★ISO27001の附属書A 管理策とは #4

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

A.10 通信及び運用管理

A.10.1　運用の手順及び責任

【管理の目的】
情報処理設備の正確でセキュリティを保った運用を確実にするため。

【管理策の選択項目】
1　操作手順書
2　変更管理
3　職務の分割
4　開発施設、試験施設及び運用施設の分離

【管理策の説明】
操作手順書は文書化して維持管理する必要があります。
情報処理設備や業務システムにおける変更管理策を策定する必要があります。
組織の情報資産を誤操作、内部犯行から守るために、職務を分割しておく必要があります。 業務システムの開発、試験環境は、情報処理設備と物理的に分離する必要があります。

A.10.2　第三者が提供するサービスの管理

【管理の目的】


【管理策の選択項目】
1　第三者が提供するサービス
2　第三者が提供するサービスの監視及びレビュー
3　第三者が提供するサービスの変更に対する管理

【管理策の説明】
第三者から提供されるサービスを受ける場合の管理策を策定する必要があり、 サービスの監視とその評価に関する管理策も策定する必要があります。
第三者から提供されるサービスが変更される場合の、監視とその評価に関する管理策を策定する必要があります。

A.10.3　システムの計画作成及び受入れ

【管理の目的】
情報システムの故障するリスクを最小限に抑える。

【管理策の選択項目】
1　容量・能力の管理

2　システムの受入れ

【管理策の説明】
情報システムに要求される性能や処理能力を、将来の需要予測も含めて管理する必要があり、 情報システムを新規に受け入れる場合の管理策を策定する必要があります。

A.10.4　悪意のあるコード及びモバイルコードからの保護

【管理の目的】
マルウエアや、ユーザーが意識することなく、自動的にダウンロードして実行されるプログラム（モバイルコード）に関する保護。

【管理策の選択項目】
1　悪意のあるコードに対する管理策
2　モバイルコードに対する管理策

【管理策の説明】
マルウエア（コンピュータウイルス）に対する管理策、 モバイルコードに対する管理策（Webサイト利用ルール等）を策定する必要があります。

A.10.5　バックアップ

【管理の目的】
情報システムのバックアップ方針をを策定し、定期的に実行する。

【管理策の選択項目】
1　情報のバックアップ

【管理策の説明】
サーバなど重要なデータをバックアップする管理策を策定して、定期的に実行する必要があります。

A.10.6　ネットワークセキュリティ管理

【管理の目的】
ネットワークの情報システムを保護するため。

【管理策の選択項目】
1　ネットワーク管理策
2　ネットワークサービスのセキュリティ

【管理策の説明】
ネットワークの情報、ハードウエア全般における管理策を策定する必要があり、 サービスの利用における管理策を策定する必要があります。

A.10.7　媒体の取扱い

【管理の目的】


【管理策の選択項目】
1　取外し可能な媒体の管理
2　媒体の処分
3　情報の取扱い手順
4　システム文書のセキュリティ

【管理策の説明】
取外し可能な媒体な媒体（CDROM、ハードデスク、USBメモリ等、紙媒体も含む）の取扱いと処分に関する管理策を策定する必要があります。
取外し可能な媒体な媒体の情報の取扱いと保管に関する管理策を策定する必要があります。
システム関連文書（マニュアル、ネットワーク構成図等）の取扱に関する管理策を策定する必要があります。

A.10.8　情報の交換

【管理の目的】
組織の内部と外部で交換した情報資産のセキュリティを保つため。

【管理策の選択項目】
1　情報交換の方針及び手順
2　情報交換に関する合意
3　配送中の物理的媒体
4　電子的メッセージ通信
5　業務用情報システム

【管理策の説明】
情報セキュリティのレベルに応じた交換の方針と手順を策定する必要があります。
組織の外部と情報を交換する場合の、合意と手順に関する管理策を策定する必要があります。
情報が保存されている媒体（CDROM、ハードデスク、USBメモリ等、紙媒体も含む）の配送に関する管理策を策定する必要があります。
電子メールの情報と利用方法に関する管理策を策定する必要があります。
業務用情報システム（グループウエア等）の利用に関する管理策を策定する必要があります。

A.10.9　電子商取引サービス

【管理の目的】
電子商取引サービスの利用とセキュリティを保つため。

【管理策の選択項目】
1　電子商取引
2　オンライン取引
3　公開情報

【管理策の説明】
公衆ネットワーク（インターネット等）を経由する電子商取引（オンライン取引）に関する情報のセキュリティを保つための管理策を策定する必要があります。
組織のWebサイト等、組織外に情報を公開する場合の管理策を策定する必要があります。
【補足】
電子商取引：
公衆ネットワークを利用した取引（例ネットで注文->受注->支払いは銀行）
オンライン取引:
電子商取引の一種であるが、公衆ネットワークを利用した取引で決済までネットワークで完結するもの。 （例ネットで注文->受注->支払いは決済画面でカード払い）

A.10.10　監視

【管理の目的】
不正な情報システムへのアクセスを検出するため。

【管理策の選択項目】
1　監査ログ取得
2　システム使用状況の監視
3　ログ情報の保護
4　実務管理者及び運用担当者の作業ログ
5　障害のログ取得
6　クロックの同期

【管理策の説明】
情報システムにおけるログの監査の範囲と取得、ログの保存について管理策を策定する必要があります。
情報システムの使用状況における管理策を策定する必要があります。
取得したログ情報のセキュリティを保つための管理策を策定する必要があります。
情報システムの管理者、運用担当者の作業も記録する必要があります。
情報システムに障害が起きた場合の管理策を策定する必要があります。
組織内の情報システムの使用するクロックは正確な時刻に同期が取れている必要があります。

ISO27001の附属書Aとは #5 A.11 アクセス制御