し、予算化する。
2. 2 管理策の実施
2. 2. 1 管理目的を満たすために管理策を実施する
管理策はその管理目的を満たすために、以下の点を考慮して実施する。
・管理目的を決定した際のリスク
・その他の管理策との関係
管理策の関連性については、管理策の実施だけではなく改善においても考慮する。 2. 2. 2 選 択 し た 管 理 策 ま た は 一 連 の 管 理 策 の 有 効 性 を ど の よ う に 評 価 す る か 、 ま た 評 価 の 結 果 を ど
のように活用するかを定義する
管 理 目 的 を 満 た し て い る か ど う か を 評 価 す る た め に も 、 管 理 策 の 有 効 性 に つ い て 測 定 を す る 。 具 体 的 な 測 定 方 法 に つ い て は 管 理 目 的 の 種 類 に よ っ て 異 な る が 、 以 下 の 点 を 考 慮 す る。
・結果の比較ができること
・繰り返し測定できる方法であること
評 価 の 結 果 、 有 効 性 が 損 な わ れ た と 判 断 し た 場 合 の 対 応 に つ い て も あ ら か じ め 決 め て お くことで、迅速な対応が可能になる。
2. 3 情報セキュリティマネジメントの運用管理
2. 3. 1 情報セキュリティマネジメントの運用を管理する
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 運 用 を 管 理 す る た め に 、 以 下 の 情 報 が 集 め ら れ て い る かどうかを確認する。
・管理策の実施状況
・管理策の有効性
・管理策を取り巻く環境の変化
また、これらの情報を把握し判断する体制を構築する。 2. 3. 2 情報セキュリティマネジメントのための経営資源を管理する
管 理 目 的 を 満 た す た め に は 、 継 続 的 に 管 理 策 を 実 施 し て い か な け れ ば な ら な い 。 人 員 の 増 加 、 シ ス テ ム の 増 加 な ど の 環 境 の 変 化 に 対 応 す る た め に は 、 適 切 な 時 期 に 適 切 に 提 供 で きるように、経営資源を確保する。
2. 3. 3 迅 速 に セ キ ュ リ テ ィ イ ベ ン ト を 検 知 で き 、 セ キ ュ リ テ ィ イ ン シ デ ン ト に 対 応 で き る た め の 手 順及びそのための管理策を実施する
セ キ ュ リ テ ィ イ ベ ン ト の 連 鎖 に よ っ て 重 大 な セ キ ュ リ テ ィ イ ン シ デ ン ト が 発 生 し な い た めに、以下の項目についてあらかじめ検討し、定義しておく。
・セキュリティイベント及びセキュリティインシデントの定義
・セキュリティインシデントの特定
・セキュリティイベントを発見した際の情報伝達
・セキュリティインシデントを特定した場合の情報伝達
・セキュリティインシデントの影響度及び重大さに応じた対応手順
シ ス テ ム を 利 用 し て 検 知 で き な い イ ベ ン ト に つ い て は 、 従 業 者 を 十 分 に 教 育 す る な ど し て、異常を速やかに検知できるような体制を構築する。
2. 4 教育、訓練、意識向上及び力量
2. 4. 1 経営陣は情報セキュリティ基本方針に適合することの重要性を組織に伝える
経 営 陣 は 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に つ い て 責 任 を 負 う が 、 実 施 に お い て は 組 織 全 体 の 協 力 が 必 要 で あ る こ と を 、 情 報 セ キ ュ リ テ ィ 基 本 方 針 と 共 に 伝 え る 必 要 が あ る 。 情 報 セキュリティ基本方針に適合することと同様に以下の点についても伝える。
・情報セキュリティの適用範囲
・情報セキュリティの目的
・情報セキュリティにおける法の下での責任
・情報セキュリティの継続的改善の必要性
ま た 、 組 織 が 同 じ 規 定 に 従 っ て 同 じ 判 断 が で き る よ う に 基 準 を 策 定 し て お く 必 要 が あ る。 こ れ に は 情 報 分 類 な ど が 挙 げ ら れ る 。 個 人 情 報 の よ う に 組 織 に よ っ て 一 部 解 釈 が 異 な る 情 報の場合は、一般的な考え方に加え、自社の考え方を明確にし、伝える必要がある。 2. 4. 2 情報セキュリティマネジメントに影響がある業務に従事する要員に必要な力量を決定する
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 関 係 す る 業 務 及 び 影 響 の あ る 業 務 を 特 定 し 、 役 割 を 明 確にした業務分掌を作成する。これらの業務分掌においては以下の点を明確にする。
・役職名
・業務内容
・担当者の責任範囲
・業務に必要な知識
・業務に必要な資格
・業務に必要な経験
知 識 や 資 格 、 経 験 な ど は 環 境 や 目 的 の 変 化 に よ っ て 変 更 さ れ る 可 能 性 が あ る た め 、 最 新 の情報となるように見直しが必要になる。
2. 4. 3 必要な力量が持てるように教育・訓練するか、的確な要員の雇用など他の処置をとる
情 報 セ キ ュ リ テ ィ に か か わ る 業 務 に 携 わ る た め に 必 要 な 力 量 が な い 場 合 、 教 育 ま た は 訓 練 を 実 施 す る 。 必 要 な 知 識 を 得 る た め に は 教 育 を 、 必 要 な ス キ ル 及 び 経 験 を 得 る た め に は 訓練を実施する。
教 育 及 び 訓 練 を 実 施 し た 結 果 、 必 要 な 力 量 が 持 て た か ど う か を 確 認 す る た め に 、 確 認 テ ストなどを実施する。実施結果については記録し、要員選択の客観性を確保する。
教 育 や 訓 練 が 間 に 合 わ な い と 判 断 さ れ る 場 合 は 相 応 の 力 量 を 有 し た 要 員 を 雇 用 し た り、 社内業務との関連が少ない業務においては外部委託を検討する。
2. 4. 4 教育・訓練、意識向上に関して有効性を評価する
教 育 、 訓 練 、 意 識 向 上 が 正 し く 行 わ れ て い る か に つ い て 、 判 断 す る た め に 以 下 を 実 施 す る。
・知識の確認テスト
・スキルの実習テスト
・チェックリストなどによるベンチマーク
テ ス ト の 内 容 は 一 般 的 な 脅 威 や ぜ い 弱 性 な ど の 知 識 だ け で は な く 、 業 務 上 の リ ス ク に つ い て な ど 、 組 織 の 特 徴 を 反 映 し た 内 容 を 盛 り 込 む な ど 、 実 効 性 の あ る 内 容 と な る よ う に 心 掛ける。
2. 4. 5 教育、訓練、技能、経験及び資格についての記録を維持する 教育、訓練については以下を検討し、定期的に実施する。
・教育・訓練基本計画
・教育・訓練実施計画
・確認テストまたは評価報告
教 育 や 訓 練 の 一 部 を 免 除 す る 場 合 は 、 そ れ が ど の 技 能 や 経 験 、 資 格 に 当 て は ま る か を 明 確 に し 、 そ れ ぞ れ の 担 当 者 に つ い て 調 査 し 、 一 覧 と す る 。 資 格 に つ い て は 有 効 期 限 な ど を 明確にし、更新することも重要である。
2. 4. 6 関 連 す る 要 員 す べ て が 、 情 報 セ キ ュ リ テ ィ に つ い て の 活 動 が 持 つ 意 味 と 重 要 性 と を 認 識 す る 情 報 セ キ ュ リ テ ィ の 活 動 に つ い て 、 組 織 が 定 め た 目 的 と 重 要 性 に つ い て 、 情 報 セ キ ュ リ テ ィ 基 本 方 針 の 通 達 や 教 育 の 一 環 と し て 周 知 徹 底 す る 必 要 が あ る 。 管 理 策 が な ぜ 実 施 さ れ て い る の か に つ い て の 理 解 を 深 め る こ と に よ っ て 、 そ れ ぞ れ の 担 当 す る 情 報 セ キ ュ リ テ ィ に直接関係のない業務においても、意識を持って取り組むことができる。
2. 4. 7 関 連 す る 要 員 す べ て が 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 目 的 の 達 成 に 向 け て 自 分 は ど の よ うに貢献できるかを認識する
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト は ト ッ プ ダ ウ ン で 行 わ れ る こ と が 多 い が 、 実 際 に そ れ ら を 実 行 す る の は 組 織 内 の す べ て の 従 業 者 と な る 。 従 業 者 す べ て が 役 割 を 理 解 す る こ と で、 円滑な情報セキュリティマネジメントを導入・運用することができる。
役割が明確になるように以下の点について従業者に伝える。
・情報セキュリティマネジメントにおけるそれぞれの役割
・役割を実行するための業務と手順
・これらが記載された文書の所在
ま た 、 セ キ ュ リ テ ィ イ ベ ン ト や セ キ ュ リ テ ィ イ ン シ デ ン ト に 迅 速 に 対 応 す る た め に す べ て の 従 業 者 に は 、 異 常 を 検 知 し た 場 合 の 報 告 手 順 に つ い て 徹 底 し て お く こ と も 重 要 で あ る。 3 情報セキュリティマネジメントの監視及びレビュー
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト は 環 境 の 変 化 な ど に 対 応 し て 見 直 さ れ な けれ ば な ら ない 。 管 理策 の 有 効 性 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 継 続 性 な ど を 測 る た め に 、 監 視 、 監査 、 レ ビ ュー な ど を実 施 す る。
3. 1 有効性の継続的改善
3. 1. 1 情報セキュリティマネジメントの有効性を継続的に改善する
情報セキュリティマネジメントの有効性を継続的に改善するために、以下の活動を実施 する。
・定期的なリスクアセスメント
・定期的な監視
・情報セキュリティ監査
・マネジメントレビュー
継続的改善においては、是正処置と予防処置があり、これまで実施してきた管理策だけ はなく、環境の変化に伴う新たな脅威やぜい弱性についても不適合を検出し処置する。 3. 2 監視及びレビューの準備
3. 2. 1 監視及びレビューの手続きやその他の管理策を実施する
管 理 策 に は シ ス テ ム で 実 施 し て い る も の と 人 力 に ゆ だ ね て い る も の が あ る 。 ど ち ら も 正 し く 管 理 策 が 実 施 さ れ て い る か ど う か を 調 査 す る た め に 情 報 を 収 集 す る 。 こ れ ら の 収 集 し た 情 報 を 基 に 経 営 陣 は 管 理 策 の 効 果 が 期 待 通 り か ど う か を 判 断 す る 。 収 集 し た 情 報 を 比 較、 再現ができるように取得するために以下を検討し、文書化する。
・通常の処理の誤りを検知する方法
・セキュリティ違反及びセキュリティインシデントの迅速な特定方法
・経営陣が判断するための情報収集方法及び期待値
・セキュリティインシデント対応の妥当性の確認方法
ま た 、 セ キ ュ リ テ ィ イ ン シ デ ン ト の 防 止 の た め に 、 セ キ ュ リ テ ィ イ ベ ン ト と セ キ ュ リ テ ィインシデントの関連についても検討し、文書化されているとよい。
3. 2. 2 経営陣は情報セキュリティマネジメントの内部監査の実施を確実にする
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 有 効 性 や 準 拠 性 を 評 価 す る た め に 内 部 監 査 を 実 施 す る。 内 部 監 査 の 実 施 を 確 実 に す る た め に 経 営 陣 は 以 下 の 点 に つ い て 考 慮 し 、 経 営 資 源 を 提 供 す る。
・内部監査基本計画
・内部監査を実施するための経営資源
・内部監査によって検出されるだろう不適合を処置するための予算
内 部 監 査 は 、 実 施 す る こ と 自 体 が 目 的 で は な く 、 不 適 合 に 対 す る 改 善 処 置 を 実 施 し 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 対 す る 不 適 合 を な く す こ と が 本 来 の 目 的 で あ る 。 そ の た め、 不適合を処置するための予算を確保しておくことが重要である。
3. 2. 3 経営陣は情報セキュリティマネジメントのマネジメントレビューを実施する
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 継 続 性 を 評 価 す る た め に マ ネ ジ メ ン ト レ ビ ュ ー を 実 施 す る 。 マ ネ ジ メ ン ト レ ビ ュ ー の 実 施 を 確 実 に す る た め に 経 営 陣 は 以 下 の 点 に つ い て 考 慮 し、 経営資源を提供する。
・マネジメントレビュー基本計画
・マネジメントレビューを実施するための経営資源
・マネジメントレビューによって検出されるであろう不適合を処置するための予算 マ ネ ジ メ ン ト レ ビ ュ ー は 、 実 施 す る こ と 自 体 が 目 的 で は な く 、 不 適 合 に 対 す る 改 善 処 置 を 実 施 し 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 対 す る 不 適 合 を な く す こ と が 本 来 の 目 的 で あ る。そのため、不適合を処置するための予算を確保しておくことが重要である。
ま た 、 マ ネ ジ メ ン ト レ ビ ュ ー は 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト 全 体 に 対 し て 実 施 す る た め 、 効 率 を 良 く す る た め に 、 監 視 や 監 査 と の 連 携 を 視 野 に 入 れ た 基 本 計 画 を 構 築 す る の が 望ましい。
3. 3 管理策の有効性評価
3. 3. 1 情報セキュリティマネジメントの有効性について定期的にレビューする
情報セキュリティマネ ジメントの有効性については以下の2点について定期的にレビュー する。
・情報セキュリティ基本方針及び目的を満たしているか
・セキュリティ管理策が管理目的を満たしているか
総 合 的 な レ ビ ュ ー に お い て は 、 シ ス テ ム や 業 務 上 の 情 報 収 集 だ け で は な く 、 セ キ ュ リ テ ィ 監 査 の 結 果 、 イ ベ ン ト や イ ン シ デ ン ト の 状 況 、 有 効 性 測 定 の 結 果 、 提 案 及 び す べ て の 利 害関係者からのフィードバックを考慮する。
事 業 目 標 の 変 更 な ど 、 経 営 的 な 変 更 が 行 わ れ た 場 合 な ど に つ い て も 、 事 業 影 響 度 が 変 化 す る な ど 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 関 連 す る 場 合 も あ る の で 、 さ ま ざ ま な 方 面 か ら の情報収集及び判断が必要となる。
3. 3. 2 管理策の有効性を測定する
あ ら か じ め 計 画 し た 間 隔 で 、 管 理 策 の 有 効 性 を 測 定 す る 。 管 理 策 の 有 効 性 を 測 定 す る 際 には以下の点について考慮する。
・管理目的と管理策の目標
・管理策の背景となるリスク
・関連する管理策
管 理 策 に よ っ て は 監 視 が 常 に 必 要 に な る も の も あ る の で 、 そ れ ぞ れ の 管 理 策 に 適 切 な 測 定方法を検討し、実施する必要がある。
3. 3. 3 あらかじめ定めた間隔で内部監査を実施する
内 部 監 査 は 管 理 策 の 有 効 性 を 総 合 的 に 確 認 す る た め に 、 定 期 的 に 実 施 す る 。 計 画 及 び 結 果について以下の文書で管理する。
・内部監査基本計画
・内部監査実施計画
・内部監査報告書
基 本 計 画 書 で は 対 象 範 囲 、 目 的 、 管 理 体 制 及 び 期 間 又 は 期 日 に つ い て 、 実 施 計 画 で は 実 施 時 期 や 実 施 場 所 、 実 施 担 当 者 及 び そ の 割 当 て 及 び 詳 細 な 監 査 の 手 法 に つ い て あ ら か じ め 決 め て お く 。 予 定 通 り 実 施 さ れ た こ と を 証 明 す る た め に も 、 実 施 報 告 書 が 作 成 さ れ て い る とよい。
また、適合性の監査においては以下の項目を対象として実施する。
・関連する法令または規制の要求事項
・リスクアセスメントなどによって特定された情報セキュリティ要求事項
・管理策の有効性及び維持
・管理策が期待通りに実施されていること
3. 3. 4 監 査 の 対 象 と な る プ ロ セ ス 及 び 領 域 の 状 況 及 び 重 要 性 、 並 び に 前 回 ま で の 監 査 結 果 を 考 慮 し て監査プログラムを作成する
監 査 は 一 度 に す べ て の 適 用 範 囲 に つ い て 実 施 す る だ け で は な く 、 範 囲 の 一 部 の み を 対 象 と す る 場 合 も あ る 。 毎 回 の 監 査 の 目 的 を 明 確 に し 、 適 切 な 監 査 計 画 を 実 施 す る こ と が 重 要 である。監査プログラムの作成においては、以下の点を考慮する。
・監査の目的と重点目標
・対象となる監査プロセスの状況と重要性
・対象となる領域の状況と重要性
・前回までの監査結果
3. 3. 5 監査の基準、範囲、頻度及び方法を定義する
監査プログラムでは全体的な監査の日程だけではなく、以下の内容について含める。
・監査の基準
・監査の範囲
・監査の頻度または時期
・監査の方法
特 に 監 査 の 方 法 に お い て は 、 個 別 の 情 報 セ キ ュ リ テ ィ 監 査 基 準 を 作 成 し 、 内 部 監 査 、 外 部 組 織 に よ る 監 査 の い ず れ に お い て も 、 品 質 の 高 い 監 査 を 実 施 で き る よ う に 準 備 を 整 え る。 監査基準には以下の内容を含める。
・目的、権限と責任
・独立性、客観性と職業倫理
・専門能力
・業務上の義務
・品質管理
・監査の実施方法
・監査報告書の形式
3. 3. 6 監査員の選定及び監査の実施においては、監査プロセスの客観性及び公平性を確実にする 監査人の選定においては監査基準に記載し、以下の点を考慮する。
・外観上の独立性
・精神上の独立性
・職業倫理と誠実性
ま た 、 内 部 の 監 査 員 の 場 合 は 、 自 ら が 従 事 し て い る 業 務 に つ い て は 自 身 で 監 査 し な い よ うに、他の担当者を割り当てる。
3. 3. 7 監査の計画、実施、結果に関する責任及び要求事項を、文書化した手順の中で定義する 監査手順に以下の内容を反映させる。
・監査の計画・実施に関する責任及び要求事項
・結果報告・記録維持に関する責任と要求事項
要 求 事 項 に つ い て は 監 査 品 質 を 確 保 す る た め の 必 須 条 件 で あ り 、 責 任 者 と 監 査 人 が 同 じ 目 的 を も っ て 監 査 を 実 施 す る た め に な く て は な ら な い 。 監 査 手 順 は 文 書 化 し 、 お 互 い の コ ミュニケーションのために活用する。
3. 3. 8 監 査 さ れ た 領 域 に 責 任 を も つ 管 理 者 は 、 発 見 さ れ た 不 適 合 及 び 原 因 を 除 去 す る た め に 遅 延 な く処置がとられることを確実にする
監 査 の 目 的 は 不 適 合 の 発 見 と そ の 原 因 の 除 去 で あ る 。 発 見 し た 不 適 合 は そ れ ら が 大 き な 影響を与える前に除去しなければならない。不適合の一覧には以下の内容が含む。
・不適合の種類
・不適合の内容
・不適合の原因(ぜい弱性、脅威、影響など)
・処置の緊急度
記載された内容をもとに、処置の優先順位を決め、対応する。 3. 3. 9 フォローアップには、とった処置の検証及び検証結果の報告を含める
緊 急 度 の 高 い 不 適 合 に 対 し て は 応 急 処 置 が と ら れ た り 、 他 の 管 理 策 と の 関 連 性 が と ら れ な い ま ま 処 置 さ れ た り し て し ま う も の が あ る 。 新 た な 不 適 合 を 発 生 さ せ な い た め に も 、 以 下の内容ついて検証し、その結果を報告する。
・処置の妥当性
・他の管理策との関連性
・処置の実施に伴う新たなリスク
ま た 、 処 置 を 実 施 す る こ と に よ っ て 新 た な リ ス ク が 発 生 す る 場 合 が あ る 。 こ れ ら の 内 容 も検証報告に含めることを忘れてはならない。
3. 4 情報セキュリティマネジメントの継続性評価
3. 4. 1 変化に対応するために、定期的にリスクアセスメントを実施する
あ ら か じ め 決 め た 計 画 に 沿 っ て 、 定 期 的 に リ ス ク ア セ ス メ ン ト を 実 施 す る 。 以 下 の 変 化 に伴うリスクの特定及びリスク受容レベルの決定を実施する。
・組織
・技術
・事業の目的及びプロセス
・特定した脅威
・導入した管理策の有効性
・法令、規制、契約上の義務、社会的風潮などの外部事情
少なくとも年に1回は実施さ れていることを、計画及び実施報告書などから確認できるよ う に し て お く 。 こ れ ら の リ ス ク ア セ ス メ ン ト の 内 容 に つ い て は 、 情 報 セ キ ュ リ テ ィ 監 査 に おいて重要な判断基準にもなるので、わかりやすく文書化しておくことが重要である。 3. 4. 2 マネジメントレビューを定期的に実施する
あ ら か じ め 定 め ら れ た 間 隔 で マ ネ ジ メ ン ト レ ビ ュ ー を 実 施 す る た め に 、 以 下 の 点 に つ い て考慮する。
・マネジメントレビュー基本計画
・マネジメントレビュー実施計画
・マネジメントレビューのための報告書
基 本 計 画 書 で は 目 的 及 び 実 施 時 期 に つ い て 、 実 施 計 画 で は 詳 細 な 監 査 の 手 法 に つ い て あ ら か じ め 決 め て お く 。 予 定 通 り 実 施 さ れ た こ と を 証 明 す る た め に も 、 実 施 報 告 書 が 作 成 さ れているとよい。
3. 4. 3 監 視 及 び レ ビ ュ ー に よ っ て 判 明 し た 事 実 を 反 映 す る た め に 、 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト 計画を更新する
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト 計 画 の 更 新 は 以 下 の 活 動 か ら 得 ら れ た 結 果 を も と に 実 施 される。
・日常行われている監視
・定期的に実施されるマネジメントレビュー
日 常 行 わ れ て い る 監 視 に お い て は 、 重 大 な 障 害 が 発 生 し た か 、 発 生 す る 可 能 性 を 検 知 し た 場 合 に 管 理 策 の 見 直 し を 実 施 す る 。 し か し 、 管 理 策 の 選 択 そ の も の に 問 題 が あ る 場 合 に
は計画そのものを変更する場合もある。
変 更 の 緊 急 性 な ど に つ い て は 、 リ ス ク 受 容 基 準 や リ ス ク 受 容 レ ベ ル を 定 義 し た 文 書 な ど とともに管理するとよい。
3. 4. 4 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 有 効 性 及 び パ フ ォ ー マ ン ス に 影 響 を 及 ぼ す 可 能 性 の あ る 活 動及び事象を記録する
マネジメントレビューには以下の項目を提供する。
・情報セキュリティ監査及びレビューの結果
・従業者を含む利害関係者からのフィードバック
・ 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 有 効 性 及 び パ フ ォ ー マ ン ス を 改 善 す る た め に 組 織 の中で利用可能な技術、製品、または手順
・予防処置及び是正処置の状況
・ 前 回 ま で の リ ス ク ア セ ス メ ン ト が 十 分 に 取 り 上 げ て い な か っ た ぜ い 弱 性 ま た は 脅 威
・有効性測定の結果
・前回までのマネジメントレビューの結果に対するフォローアップ
・情報セキュリティマネジメントに影響を及ぼす可能性のある、あらゆる変化
・改善のための提案
こ れ ら の 情 報 を 構 成 す る こ と が 予 想 さ れ る 活 動 及 び 事 象 を 記 録 し 、 必 要 に 応 じ て 報 告 す る。
緊 急 性 が 高 い も の に つ い て は あ ら か じ め 定 義 し て お き 、 誰 も が 同 じ 判 断 を で き る よ う に 基準を定めておくのが望ましい。
3. 4. 5 レビューの結果は明確に文書化し、記録を維持する
レ ビ ュ ー の 結 果 は 次 回 の レ ビ ュ ー に 活 用 さ れ る た め 、 実 施 内 容 と 結 果 が 分 か る よ う に 記 録 し て お か な け れ ば な ら ら な い 。 レ ビ ュ ー の 担 当 者 が 変 更 に な っ た 場 合 で も 、 内 容 が 分 か るようにしておくことが重要である。
3. 4. 6 レビューの結果を反映して改善策を検討する
レ ビ ュ ー の 結 果 を 改 善 策 に 反 映 す る た め に 、 以 下 の 活 動 を 実 施 し 、 改 善 策 を 検 討 す る。
・情報セキュリティマネジメントの有効性を改善する
・リスクアセスメント及びリスク対応計画を更新する
・ 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 影 響 を 与 え る 可 能 性 の あ る 内 外 の 事 象 を 考 慮 し て、 手順及び管理策を修正する
・必要となる経営資源を特定する
・管理策の有効性測定方法を改善する
改善策の立案においては、管理策を選択した際の記録を参考にするとよい。 4 情報セキュリティマネジメントの維持及び改善
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト を 効 果 的 に 運 用 す る た め に 、 定 期的 な 見 直 しを 実 施 する 。 監 視、 監 査、 レ ビ ュ ー に よ っ て 洗 い 出 さ れ た 不 適 合 や 新 た な リ ス ク に 対 し て の 改 善 策 を 導入 す る こ とで 、 環 境に 対 応 した情報セキュリティマネジメントを運用できる。
4. 1 改善策の導入
4. 1. 1 特定した改善策を情報セキュリティマネジメントに導入する
特 定 し た 改 善 策 に つ い て は 、 従 来 の 管 理 策 に 及 ぼ す 影 響 を 十 分 に 考 慮 し た 上 で 情 報 セ キ
ュリティマネジメントに導入する。以下の項目について考慮すること。
・管理目的を満たすために有効であること
・すでに導入済みの管理策に影響を及ぼさないこと
改善策の導入においても、管理策同様に経営陣の許可を得てから実施する。
4. 1. 2 自 他 の 組 織 が 経 験 し た こ と か ら 学 ん だ 内 容 を 考 慮 し 、 適 切 な 是 正 処 置 及 び 予 防 処 置 を 実 施 す る
こ れ ま で の 管 理 策 の 不 備 に つ い て は 是 正 処 置 を 、 新 た な リ ス ク に つ い て は 予 防 処 置 を 実 施する。是正処置及び予防処置については以下の点について考慮する。
・自組織で発生している障害及びその対応策
・他組織で発生している障害及びその対応策
組 織 の 内 外 に か か わ ら ず 、 情 報 を 収 集 し て 適 宜 対 応 で き る よ う な 体 制 を 構 築 し て お く こ と。
4. 1. 3 す べ て の 利 害 関 係 者 に 状 況 に 見 合 っ た 適 切 な 内 容 で 、 処 置 及 び 改 善 策 を 伝 え る と 共 に 、 必 要 に応じて対応の進め方について合意を得る
管 理 策 の 変 更 に よ る 影 響 に つ い て 十 分 に 考 慮 し た 上 で 、 処 置 及 び 改 善 策 を 伝 え る 。 過 去 の 対 策 と 改 善 策 が 混 在 し た 状 況 で は リ ス ク が 改 善 さ れ た と は 言 え な い た め 、 以 下 の 点 に つ いて確認をし、変更を確実なものとする。
・処置及び改善策における変更点を文書化する
・あらかじめ決められた連絡方法ですべての利害関係者に伝える
・必要に応じて、処置及び改善策を受け入れたことを確認する
も し も 変 更 が 受 け 入 れ ら れ な か っ た 場 合 は そ の 背 景 な ど を 説 明 し 、 お 互 い の 利 益 を 損 な わないように調整する。
4. 1. 4 改善策が意図した目的を達成することを確実にする
改 善 策 に お い て も 、 通 常 の 管 理 策 同 様 に 管 理 目 的 を 達 成 す る た め に 測 定 方 法 を 明 確 に し、 管 理 策 が 適 切 に 実 施 さ れ て い る こ と を 確 実 に す る 。 改 善 策 が 目 的 を 達 成 し て い な い 場 合 は 同様に新たな改善策を検討し、導入する。
4. 2 是正処置
4. 2. 1 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 要 求 事 項 に 対 す る 不 適 合 の 原 因 を 除 去 す る 処 置 を 、 そ の 再 発防止のためにとる
不 適 合 を 是 正 す る た め の 処 置 を 是 正 処 置 と い い 、 こ れ ま で に 実 施 し て い た 管 理 策 に 対 し て 検 出 さ れ た 不 適 合 に 対 し て 処 置 を す る 。 選 択 し た 管 理 策 が 管 理 目 的 に 適 し て い な か っ た り、期待通りの効果を得られていない場合に適切な処置を実施する。
不適合は以下の活動によって検出される。
・定期的なリスクアセスメント
・定期的な監視
・情報セキュリティ監査
・マネジメントレビュー
単 一 の 活 動 だ け で は 判 断 で き な い 場 合 も あ る の で 、 複 合 的 な 結 果 の 考 察 か ら 不 適 合 を 検 出する必要がある。
4. 2. 2 是正処置のために手順を策定し、文書化する
是正処置の手順には以下の活動を含める。
・情報セキュリティマネジメントに対する不適合を特定する
・情報セキュリティマネジメントに対する不適合の原因を決定する
・不適合の再発防止を確実にするために選択した処置の必要性を評価する
・必要な是正処置の決定をする
・必要な是正処置を実施する
・実施した処置を記録する
・実施した是正処置をレビューする
これらの活動を手順どおりに実施するために文書化する。 4. 3 予防処置
4. 3. 1 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 要 求 事 項 に 対 す る 不 適 合 の 発 生 を 防 止 す る た め に 、 起 こ り うる不適合の原因を除去する処置を決定する
不 適 合 を 予 防 す る た め の 処 置 を 予 防 処 置 と い い 、 こ れ ま で に 実 施 し て い な か っ た 新 た な 管 理 策 を 実 施 す る こ と が 多 い 。 こ れ は 組 織 の 戦 略 の 変 更 や 、 組 織 を 取 り 巻 く 環 境 の 変 化 に 伴 っ て 新 た な 脅 威 や ぜ い 弱 性 が 対 象 と な る た め で あ り 、 以 下 の 活 動 の 結 果 と し て 反 映 さ れ る。
・定期的なリスクアセスメント
・定期的な監視
・情報セキュリティ監査
・マネジメントレビュー
単 一 の 活 動 だ け で は 判 断 で き な い 場 合 も あ る の で 、 複 合 的 な 結 果 の 考 察 か ら 不 適 合 を 検 出 す る 必 要 が あ る 。 予 防 処 置 は 是 正 処 置 に 比 べ て 多 く の 場 合 、 費 用 対 効 果 が 大 き い こ と か ら、緊急度に応じて迅速に対応することが望ましい。
4. 3. 2 予防処置のために手順を策定し、文書化する
予防処置のための手順には以下の活動を含める。
・情報セキュリティマネジメントに対する不適合を特定する
・情報セキュリティマネジメントに対する不適合の原因を決定する
・不適合の発生を予防するために選択した処置の必要性を評価する
・リスクアセスメントの結果に基づいて必要な予防処置の決定をする
・必要な予防処置を実施する
・実施した処置を記録する
・実施した予防処置をレビューする
・ 変 化 し た リ ス ク を 特 定 し 、 大 き く 変 化 し た リ ス ク に 注 意 を 向 け て 予 防 処 置 に 対 す る 要求事項を特定する
これらの活動を手順どおりに実施するために文書化する。 5 文書管理及び記録の管理
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 確 立 、 導 入 と 運 用 、 監 視 ・ 監 査 ・ レ ビ ュー 、 維 持 ・改 善 の それ ぞ れ の フ ェ ー ズ に 共 通 の 内 容 と し て 文 書 管 理 及 び 記 録 の 管 理 が 挙 げ ら れ る 。 情 報セ キ ュ リ ティ マ ネ ジメ ン ト における様々な活動が効果的に連携していることを説明するために、文書及び記録を管理する。
5. 1 文書化
5. 1. 1 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト 文 書 は 、 と っ た 処 置 か ら 、 経 営 陣 の 決 定 及 び 方 針 に た ど れ る ことを確実にする
情報セキュリティマネジメントに関連する文書には以下の内容を含める。
・情報セキュリティ基本方針及び目的
・情報セキュリティマネジメントの適用範囲
・情報セキュリティマネジメントを支えている手順及び管理策
・リスクアセスメントの方法
・リスクアセスメント報告
・リスク対応計画
・情報セキュリティを有効に計画、運用、管理するための手順
・管理策の有効性を測定するための手順
・記録
こ れ ら の 内 容 に つ い て は ど の 文 書 に 記 載 さ れ て い て も か ま わ な い が 、 そ の 内 容 を 知 る 必 要 が あ る 担 当 者 に は 必 ず 伝 わ る よ う に 構 成 さ れ て い な け れ ば な ら な い 。 ま た 、 知 る 必 要 性 のないものがそれを閲覧できるようにならないことを確実にしなければならない。
5. 1. 2 手順は正しく実行できるように文書化する
正しく実行できるように手順を文書化するためには以下を実施する。
・手順を確立する
・手順を文書化する
・手順を実施した結果を反映する
・手順が正しく実行できるように改善し、維持する
す べ て の 関 係 者 が 同 じ 判 断 で 同 じ 手 順 を 実 施 で き る よ う に 、 必 要 に 応 じ て 判 断 基 準 を 含 めることを忘れてはならない。
5. 2 文書管理
5. 2. 1 情報セキュリティマネジメントに関連する文書は保護し、管理する
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 関 連 す る 文 書 は 以 下 の 点 に つ い て 考 慮 し 、 維 持 ・ 改 善 に役立てるために保護し、管理する。
・ 選 択 し た 管 理 策 が リ ス ク ア セ ス メ ン ト 及 び リ ス ク 対 応 の プ ロ セ ス ま で た ど れ る こ と
・選択した管理策が情報セキュリティ基本方針及び目的までつながること
こ れ ら の 連 携 が 途 切 れ て し ま っ た 場 合 、 管 理 策 が 適 切 に 運 用 ・ 管 理 さ れ て い る か 、 ま た 有 効 性 を 満 た し て い る か な ど の 判 断 が で き な く な る ば か り か 、 そ も そ も の 目 的 を 反 映 し て い る の か さ え も わ か ら な く な っ て し ま う 。 正 し い 文 書 管 理 の も と 、 構 成 や 変 更 を 管 理 す る 必要がある。
5. 2. 2 管理活動を定義した手順を作成する
文書管理には以下の活動を含む。これらを適切に実施できるような手順を作成する。
・文書を発行する前に、適切かどうかを承認する
・文書をレビューする
・必要に応じて、文書を更新し、再承認する
・文書の改編を特定するための記載をする
・文書の現在の改版状況を特定するための記載をする
・必要に応じて、文書に関連する版を参照できるようにする
・文書を読みやすくし、かつ容易に識別可能であるようにする
・文書のアクセス管理を実施する
・文書ライフサイクルを定義し、それに応じた処理ができるように手順を定める
・外部で作成された文書であることを識別できるようにする
・文書の配布管理手順を定め、実施する
・廃止文書の誤使用を防止する
・廃止文書を何らかの目的で保持する場合には、適切な識別を施す
こ れ ら の す べ て の 活 動 が 文 書 管 理 に 反 映 さ れ て い る か 、 ま た そ の 活 動 が 業 務 に 大 き な 障 害を与えていないかなどを考慮し、適切な文書管理手順を策定する。
5. 3 記録の管理
5. 3. 1 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 運 用 に 関 す る 有 効 な 証 拠 を 提 供 す る た め に 、 記 録 を 作 成 す る
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト が 実 施 さ れ て い る こ と を す べ て の 利 害 関 係 者 に 説 明 す る た め に 記 録 及 び 、 記 録 を ま と め た 報 告 書 を 作 成 す る 。 記 録 の 取 得 に つ い て は 以 下 の 目 的 に ついてそれぞれ作成する。
・管理策の有効性を判断するため
・情報セキュリティマネジメントの実施を説明するため
・事故が発生した際の原因調査のため
管 理 策 の 有 効 性 や 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 実 施 を 説 明 す る た め の 記 録 は そ の 取 得 だ け で は な く 、 定 期 的 に 報 告 書 と し て ま と め て い く こ と が 必 要 に な る 。 記 録 を 取 っ て い るだけでは十分ではない。
5. 3. 2 記録した結果が再現可能であることを確実にする
情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト の 維 持 ・ 改 善 の た め に 、 記 録 し た 結 果 か ら 行 動 し た 内 容 が推測できるなど、再現可能であることを確実にするために、以下の点を考慮する。
・記録に十分な内容が含まれているか
・記録が漏れなく取得されているか
・記録が信頼できるか
十分な記録の内容には以下のものが含まれているのが望ましい。
・活動が記録された日時
・活動をした主体
・活動をした場所
・活動内容
活 動 主 体 は 従 業 者 以 外 に も 、 コ ン ピ ュ ー タ や ネ ッ ト ワ ー ク 機 器 の 場 合 も あ る 。 主 体 を 正 し く 識 別 で き る よ う に 、 そ れ ぞ れ に 個 別 の I Dを 割 り 当 て る な ど 、 記 録 に 反 映 で き る よ う に する。
また、記録の漏れがないよう、記録を取得する体制及びシステムなどを構築する。 5. 3. 3 記録は関連する法令又は規制の要求事項及び契約上の義務を考慮して保護し、管理する
記 録 に は 機 密 情 報 や 個 人 情 報 な ど を 含 む 場 合 が あ る 。 含 ま れ る 内 容 に 応 じ て 適 切 な ア ク セ ス 権 を 設 定 し 、 管 理 す る 。 ま た 、 法 令 に よ っ て は 記 録 の 保 管 年 数 を 規 定 し て い る も の が
ある。これらの要求に応じるために、以下を考慮して記録を保護、管理する。
・記録に含まれる情報と法令、規制、契約の関係
・記録を保存したメディアの耐性(耐用年数など)
・記録を保存したメディアの改ざんの可能性(書き込み制限など)
記 録 を 複 製 し た 場 合 に は そ の バ ー ジ ョ ン と 複 製 の 数 を 管 理 す る な ど 、 正 式 な 文 書 が ど れ になるかを明確にできるように管理する。記録は情報資産の一部として管理する。
5. 3. 4 記録は読みやすく、容易に識別可能で、検索可能にする
記 録 は 再 現 性 を 損 な わ な い 程 度 に 正 規 化 し 、 活 用 し や す い よ う に し て お く 。 場 合 に よ っ て は 報 告 書 な ど の 形 式 に す る な ど し て 、 そ の 記 録 の 利 用 者 が 適 切 に 活 用 で き る よ う な 状 態 にしておく。記録を編集する際には以下の点について考慮する。
・利用者が読みやすいように編集する
・利用者が識別しやすいように編集する
・利用者が利用したい時にいつでも検索できるように検索用の分類を付与する 記録はその保存期間に応じて適切な編集をする。
5. 3. 5 記 録 の 識 別 、 保 管 、 保 護 、 検 索 、 保 存 期 間 及 び 廃 棄 の た め に 必 要 な 管 理 策 を 文 書 化 し 、 実 施 する
記 録 も 通 常 の 文 書 と 同 様 に 情 報 資 産 と し て 扱 わ れ る 。 し た が っ て 、 情 報 資 産 と 同 様 に ラ イ フ サ イ ク ル に 応 じ て 適 切 な 管 理 を 実 施 す る 。 記 録 の 管 理 に お い て は 、 特 に 以 下 に つ い て 考慮する。
・記録の真正性
・記録の関連性
・記録の保管方法
・記録の保存期間
記 録 の 種 別 に よ っ て は 、 そ の 他 の 記 録 と の 関 連 性 を 位 置 づ け る 内 容 ( デ ー タ ベ ー ス に お け る 外 部 キ ー な ど ) を 削 除 す る な ど し て 、 関 係 が 損 な わ れ る こ と で 意 味 を な さ な い 場 合 も あるため、編集保存する際に特に気をつける必要がある。
5. 3. 6 プ ロ セ ス の パ フ ォ ー マ ン ス の 記 録 及 び 情 報 セ キ ュ リ テ ィ マ ネ ジ メ ン ト に 関 係 す る 重 大 な セ キ ュリティインシデントすべての発生記録を保持する
記 録 は 説 明 責 任 を 果 た す た め だ け に 活 用 す る の で は な く 、 管 理 策 の パ フ ォ ー マ ン ス 測 定 や 、 改 善 策 の 提 案 に も 活 用 さ れ る 。 プ ロ セ ス の パ フ ォ ー マ ン ス を 測 る た め の 記 録 及 び 、 イ ンシデントの発生記録については、相当期間すべての情報を保持しておく。
改 善 策 の 妥 当 性 を 測 っ た り 、 長 期 的 な パ フ ォ ー マ ン ス の 測 定 な ど に 利 用 し た り す る に は、 生 の 記 録 で は な く 、 統 計 デ ー タ で 十 分 な 場 合 も あ る 。 記 録 を 保 管 し て お く 書 庫 の 大 き さ や ス ト レ ー ジ の 容 量 に 従 っ て 適 切 な 管 理 を 実 施 で き る よ う に 、 あ ら か じ め 手 順 を 作 成 し 、 そ れに従って作業を実施する。
Ⅳ. 管理策基準
1 セキュリティ基本方針
1. 1 情報セキュリティ基本方針
目的:情 報セキ ュリティ のため の経営 陣の方向 性及び 支持を、 事業上 の要求事 項、関 連する法 令及び
規制に従って規定するため
1. 1. 1 情 報 セ キ ュ リ テ ィ 基 本 方 針 文 書 は 、 経 営 陣 が 承 認 し 、 ま た 、 全 従 業 員 及 び 関 連 す る 外 部 関 係 者に公表し、通知する
1. 1. 1. 1 情報 セキ ュリ テ ィ基 本方 針文 書に 、経 営陣 の責 任を 明 記し 、情 報セ キュ リテ ィの 管理 に 対する組織の取組み方を示す
1. 1. 1. 2 情 報セ キュ リテ ィ基 本方 針文 書に 、情 報 セキ ュリ ティ の定 義、 その 目的 及び 適用 範 囲、 並 びに 情報 共有 を可 能に する 基盤 とし てのセ キュリ ティの重 要性に 関する記 述を含 める 1. 1. 1. 3 情報 セキ ュリ テ ィ基 本方 針文 書に 、事 業戦 略及 び事 業 目的 に沿 った 情報 セキ ュリ ティ の
目標及び原則を支持する経営陣の意向を含める
1. 1. 1. 4 情報 セキ ュリ テ ィ基 本方 針文 書に 、リ スク アセ スメ ン ト及 びリ スク マネ ジメ ント の構 造 を含む、管理目的及び管理策を設定するための枠組みを含める
1. 1. 1. 5 情報 セキ ュリ テ ィ基 本方 針文 書に 、組 織に とっ て特 に 重要 な、 セキ ュリ ティ の個別 方針、 原 則、 標準 類及 び順 守の 要求 事項 (法 令、規 則及び 契約上の 要求事 項の順守 、セキ ュリ テ ィ教 育・ 訓練 及び 意識 向上 に関 する 要求事 項、事 業継続管 理、情 報セキュ リティ 基本 方針違反に対する処置など)の簡潔な説明を含める
1. 1. 1. 6 情報 セキ ュリ テ ィ基 本方 針文 書に 、情 報セ キュ リテ ィ イン シデ ント を報 告す るこ とも 含 ん だ、 情報 セキ ュリ ティ マネ ジメ ント に関す る一般 的な責任 及び特 定の責任 の定義 を含 める
1. 1. 1. 7 情報 セキ ュリ テ ィ基 本方 針文 書は 、情 報セ キュ リテ ィ 基本 方針 を支 持す る文 書(例 えば、 特 定の 情報 シス テム のた めの より 詳細 なセキ ュリテ ィ方針及 び手順 、又は利 用者が 順守 することが望ましいセキュリティ規則)への参照情報を含める
1. 1. 1. 8 情報 セキ ュリ テ ィ基 本方 針は 、想 定す る読 者に とっ て 、適 切で 、利 用可 能で 、か つ、 理 解しやすい形で、組織全体にわたって利用者に知らせる
1. 1. 2 情 報 セ キ ュ リ テ ィ 基 本 方 針 は 、 あ ら か じ め 定 め ら れ た 間 隔 で 、 又 は 重 大 な 変 化 が 発 生 し た 場 合に、それが引き続き適切、妥当及び有効であることを確実にするためにレビューする 1. 1. 2. 1 情報 セキ ュリ テ ィ基 本方 針の 作成 、レ ビュ ー及 び評 価 につ いて の管 理責 任を 与え られ た
責任者を置く
1. 1. 2. 2 情報 セキ ュリ テ ィ基 本方 針の レビ ュー に、 組織 の情 報 セキ ュリ ティ 基本 方針 を改 善す る 機 会の 評価 、及 び組 織環 境、 業務 環境 、法的 状況又 は技術環 境の変 化に応じ た情報 セキ ュリティの管理への取組みの評価を含める
1. 1. 2. 3 情報 セキ ュリ テ ィ基 本方 針の レビ ュー に、 マネ ジメ ン トレ ビュ ーの 結果 を考 慮し 、反 映 する
1. 1. 2. 4 改訂された情報セキュリティ基本方針は、経営陣から承認を得る 2 情報セキュリティのための組織
2. 1 内部組織
目的:組織内の情報セキュリティを管理するため
2. 1. 1 経 営 陣 は 、 情 報 セ キ ュ リ テ ィ の 責 任 に 関 す る 明 り ょ う な 方 向 付 け 、 自 ら の 関 与 の 明 示 、 責 任 の明確な割当て及び承認を通して、組織内におけるセキュリティを積極的に支持する
2. 1. 1. 1 経営 陣は 、組 織 の要 求事 項を 満た す情 報セ キュ リテ ィ 目標 を共 有し 、関 連す るプ ロセ ス に統合することを確実にする
