#author("2018-02-15T11:02:59+09:00","","")
RIGHT:[[JIS]]
#br
#br
CENTER:&size(18){''情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項''};
CENTER:&size(18){JIS_Q_27001:2014(ISO/IEC 27001:2013)};
CENTER:&size(18){JIS_Q_27001:2014 & ISO/IEC_27001:2013};
#br
#br
----
LEFT:''目 次''

#contents
----
*Links [#c7c11a34]
----
*情報セキュリティマネジメントシステム(ISMS)−要求事項 [#b9e190c2]
-日本工業規格JIS 27001:2014 (ISO/IEC 27001:2013)
**本文 [#bef01c43]
***1 適用範囲 [#u6a187ac]
***2 引用規格 [#vedf0e8d]
***3 用語及び定義 [#yb3d1c61]
***4 組織の状況 [#n9c900d6]
+組織及びその状況の理解 
+利害関係者のニーズ及び期待の理解
+情報セキュリティマネジメントシステムの適用範囲の決定
+情報セキュリティマネジメントシステム
***5 リーダーシップ [#vf77e26e]
++リーダーシップ及びコミットメント
++方針
++組織の役割,責任及び権限
***6 計画 [#xbc8daea]
++リスク及び機会に対処する活動
+++一般
+++情報セキュリティリスクアセスメント
+++情報セキュリティリスク対応
++情報セキュリティ目的及びそれを達成するための計画策定
***7 支援 [#g9d19a40]
++資源
++力量
++認識
++コミュニケーション
++文書化した情報
+++一般
+++作成及び更新
+++文書化した情報の管理
***8 運用 [#a3bb5549]
++運用の計画及び管理
++情報セキュリティリスクアセスメント
++情報セキュリティリスク対応
***9 パフォーマンス評価 [#b588920b]
++監視,測定,分析及び評価
++内部監査
++マネジメントレビュー
***10 改善 [#nd117b30]
++不適合及び是正処置
++継続的改善
----
**附属書(Annex):規定 [#p17520fe]
***A.5 情報セキュリティのための方針群 [#e01f7a93]
++情報セキュリティのための経営陣の方向性
+++情報セキュリティのための方針群
+++情報セキュリティのための方針群のレビュー
***A.6 情報セキュリティのための組織 [#w1560df7]
++内部組織
+++情報セキュリティの役割及び責任
+++職務の分離
+++関係当局との連絡
+++専門組織との連絡
+++プロジェクトマネジメントにおける情報セキュリティ
++モバイル機器及びテレワーキング
+++モバイル機器の方針
+++テレワーキング
***A.7 人的資源のセキュリティ [#vd4fbf6f]
++雇用前
+++選考
+++雇用条件
++雇用期間中
+++経営陣の責任
+++情報セキュリティの意識向上,教育及び訓練
+++懲戒手続
++雇用の終了及び変更
+++雇用の終了又は変更に関する責任
***A.8 資産の管理 [#f5d4d567]
++資産に対する責任
+++資産目録
+++資産の管理責任
+++資産利用の許容範囲
+++資産の返却
++情報分類
+++情報の分類
+++情報のラベル付け
+++資産の取扱い
++媒体の取扱い
+++取外し可能な媒体の管理
+++媒体の処分
+++物理的媒体の輸送
***A.9 アクセス制御 [#a59469dc]
++アクセス制御に対する業務上の要求事項
+++アクセス制御方針
+++ネットワーク及びネットワークサービスへのアクセス
++利用者アクセスの管理
+++利用者登録及び登録削除
+++利用者アクセスの提供(provisioning)
+++特権的アクセス権の管理
+++利用者の秘密認証情報の管理
+++利用者アクセス権のレビュー
+++アクセス権の削除又は修正
++利用者の責任
+++秘密認証情報の利用
++システム及びアプリケーションのアクセス制御
+++情報へのアクセス制限
+++セキュリティに配慮したログオン手順
+++パスワード管理システム
+++特権的なユーティリティプログラムの使用
+++プログラムソースコードへのアクセス制御
***A.10 暗号 [#o0528818]
++暗号による管理策
+++暗号による管理策の利用方針
+++鍵管理
***A.11 物理的及び環境的セキュリティ [#g45cfb92]
++セキュリティを保つべき領域
+++物理的セキュリティ境界
+++物理的入退管理策
+++オフィス,部屋及び施設のセキュリティ
+++外部及び環境の脅威からの保護
+++セキュリティを保つべき領域での作業
+++受渡場所
++装置
+++装置の設置及び保護
+++サポートユーティリティ
+++ケーブル配線のセキュリティ
+++装置の保守
+++資産の移動
+++構外にある装置及び資産のセキュリティ
+++装置のセキュリティを保った処分又は再利用
+++無人状態にある利用者装置
+++クリアデスク・クリアスクリーン方針
***A.12 運用のセキュリティ [#e256cc8e]
++運用の手順及び責任
+++操作手順書
+++変更管理
+++容量・能力の管理
+++開発環境,試験環境及び運用環境の分離
++マルウェアからの保護
+++マルウェアに対する管理策
++バックアップ
+++情報のバックアップ
++ログ取得及び監視
+++イベントログ取得
+++ログ情報の保護
+++実務管理者及び運用担当者の作業ログ
+++クロックの同期
++運用ソフトウェアの管理
+++運用システムに関わるソフトウェアの導入
++技術的ぜい弱性管理
+++技術的ぜい弱性の管理
+++ソフトウェアのインストールの制限
++情報システムの監査に対する考慮事項
+++情報システムの監査に対する管理策
***A.13 通信のセキュリティ [#pf86ced9]
++ネットワークセキュリティ管理
+++ネットワーク管理策
+++ネットワークサービスのセキュリティ
+++ネットワークの分離
++情報の転送
+++情報転送の方針及び手順
+++情報転送に関する合意
+++電子的メッセージ通信
+++秘密保持契約又は守秘義務契約
***A.14 システムの取得,開発及び保守 [#t4384a23]
++情報システムのセキュリティ要求事項
+++情報セキュリティ要求事項の分析及び仕様化
+++公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
+++アプリケーションサービスのトランザクションの保護
++開発及びサポートプロセスにおけるセキュリティ
+++セキュリティに配慮した開発のための方針
+++システムの変更管理手順
+++オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
+++パッケージソフトウェアの変更に対する制限
+++セキュリティに配慮したシステム構築の原則
+++セキュリティに配慮した開発環境
+++外部委託による開発
+++システムセキュリティの試験
+++システムの受入れ試験
++試験データ
+++試験データの保護
***A.15 供給者関係 [#n4505685]
++供給者関係における情報セキュリティ
+++供給者関係のための情報セキュリティの方針
+++供給者との合意におけるセキュリティの取扱い
+++ICTサプライチェーン
++供給者のサービス提供の管理
+++供給者のサービス提供の監視及びレビュー
+++供給者のサービス提供の変更に対する管理
***A.16 情報セキュリティインシデント管理 [#m026e543]
++情報セキュリティインシデントの管理及びその改善
+++責任及び手順
+++情報セキュリティ事象の報告
+++情報セキュリティ弱点の報告
+++情報セキュリティ事象の評価及び決定
+++情報セキュリティインシデントへの対応
+++情報セキュリティインシデントからの学習
+++証拠の収集
***A.17 事業継続マネジメントにおける情報セキュリティの側面 [#jbefe108]
++情報セキュリティ継続
+++情報セキュリティ継続の計画
+++情報セキュリティ継続の実施
+++情報セキュリティ継続の検証,レビュー及び評価
++冗長性
+++情報処理施設の可用性
***A.18 順守 [#i9f4e6a0]
++法的及び契約上の要求事項の順守
+++適用法令及び契約上の要求事項の特定
+++知的財産権
+++記録の保護
+++プライバシー及び個人を特定できる情報(PII)の保護
+++暗号化機能に対する規制
++情報セキュリティのレビュー
+++情報セキュリティの独立したレビュー
+++情報セキュリティのための方針群及び標準の順守
+++技術的順守のレビュー
----

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS