情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項
JIS_Q_27001:2014 & ISO/IEC_27001:2013
 
 

目 次

Links


情報セキュリティマネジメントシステム(ISMS)−要求事項

  • 日本工業規格JIS 27001:2014 (ISO/IEC 27001:2013)

本文

1 適用範囲

2 引用規格

3 用語及び定義

4 組織の状況

  1. 組織及びその状況の理解
  2. 利害関係者のニーズ及び期待の理解
  3. 情報セキュリティマネジメントシステムの適用範囲の決定
  4. 情報セキュリティマネジメントシステム

5 リーダーシップ

  1. リーダーシップ及びコミットメント
  2. 方針
  3. 組織の役割,責任及び権限

6 計画

  1. リスク及び機会に対処する活動
    1. 一般
    2. 情報セキュリティリスクアセスメント
    3. 情報セキュリティリスク対応
  2. 情報セキュリティ目的及びそれを達成するための計画策定

7 支援

  1. 資源
  2. 力量
  3. 認識
  4. コミュニケーション
  5. 文書化した情報
    1. 一般
    2. 作成及び更新
    3. 文書化した情報の管理

8 運用

  1. 運用の計画及び管理
  2. 情報セキュリティリスクアセスメント
  3. 情報セキュリティリスク対応

9 パフォーマンス評価

  1. 監視,測定,分析及び評価
  2. 内部監査
  3. マネジメントレビュー

10 改善

  1. 不適合及び是正処置
  2. 継続的改善

附属書(Annex):規定

A.5 情報セキュリティのための方針群

  1. 情報セキュリティのための経営陣の方向性
    1. 情報セキュリティのための方針群
    2. 情報セキュリティのための方針群のレビュー

A.6 情報セキュリティのための組織

  1. 内部組織
    1. 情報セキュリティの役割及び責任
    2. 職務の分離
    3. 関係当局との連絡
    4. 専門組織との連絡
    5. プロジェクトマネジメントにおける情報セキュリティ
  2. モバイル機器及びテレワーキング
    1. モバイル機器の方針
    2. テレワーキング

A.7 人的資源のセキュリティ

  1. 雇用前
    1. 選考
    2. 雇用条件
  2. 雇用期間中
    1. 経営陣の責任
    2. 情報セキュリティの意識向上,教育及び訓練
    3. 懲戒手続
  3. 雇用の終了及び変更
    1. 雇用の終了又は変更に関する責任

A.8 資産の管理

  1. 資産に対する責任
    1. 資産目録
    2. 資産の管理責任
    3. 資産利用の許容範囲
    4. 資産の返却
  2. 情報分類
    1. 情報の分類
    2. 情報のラベル付け
    3. 資産の取扱い
  3. 媒体の取扱い
    1. 取外し可能な媒体の管理
    2. 媒体の処分
    3. 物理的媒体の輸送

A.9 アクセス制御

  1. アクセス制御に対する業務上の要求事項
    1. アクセス制御方針
    2. ネットワーク及びネットワークサービスへのアクセス
  2. 利用者アクセスの管理
    1. 利用者登録及び登録削除
    2. 利用者アクセスの提供(provisioning)
    3. 特権的アクセス権の管理
    4. 利用者の秘密認証情報の管理
    5. 利用者アクセス権のレビュー
    6. アクセス権の削除又は修正
  3. 利用者の責任
    1. 秘密認証情報の利用
  4. システム及びアプリケーションのアクセス制御
    1. 情報へのアクセス制限
    2. セキュリティに配慮したログオン手順
    3. パスワード管理システム
    4. 特権的なユーティリティプログラムの使用
    5. プログラムソースコードへのアクセス制御

A.10 暗号

  1. 暗号による管理策
    1. 暗号による管理策の利用方針
    2. 鍵管理

A.11 物理的及び環境的セキュリティ

  1. セキュリティを保つべき領域
    1. 物理的セキュリティ境界
    2. 物理的入退管理策
    3. オフィス,部屋及び施設のセキュリティ
    4. 外部及び環境の脅威からの保護
    5. セキュリティを保つべき領域での作業
    6. 受渡場所
  2. 装置
    1. 装置の設置及び保護
    2. サポートユーティリティ
    3. ケーブル配線のセキュリティ
    4. 装置の保守
    5. 資産の移動
    6. 構外にある装置及び資産のセキュリティ
    7. 装置のセキュリティを保った処分又は再利用
    8. 無人状態にある利用者装置
    9. クリアデスク・クリアスクリーン方針

A.12 運用のセキュリティ

  1. 運用の手順及び責任
    1. 操作手順書
    2. 変更管理
    3. 容量・能力の管理
    4. 開発環境,試験環境及び運用環境の分離
  2. マルウェアからの保護
    1. マルウェアに対する管理策
  3. バックアップ
    1. 情報のバックアップ
  4. ログ取得及び監視
    1. イベントログ取得
    2. ログ情報の保護
    3. 実務管理者及び運用担当者の作業ログ
    4. クロックの同期
  5. 運用ソフトウェアの管理
    1. 運用システムに関わるソフトウェアの導入
  6. 技術的ぜい弱性管理
    1. 技術的ぜい弱性の管理
    2. ソフトウェアのインストールの制限
  7. 情報システムの監査に対する考慮事項
    1. 情報システムの監査に対する管理策

A.13 通信のセキュリティ

  1. ネットワークセキュリティ管理
    1. ネットワーク管理策
    2. ネットワークサービスのセキュリティ
    3. ネットワークの分離
  2. 情報の転送
    1. 情報転送の方針及び手順
    2. 情報転送に関する合意
    3. 電子的メッセージ通信
    4. 秘密保持契約又は守秘義務契約

A.14 システムの取得,開発及び保守

  1. 情報システムのセキュリティ要求事項
    1. 情報セキュリティ要求事項の分析及び仕様化
    2. 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
    3. アプリケーションサービスのトランザクションの保護
  2. 開発及びサポートプロセスにおけるセキュリティ
    1. セキュリティに配慮した開発のための方針
    2. システムの変更管理手順
    3. オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
    4. パッケージソフトウェアの変更に対する制限
    5. セキュリティに配慮したシステム構築の原則
    6. セキュリティに配慮した開発環境
    7. 外部委託による開発
    8. システムセキュリティの試験
    9. システムの受入れ試験
  3. 試験データ
    1. 試験データの保護

A.15 供給者関係

  1. 供給者関係における情報セキュリティ
    1. 供給者関係のための情報セキュリティの方針
    2. 供給者との合意におけるセキュリティの取扱い
    3. ICTサプライチェーン
  2. 供給者のサービス提供の管理
    1. 供給者のサービス提供の監視及びレビュー
    2. 供給者のサービス提供の変更に対する管理

A.16 情報セキュリティインシデント管理

  1. 情報セキュリティインシデントの管理及びその改善
    1. 責任及び手順
    2. 情報セキュリティ事象の報告
    3. 情報セキュリティ弱点の報告
    4. 情報セキュリティ事象の評価及び決定
    5. 情報セキュリティインシデントへの対応
    6. 情報セキュリティインシデントからの学習
    7. 証拠の収集

A.17 事業継続マネジメントにおける情報セキュリティの側面

  1. 情報セキュリティ継続
    1. 情報セキュリティ継続の計画
    2. 情報セキュリティ継続の実施
    3. 情報セキュリティ継続の検証,レビュー及び評価
  2. 冗長性
    1. 情報処理施設の可用性

A.18 順守

  1. 法的及び契約上の要求事項の順守
    1. 適用法令及び契約上の要求事項の特定
    2. 知的財産権
    3. 記録の保護
    4. プライバシー及び個人を特定できる情報(PII)の保護
    5. 暗号化機能に対する規制
  2. 情報セキュリティのレビュー
    1. 情報セキュリティの独立したレビュー
    2. 情報セキュリティのための方針群及び標準の順守
    3. 技術的順守のレビュー


トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-15 (木) 11:02:59 (95d)