| A.5.1 |
‣ |
• セキュリティ方針を定義する |
|
| • マネジメント層により承認する |
|
|
|
| • 関連するメンバーに認識させる |
|
|
|
| • 定期的に更新する |
|
|
|
| • 環境変化に合わせて更新する |
ポリシー |
|
|
| A.5.2 |
役割と責任 |
• 役割と責任を定める |
|
| • 役割と責任を割り当てる |
役割分担 |
|
|
| A.5.3 |
職務分離 |
• 職務や責任範囲を分離する |
役割分担 |
| A.5.4 |
マネジメント層の責任 |
• マネジメント層は、方針に沿ったセキュリティ適用を従業員に要求する |
役割分担 |
| A.5.5 |
関係当局との連絡 |
• 必要な行政機関や監督機関を把握する |
|
| • 連絡手段を整備(維持)する |
外部連携 |
|
|
| A.5.6 |
専門組織との連絡 |
• 業界団体、研究会、専門家コミュニティとの連絡体制を確立する |
|
| • 連絡体制を維持する |
外部連携 |
|
|
| A.5.7 |
脅威インテリジェンス |
・脅威情報を収集、分析する |
|
| ・脅威インテリジェンスを構築する |
情報収集 |
|
|
| A.5.8 |
プロジェクトマネジメント |
・プロジェクトでセキュリティを考慮する |
プロジェクトマネジメント |
| A.5.9 |
情報資産の目録 |
・資産を洗い出し目録(管理台帳)を作成する |
|
| ・資産の管理責任者を定める |
|
|
|
| ・管理台帳を維持する |
情報資産 |
|
|
| A.5.10 |
情報資産の利用範囲 |
・情報資産利用のルールを定める(文書化する) |
情報資産 |
| A.5.11 |
資産の返却 |
・退職や契約終了時に資産を回収する |
情報資産 |
| A.5.12 |
情報の分類 |
・情報の重要度を区分する(機密性、完全性、可用性) |
情報資産 |
| A.5.13 |
情報のラベル付け |
・分類に応じたラベル表示を行う(Confidential等) |
情報資産 |
| A.5.14 |
情報転送 |
・情報送信時のルールを定める(社内外、情報の種類ごとに策定) |
情報資産 |
| A.5.15 |
アクセス制御 |
・情報資産へのアクセス管理方針(規則)を定める(物理的、論理的) |
アクセス権 |
| A.5.16 |
識別情報の管理 |
・ID管理の仕組みを整備する(IDのライフサイクルに沿って) |
アクセス権 |
| A.5.17 |
認証情報 |
・本人認証に使う情報(ID、パスワード等)を適切に管理する |
アクセス権 |
| A.5.18 |
アクセス権 |
・権限付与、変更、削除を定めたプロセスで管理する |
|
| (レビューも必要) |
アクセス権 |
|
|
| A.5.19 |
供給者との関係における情報セキュリティ |
・委託先にセキュリティ要求を伝える |
|
| A.5.20 |
供給者との合意における情報セキュリティ |
・契約にセキュリティ要件を含める |
|
| A.5.21 |
ICTサプライチェーン |
・サプライチェーンリスクを考慮する |
|
| A.5.22 |
供給者サービスの監視・レビュー |
・委託先を定期評価する |
|
| A.5.23 |
クラウドサービス利用 |
・クラウド利用時の管理ルールを定める |
|
| A.5.24 |
インシデント管理の計画及び準備 |
・対応体制を整備する |
|
| A.5.25 |
セキュリティ事象の評価及び判断 |
・事象を分析し対応要否を判断する |
|
| A.5.26 |
セキュリティインシデントへの対応 |
・定めた手順で対応する |
|
| A.5.27 |
インシデントからの学習 |
・再発防止に活用する |
|
| A.5.28 |
証拠の収集 |
・証拠を適切に保全する |
|
| A.5.29 |
セキュリティインシデント発生時の事業継続 |
・インシデント発生時も重要業務を継続する |
|
| A.5.30 |
ICTの事業継続への備え |
・システム復旧手段を準備する |
|
| A.5.31 |
法令・規制・契約要求事項 |
・守るべき法令や契約を把握する |
|
| A.5.32 |
知的財産権 |
・著作権やライセンスを遵守する |
|
| A.5.33 |
記録の保護 |
・記録を改ざんや消失から守る |
|
| A.5.34 |
個人情報及びPIIの保護 |
・個人情報を適切に取り扱う |
|
| A.5.35 |
独立したレビュー |
・第三者視点で点検する |
|
| A.5.36 |
方針・規則・標準の順守 |
・ルールの遵守状況を確認する |
|
| A.5.37 |
運用手順書 |
・運用手順を文書化する |
|