これまで、組織内外での情報資産の移動に関する要求事項がありましたが、ここでは情報資産の管理が相手方に移る際の話です。
交換途中やそれに伴って発生するリスクも高いものがあります。
トラックバック:0
コメント:0
テーマ:ISMS
業務の中核となるIT関連の情報の重要性を認識し、管理する事が求められています。
システム文書には仕様書、設計書、ソースコード、システム運用手順書などが考えられます。
トラックバック:0
コメント:0
不正使用や不正開示を防ぐための対策の確立が求められています。
A.10.7.1の大部分がここに含まれると考えて良いでしょう。
また、A.7で取り決められた取り扱いルールの具体的な制御の実施を求められていると考えても良いのではないでしょうか。
少なくともA.7と矛盾が有ってはいけません。
トラックバック:0
コメント:0
誤廃棄や廃棄物からの情報漏えい等、インシデントに原因となり易いのが、資産の廃棄です。
A.9.2.6で装置の処分について対策が要求されていましたが、同様に媒体についてはこちらで要求されています。
トラックバック:0
コメント:0
取り外し可能な媒体としては、紙、CD、USBメモリの他に、携帯電話、音楽携帯等、あらゆる媒体がリスクの要因に成り得るということで、非常にやり難い世の中になってきました。
使用可能な媒体を限定し、業務での使用を制限することから始めないと、対策が大変です。
ここでは、以下の管理策を含めた管理目的に対する対策の実施が要求されています…
トラックバック:0
コメント:0
媒体の種類は問われていません。
但し、管理策の内容から判断すると、基本的には取り外し可能な媒体が対象です。
装置内に内蔵された固定ディスクなどはA.9.2で要求されています。
両者の区別はとるべき管理策の相違でされます。決して商品名ではないことはご承知のとおりです。
(例:外付けディスク=大型の装置も有れば、カードサイ…
トラックバック:0
コメント:0
提供元の社内外を問わず、必要とするサービスレベルを特定し、要求することが求められています。
具体的にはサービスレベルアグリーメント(SLA)による合意などがあります。
トラックバック:0
コメント:0
運用管理者の立場でネットワークの維持が求められています。
最も重要な管理策である、不正アクセス対策はA.11.4で規定されますが、その他にも、完全性・可用性についても考慮する必要が有ることを忘れてはいけません。
トラックバック:0
コメント:0
ネットワーク設計上の対策等の実務的な管理担当者の役割はA.11.4などで述べられます。
ここではシステム全般の運用を管理する者として必要な管理事項について要求されています。
トラックバック:0
コメント:0
定期的な取得と検査が求められています。
バックアップ対象の重要度に合わせて、取得サイクルを決め、実施することです。
従って、バックアップ対象となる資産の洗い出しと重要度の特定が事前に出来ている事が前提です。これは他の管理策とも同様ですね。
そして、単に取得するだけでなく、検査が求められています。
バックアップは復旧(完…
トラックバック:0
コメント:0
バックアップは各管理策でも実施内容として採用されていると思いますが、バックアップに対する考え方がここで明示されています。
目的は完全性と可用性の維持です。この両者の観点でバックアップを実施することが求められています。
トラックバック:0
コメント:0
モバイルコードはWindowsUpdateなどでも一般的に使用されており、悪意のあるものか否かの判断が非常に難しくなっています。
従って、一般的には「信頼のおけるWebサイト以外には接続しない」「セキュリティレベルを高くして無条件にモバイルコードを実行しない」などの対策が取られています。また、最近はウイルス対策ソフトでもある程度の…
トラックバック:0
コメント:0
一般的な対策として、関連する全ての情報処理機器にウイルス対策ソフトを導入し、ウイルス定義データを常に最新の状態にすることとなります。
最近はネットワークからのウイルス感染だけでなく、USBメモリなどの外部媒体での感染も増えています。この場合の対策として、「事前に検疫用のシステムで評価した上で、利用する情報処理機器に接続する」「オー…
トラックバック:1
コメント:0
広義でのウイルス対策です。広義でというのは、ウイルスの用語定義などが問題ではなく、システムに悪影響を与えるものに対する対策が真の目的だということです。技術の進歩や環境の変化によって、その名称や形態が変わりますが、それに左右されずに考えて頂きたいと思います。
管理目的は「悪意のあるコード」に対するものと、「モバイルコード」に対するも…
トラックバック:0
コメント:0
システム開発担当者が品質保証の目的で最終的なシステム評価をやるのは、当たり前ですが、ここでは、運用管理担当者もシステムを運用環境で動作させる前に、評価をしなさいと求められています。
但し、評価作業そのものを運用管理担当者にしろとは言っていません。受入れ基準を設けて、それに沿った評価を実施することが重要です。評価作業そのものは開発担…
トラックバック:0
コメント:0
システム能力の監視・調整だけではなく、予測して予防処置を行うことを求めています。
つまり、単に、問題が発生したら迅速に対応できる仕組みを用意するだけではなく、事前に問題を予測できる仕組みが要求されています。
監視して、分析して、予防処置を行うプロセスを適切に実施できる仕組みを整えることが必要です。
システム能力については、…
トラックバック:0
コメント:0
目的は「システム故障のリスクを最小限に抑えるため」と、なっていますが、ここで求められる管理策で十分という訳ではありません。他の管理策での要求事項では不足する点がここに書かれていると考えた方が良いでしょう。
「計画作成」もどちらかと云えば、旧規格の「容量・能力計画」の感が強いようです。
トラックバック:0
コメント:0
サービス内容が変更される場合は、そのサービスそのものだけでなく、関わりの有る業務やシステム全般についてもリスクアセスメントを実施し、対策を施すことが必要になります。
口で言うのは簡単ですが、アセスメントの漏れを防ぐには、取りまとめ役(いわゆるISMS事務局)の方が業務を理解し、漏れがありそうな部分に関して、適切な疑問を業務担当者へ…
トラックバック:0
コメント:0
前述のA.10.2.1の中でも重要なのが、監視及びレビューということで、管理策として要求されています。
そのやり方は外部監査という方法も有りますし、定期的な作業報告会の実施から契約更新毎の作業報告書の確認程度で済ませるレベルまで、リスクに応じてやり方も異なります。ポイントはリスクアセスメントを行ってその結果必要と判断した監視及びレ…
トラックバック:0
コメント:0
お互いに合意したサービス内容を維持する為の対策を実施しなさいと要求しています。管理目的全般に対する管理策となります。
一般的にはSLA(サービスレベルアグリーメント)を締結して、その内容が守られているかを定期的に監視及びレビューすることです。
その実施レベルはリスクの程度によって異なるため、まず提供を受けている第三者サービスに…
トラックバック:0
コメント:0
アウトソーシング等の外部サービスを利用することが一般的となっている状況において、利便性の追求だけではなく、そのリスクを認識して、事前に対応策をとっておくが重要になっています。
トラックバック:0
コメント:0
前述のA.10.1.3が人の話であれば、こちらは物理的な環境の話です。
開発や試験中のシステムはインシデントが発生する確率が高いため、運用システムに影響を与えない環境を用意しなさいと、いうことです。
要求事項では「施設」と明記されていますが、サーバを分ける等の物理的環境の分離と解釈されています。
最近では仮想OS等による分…
トラックバック:0
コメント:0
不正や誤操作などによるインシデントの発生を防ぐために、特定の人間等に権限が集中しないように職務を分割しなさいということです。
例えば、最終的にデータを更新する前に必ず責任者による承認を要する仕組みにしたり、開発者の作成したプログラムは、運用担当者でないと運用システムで稼動させられない、といったことが考えられます。
特に特権権限…
トラックバック:1
コメント:0
情報処理設備やシステムの変更管理についての要求です。
具体的な対策のひとつとして、前述の操作手順書の作成なども含まれます。このように、ひとつの対策が見る観点によって複数の管理策に関わるのもこの附属書Aの特徴であることには常に留意する必要があります。
システムの変更管理といっても、開発・保守の立場での管理は後述のA.12.5.1…
トラックバック:0
コメント:0
この管理策だけを読んで、業務プログラムの操作手順書なども含むと勘違いされている方が時々いらっしゃいますが、管理目的から合わせて読んで頂けば分かるように、運用上必要と考えられる操作手順書が対象です。例えば、障害発生時の復旧手順書やバックアップ手順書などが考えられます。
管理策では文書化、維持だけでなく、可用性も要求されていることに注…
トラックバック:0
コメント:0
情報処理設備の正確かつセキュリティを保った運用を確実するために必要な管理体制及び手順の策定が求められています。対象は全ての情報処理設備ではなく、あくまでもリスクアセスメントの結果等で対策が必要と判断した重要な設備であることに留意して下さい。
EAP導入の手順と運用楽天ブックス商品副データ図解版市川佳居/イープかんき出版この著者の新…
トラックバック:0
コメント:0
ここでは、通信の管理と、システムやネットワークなどの運用管理に関する管理目的及び管理策について要求されています。
通信の管理については、具体的な管理策はA.11.4ネットワークのアクセス制御で要求されており、ここでは運用担当者としての責務やネットワークサービスについての要求が主となります。
また、運用管理の範囲は広く、他の箇条…
トラックバック:0
コメント:0
ここでは、移動方法に対する対策ではなく、資産を構外に持出す際の認可手続きの実施が要求されています。
移動中の管理策としては、前述のA.9.2.5構外にある装置のセキュリティ、後述のA.11.7.1モバイルのコンピューティング及び通信、などが対応します。
持ち出し対象や持ち出し権限を持つ者を特定し、不正や誤処理による持ち出しを防…
トラックバック:0
コメント:0
装置を処分、再利用する際には、装置内のデータやソフトを完全に削除することが求められます。
もっとも確実なのは、ハンマーなどで物理的に破壊することですが、再利用等でそれが不可能な場合は完全消去ソフトによる消去となります。但し、「完全消去」といいつつも、磁性体が残っている場合が多く、そこにサルベージ会社が存在する意義にもなっている訳で…
トラックバック:0
コメント:0
主にモバイルや在宅勤務などが考えられる、適用範囲外(ISMSのコントロール外)での装置の使用はリスクも高く、また通常考えられる以外の環境で使用されることになるので、使用前の十分なリスクアセスメントと対策の実施が必要になります。
リスクとしては、覗き見、塵芥・高温湿度、盗難、置き忘れ、紛失などが考えられます。
トラックバック:0
コメント:0