文書番号 制定日 改訂日
版番号 版
□管理
■非管理
岡山県倉敷市片島町
-
【セキュリティ管理責任者の事前の許可なしに複写及び社外への持出しを禁止する.】
情報セキュリティマニュアル
カモ井加工紙株式会社
目 次
第 1 概要 ... 1
1.1 概 要 ... 1
1.2 会 社 概 要... 1
第 2 引用 規格 ,用 語及び 定義 ... 1
2.1 引 用 規 格,用 語及 び定 義 ... 1
2.2 部 門 長 の定義 ... 1
2.3 上 司 の 定義 ... 1
2.4 従 業 員 の定義 ... 1
2.5外 部 委 託の 定義 ... 1
3.1 情 報 セ キュリ ティ 方針 ... 2
3.2 情 報 セ キュリ ティ の定 義 ... 3
3.3 情 報 セ キュリ ティ 目的 ... 3
3.4 情 報 セ キュリ ティ 目標 ... 3
3.5 情 報 セ キュリ ティ 体制 ... 4
3.6 I S M Sの運 用 ... 4
3.7 適 用 範 囲... 5
3.8 リ ス ク 評価基 準と リス クア セス メン トの 構造の 確立 ... 5
3.9 事 業 継 続計画 ... 5
3.10 I S M S確 立, 維持 する ため の経 営資 源 ... 5
3.11 法 律 及 び契 約の 要求 事項 の適 合 ... 5
3.12 経 営 者 の責 任と 義務 ... 5
3.13 役 員 及 び従 業員 の責 任と 義務 ... 5
3.14 報 告 の 義務 ... 5
3.15 情 報 セ キュ リテ ィの 教育 及び 訓練 ... 6
3.16 年 間 活 動予 定 ... 6
3.17 懲 戒 処 分 ... 6
3.18 見 直 し 及び 評価... 6
第 4 組織 の状 況 ... 7
4.1 組 織 及 びその 状況 の理 解 ... 7
4.2 利 害 関 係者の ニー ズ及 び期 待の 理解 ... 7
4.3 情 報 セ キュリ ティ マネ ジメ ント シス テム の適用 範囲 の決 定 ... 7
4.4 情 報 セ キュリ ティ マネ ジメ ント シス テム ... 7
第 5 リー ダー シッ プ ... 8
5.1 リ ー ダ ーシッ プ及 びコ ミッ トメ ント ... 8
5.2 方 針 ... 8
5.3 組 織 の 役割, 責任 及び 権限 ... 8
5.3.1 体 制 及び 責任 ... 9
第 6 計画 ... 10
6.1 リ ス ク 及び機 会に 対処 する 活動 ... 10
6.1.1 一 般 ... 10
6.1.1.1 予 防 策 ... 10
6.1.2 情 報 セキ ュリ ティリ スク アセ スメ ント ... 10
6.1.2.1 情 報 資 産の 資産価 値評 価方 法 ... 11
6.1.2.2 情 報 資 産の リスク 評価 方法 ... 12
6.1.2.3 リ ス ク アセ スメン トの 実施 条件 ... 13
6.1.2.4 リ ス ク アセ スメン トの レビ ュー 尺度 ... 13
6.1.2.5 リ ス ク 受容 基準の 見直 し ... 13
6.1.3 情 報 セキ ュリ ティリ スク 対応 ... 14
6.1.3.1 リ ス ク 対策 ... 14
6.1.3.2リ ス ク 対応 計画の 策定 ... 15
6.1.3.3 残 留 リ スク ... 15
6.2 情 報 セ キュリ ティ 目的 及び それ を達 成す るため の計 画策 定 ... 16
6.2.1 情 報 セキ ュリ ティ目 標設 定の 枠組 み ... 16
6.2.2 情 報 セキ ュリ ティ目 標の 測定 方法 ... 16
第 7 支援 ... 17
7.1 資 源 ... 17
7.2 力 量 ... 17
7.2.1 教 育 ,訓 練及 び力量 ... 17
7.2.1.1 教 育 計 画 ... 17
7.2.1.2 教 育 内 容 ... 18
7.2.1.3 教 育 の 実施 記録 ... 18
7.2.1.4 実 地 訓 練計 画及び 報告 ... 18
7.3 認 識 ... 19
7.4 コ ミ ュ ニケー ショ ン ... 19
7.4.1 コ ミ ュニ ケー ション の内 容 ... 19
7.5 文 書 化 した情 報 ... 19
7.5.1 一 般 ... 19
7.5.1.1 文 書 体 系 ... 19
7.5.1.2 文 書 の 作成 ・審査 ・承 認 ... 21
7.5.2 作 成 及び 更新 ... 21
7.5.2.1 I S M S関 係文書 の書 式 ... 21
7.5.2.2 I S M S関 係文書 の更 新 ... 22
7.5.3 文 書 化し た情 報の管 理 ... 22
7.5.3.1 I S M S関 係文書 の原 本及 び複 写物 の管理 ... 22
7.5.3.2 I S M S関 係文書 の旧 版及 び廃 止文 書の取 扱い ... 22
7.5.3.3 I S M S関 係文書 の閲 覧及 び配 布 ... 22
7.5.3.7 I S M Sに 関する セキ ュリ ティ 記録 の管理 ... 23
第 8 運用 ... 23
8.1 運 用 の 計画及 び管 理 ... 23
8.1.1プ ロ セス の実 施結果 ... 24
8.1.2 予 防 処置 ... 24
8.1.3 外 部 委託 の管 理 ... 24
8.2情 報 セ キュ リテ ィリス クア セス メン ト ... 25
8.3 情 報 セ キュリ ティ リス ク対 応 ... 25
第 9 パフ ォー マン ス評価 ... 26
9.1 監 視 , 測定, 分析 及び 評価 ... 26
9.1.1 I S MS の監 視,測 定, 分析 及び 評価 ... 26
9.1.2 管 理 策の 実施 及び見 直し ... 27
9.1.3 管 理 策の 有効 性評価 ... 27
9.2 内 部 監 査... 29
9.2.1 内 部 監査 員の 認定 ... 29
9.2.2監 査 項目 ... 29
9.2.3 内 部 監査 の実 施 ... 30
9.2.4 内 部 監査 の結 果報告 ... 30
9.2.5 外 部 監査 ... 31
9.3 マ ネ ジ メント レビ ュー ... 31
9.3.1 参 加 メン バー ... 31
9.3.2 マ ネ ジメ ント レビュ ーの 実施 ... 32
第 10 改 善 ... 33
10.1 不 適 合 及び 是正 処置 ... 33
10.1.1 不 適 合 の出 所及び 種類 ... 33
10.1.2 是 正 処 置の 実施 ... 33
10.2 継 続 的 改善 ... 34
10.2.1 I S M Sの 維持及 び改 善 ... 34
第 11 管 理策 への 対応 ... 35
11.1 情 報 セ キュ リテ ィの ため の方 針群(A5) ... 35
11.1.1 情 報 セ キュ リティ のた めの 経営 陣の 方向性(A5.1) ... 35
11.1.1.1 情 報 セキ ュリ ティ のた めの 方針 群(A5.1.1) ... 35
11.1.1.2 情 報 セキ ュリ ティ のた めの 方針 群の レビュ ー(A5.1.2) ... 35
11.2 情 報 セ キュ リテ ィの ため の組 織(A6) ... 36
11.2.1 内 部 組 織(A6.1) ... 36
11.2.1.1 情 報 セキ ュリ ティ の役 割及 び責 任(A6.1.1) ... 36
11.2.1.2 職 務 の分 離(A6.1.2) ... 36
11.2.1.3 関 係 当局 との 連 絡(A6.1.3) ... 36
11.2.1.4 専 門 組織 との 連絡(A6.1.4) ... 36
11.2.1.5 プ ロ ジェ クト マネ ジメ ント にお ける 情報セ キュ リテ ィ(A6.1.5) ... 36
11.2.2 モ バ イ ル機 器及び テレ ワー キン グ(A6.2) ... 37
11.2.2.1 モ バ イル 機器 の方 針(A6.2.1) ... 37
11.2.2.2 モ バ イル 機器 の取 扱い... 37
11.2.2.3 テ レ ワー キン グ(A6.2.2) ... 37
11.2.2.4 テ レ ワー キン グの 実施 方法 ... 37
11.3 人 的 情 報セ キュ リテ ィ (A7) ... 38
11.3.1 雇 用 前(A7.1) ... 38
11.3.1.1 選 考(A7.1.1) ... 38
11.3.1.2 雇 用 条件(A7.1.2) ... 39
11.3.2 雇 用 期 間中(A7.2) ... 39
11.3.2.1 経 営 陣の 責任(A7.2.1) ... 39
11.3.2.2 情 報 セキ ュ リ ティ の意 識向 上, 教育 及び訓 練(A7.2.2) ... 40
11.3.2.3 懲 戒 手続(A7.2.3) ... 40
11.3.3 雇 用 の 終了 及び変 更(A7.3) ... 40
11.3.3.1 雇 用 の終 了又 は変 更に 関す る責 任(A7.3.1) ... 40
11.4 資 産 の 管理(A8) ... 40
11.4.1 資 産 に 対す る責任(A8.1)... 40
11.4.1.1 資 産 目録(A8.1.1) ... 40
11.4.1.2 資 産 の管 理責 任(A8.1.2) ... 41
11.4.1.3 資 産 利用 の許 容範 囲(A8.1.3) ( ※ 除外) ... 41
11.4.1.4 資 産 の返 却(A8.1.4) ... 41
11.4.2 情 報 分 類(A8.2.1) ... 42
11.4.2.1 情 報 の分 類(A8.2.2) ... 42
11.4.2.2 情 報 のラ ベル 付け(A8.2.2) ... 42
11.4.2.3 資 産 の取 扱い(A8.2.3) ... 43
11.4.3 媒 体 の 取扱 い(A8.3) ... 43
11.4.3.1 取 外 し可 能な 媒体 の管 理(A8.3.1) ... 43
11.4.3.2 媒 体 の処 分(A8.3.2) ... 44
11.4.3.3 物 理 的媒 体の 輸 送(A8.3.3) ... 45
11.5 ア ク セ ス制 御(A9) ... 45
11.5.1 ア ク セ ス制 御に対 する 業務 上の 要求 事項(A9.1) ... 45
11.5.1.1 ア ク セス 制御 方針(A9.1.1) ... 45
11.5.1.2 ネ ッ トワ ーク 及び ネッ トワ ーク サー ビスへ のア クセ ス(A9.1.2) ... 46
11.5.2 利 用 者 アク セスの 管理(A9.2) ... 48
11.5.2.1 利 用 者登 録及 び登 録削 除(A9.2.1) ... 48
11.5.2.2 利 用 者ア クセ スの 提供(A9.2.2) ... 48
11.5.2.3 特 権 的ア クセ ス権 の管 理(A9.2.3) ... 48
11.5.2.4 利 用 者の 秘密 認証 情報 の管 理(A9.2.4) ( ※除 外) ... 49
11.5.2.5 利 用 者ア クセ ス権 のレ ビュ ー(A9.2.5) (※ 除外 ) ... 49
11.5.2.6 ア ク セス 権の 削除 及び 修正(A9.2.6) ( ※除 外) ... 49
11.5.3 利 用 者 の責 任(A9.3) ... 49
11.5.3.1 秘 密 認証 情報 の利 用(A9.3.1) ... 49
11.5.4 シ ス テ ム及 びアプ リケ ーシ ョン のア クセス 制御(A9.4.1) ... 49
11.5.4.1 情 報 への アク セス 制限(A9.4.2) ... 50
11.5.4.2 セ キ ュリ ティ に配 慮し たロ グオ ン手 順(A9.4.2) ... 50
11.5.4.3 パ ス ワー ド管 理シ ステ ム(A9.4.3) ... 50
11.5.4.4 特 権 的な ユー ティ リテ ィプ ログ ラム の使用(A9.4.4) ... 50
11.5.4.5 プ ロ グラ ムソ ース コー ドへ のア クセ ス制御(A9.4.5) ... 50
11.6 暗 号(A10) ... 50
11.6.1 暗 号 に よる 管理策(A10.1) ... 50
11.6.1.1 暗 号 によ る管 理策 の利 用方 針(A10.1.1) ... 50
11.6.1.2 鍵 管 理(A10.1.2) ( ※除 外) ... 51
11.7 物 理 的 及び 環境 的セ キュ リテ ィ(A11) ... 51
11.7.1 セ キ ュ リテ ィを保 つべ き領 域(A11.1) ... 51
11.7.1.1 物 理 的セ キュ リテ ィ境 界(A11.1.1) ... 51
11.7.1.2 物 理 的入 退管 理策(A11.1.2) ... 51
11.7.1.3 オ フ ィス ,部 屋及 び施 設の セキ ュリ ティ(A11.1.3) ... 52
11.7.1.4 外 部 及び 環境 の脅 威か らの 保護(A11.1.4) ... 52
11.7.1.5 セ キ ュリ ティ を保 つべ き領 域で の作 業(A11.1.5) ... 52
11.7.1.6 受 渡 場所(A11.1.6) ... 52
11.7.2 装 置(A11.2) ... 52
11.7.2.1 装 置 の設 置及 び保 護(A11.2.1) ... 52
11.7.2.2 サ ポ ート ユー ティ リテ ィ(A11.2.2) ... 53
11.7.2.3 ケ ー ブル 配線 のセ キュ リテ ィ(A11.2.3) ... 53
11.7.2.4 装 置 の保 守(A11.2.4) ... 53
11.7.2.5 資 産 の移 動(A11.2.5) ... 53
11.7.2.6 構 外 にあ る装 置及 び資 産の セキ ュリ ティ(A11.2.6) ... 53
11.7.2.7 装 置 のセ キュ リテ ィを 保っ た処 分又 は再利 用(A11.2.7) ... 53
11.7.2.8 無 人 状態 にあ る利 用者 装置(A11.2.8)... 54
11.7.2.9 ク リ アデ スク ・ク リア スク リー ン方 針(A11.2.9) ... 54
11.8 運 用 の セキ ュリ ティ(A12) ... 54
11.8.1 運 用 の 手順 及び責 任(A12.1) ... 54
11.8.1.1 操 作 手順 書(A12.1.1) ( ※ 除外 ) ... 54
11.8.1.2 変 更 管理 (A12.1.2) ( ※ 除 外) ... 54
11.8.1.3 容 量 ・能 力の 管理 (A12.1.3) ... 54
11.8.1.4 開 発 環境 ,試 験環 境及 び運 用環 境の 分離(A12.1.4) ... 55
11.8.2 マ ル ウ ェア からの 保護 (A12.2) ... 55
11.8.2.1 マ ル ウェ アに 対す る管 理策 (A12.2.1) ... 55
11.8.3 バ ッ ク アッ プ(A12.3) ... 55
11.8.3.1 情 報 のバ ック アッ プ(A12.3.1) ... 55
11.8.4 ロ グ 取 得及 び監視 (A12.4) ( ※除 外) ... 55
11.8.4.1 イ ベ ント ログ 取得 (A12.4.1) ( ※ 除外) ... 56
11.8.4.2 ロ グ 情報 の保 護(A12.4.2) ( ※ 除外) ... 56
11.8.4.3 実 務 管理 責任 者及 び運 用担 当者 の作 業ログ (A12.4.3) ( ※ 除外) ... 56
11.8.4.4 ク ロ ック の同 期(A12.4.4) ... 56
11.8.5 運 用 ソ フト ウェア の管 理(A12.5) ... 56
11.8.5.1 運 用 シス テム に関 わる ソフ トウ ェア の導入 (A12.5.1) ... 56
11.8.6 技 術 的 ぜい 弱性管 理(A12.6) ... 56
11.8.6.1 技 術 的ぜ い弱 性の 管理 (A12.6.1) ... 56
11.8.6.2 ソ フ トウ ェア のイ ンス トー ルの 制限 (A12.6.2)... 57
11.8.7 情 報 シ ステ ムの監 査に 対す る考 慮事 項(A12.7) ... 57
11.8.7.1 情 報 シス テム の監 査に 対す る管 理策 (A12.7.1)... 57
11.9 通 信 の セキ ュリ ティ(A13) ... 58
11.9.1 ネ ッ ト ワー クセキ ュリ ティ 管理(A13.1) ... 58
11.9.1.1 ネ ッ トワ ーク 管理 策(A13.1.2) ... 58
11.9.1.2 ネ ッ トワ ーク サー ビス のセ キュ リテ ィ(A13.1.3) ... 58
11.9.1.3 ネ ッ トワ ーク の分 離(A13.1.4) ... 58
11.9.2 情 報 の 転送(A13.2) ... 59
11.9.2.1 情 報 転送 の方 針及 び手 順(A13.2.1) ... 59
11.9.2.2 情 報 転送 に関 する 合意(A13.2.2) ... 59
11.9.2.3 電 子 的メ ッセ ージ 通信(A13.2.3) ... 60
11.9.2.4 秘 密 保持 契約 又は 守秘 義務 契約(A13.2.4) ... 60
11.10 シ ス テム の取 得,開 発及 び保 守(A14) ... 60
11.10.1 情 報 シ ステ ムのセ キュ リテ ィ要 求事 項(A14.1) ... 60
11.10.1.1 情 報 セ キュ リテ ィ要 求事 項の 分析 及び仕 様化(A14.1.1) ... 60
11.10.1.2 公 衆 ネ ット ワー ク上 のア プリ ケー ション サー ビス のセ キュ リティ の考 慮(A14.1.2)61 11.10.1.3 ア プ リ ケー ショ ンサ ービ スの トラ ンザク ショ ンの 保護(A14.1.3) ... 61
11.10.2 開 発 及 びサ ポート プロ セス にお ける セキュ リテ ィ(A14.2) ... 61
11.10.2.1 セ キ ュ リテ ィに 配慮 した 開発 のた めの方 針(A14.2.1): 適 用 除外 ... 61
11.10.2.2 シ ス テ ムの 変更 管理 手順(A14.2.2) ... 62
11.10.2.3 オ ペ レ ー テ ィ ン グ プ ラ ッ ト フ ォ ー ム 変 更 後 の ア プ リ ケ ー シ ョ ン の 技 術 的 レ ビ ュ ー (A14.2.3) ... 62
11.10.2.4 パ ッ ケ ージ ソフ トウ ェア の変 更に 対する 制限(A14.2.4) ... 62
11.10.2.5 セ キ ュ リテ ィに 配慮 した シス テム 構築の 原則(A14.2.5) ... 62
11.10.2.6 セ キ ュ リテ ィに 配慮 した 開発 環境(A14.2.6) : 適 用 除外 ... 63
11.10.2.7 外 部 委 託に よる 開発(A14.2.7) : 適 用除 外 ... 63
11.10.2.8 シ ス テ ムセ キュ リテ ィの 試験(A14.2.8) :適 用除 外 ... 63
11.10.2.9 シ ス テ ムの 受入 れ試 験(A14.2.9) : 適用 除外 ... 63
11.10.3 試 験 デ ータ(A14.3) ... 63
11.10.3.1 試 験 デ ータ の保 護(A14.3.1) ... 63
11.11 供 給 者関 係(A15) ... 63
11.11.1 供 給 者 関係 におけ る情 報セ キュ リテ ィ(A15.1) ... 63
11.11.1.1 供 給 者 関係 のた めの 情報 セキ ュリ ティの 方針 (A15.1.1) ... 63
11.11.1.2 供 給 者 との 合意 にお ける セキ ュリ ティの 取扱 い(A15.1.2) ... 64
11.11.1.3 I C T サプ ライ チェ ーン(A.15.1.3) ... 64
11.11.2 供 給 者 のサ ービス 提供 の管 理(A.15.2) ... 64
11.11.2.1 供 給 者 のサ ービ ス提 供の 監視 及び レビュ ー(A.15.2.1) ... 65
11.11.2.2 供 給 者 のサ ービ ス提 供の 変更 に対 する管 理(A.15.2.2) ... 65
11.12 情 報 セキ ュリ ティイ ンシ デン ト管 理(A.16) ... 65
11.12.1 情 報 セ キュ リティ イン シデ ント の管 理及び その 改善(A.16.1) ... 65
11.12.1.1 責 任 及 び手 順(A.16.1.1) ... 65
11.12.1.2 情 報 セ キュ リテ ィ事 象の 報告(A.16.1.2) ... 65
11.12.1.3 情 報 セ キュ リテ ィ弱 点の 報告(A.16.1.3) ... 66
11.12.1.4 情 報 セ キュ リテ ィ事 象の 評価 及び 決定(A.16.1.4) ... 66
11.12.1.5 情 報 セ キュ リテ ィイ ンシ デン トへ の対応(A.16.1.5) ... 67
11.12.1.6 情 報 セ キュ リテ ィイ ンシ デン トか らの学 習(A.16.1.6) ... 67
11.12.1.7 証 拠 の 収集(A.16.1.7) ... 67
11.13 事 業 継続 マネ ジメン トに おけ る情 報セ キュリ ティ の側 面(A17) ... 67
11.13.1 情 報 セ キュ リティ 継続(A17.1) ... 67
11.13.1.1 情 報 セ キュ リテ ィ継 続の 計画(A17.1.1) ... 67
11.13.1.2 情 報 セ キュ リテ ィ継 続の 実施(A17.1.2) ... 67
11.13.1.3 情 報 セ キュ リテ ィ継 続の 検証 ,レ ビュー 及び 評価(A17.1.4) ... 67
11.13.2 冗 長 性(A17.2) ... 68
11.13.2.1 情 報 処 理施 設の 可用 性(A17.2.1) ... 68
11.14 順 守 (A18) ... 68
11.14.1 法 的 及 び契 約上の 要求 事項 の順 守(A18.1) ... 68
11.14.1.1 適 用 法 令及 び契 約上 の要 求事 項の 特定(A18.1.1) ... 68
11.14.1.2 知 的 財 産権 (A18.1.2) ... 69
11.14.1.3 記 録 の 保護 (A18.1.3) ... 69
11.14.1.4 プ ラ イ バシ ー及 び個 人を 特定 でき る情報 (PII)の 保護 (A18.1.4) ... 71
11.14.1.5 暗 号 化 機能 に対 する 規制 (A18.1.5) ... 71
11.14.2 情 報 セ キュ リティ のレ ビュ ー(A18.2) ... 71
11.14.2.1 情 報 セ キュ リテ ィの 独立 した レビ ュー(A18.2.1) ... 71
11.14.2.2 情 報 セ キュ リテ ィの ため の方 針群 及び標 準の 順守 (A18.2.2) ... 71
11.14.2.3 技 術 的 順守 のレ ビュ ー(A18.2.3) ... 71