# A.5.x

組織対策に関する管理策です。

管理策No 管理策 概要 備考
A.5.1 • セキュリティ方針を定義する
• マネジメント層により承認する
• 関連するメンバーに認識させる
• 定期的に更新する
• 環境変化に合わせて更新する ポリシー
A.5.2 役割と責任 • 役割と責任を定める
• 役割と責任を割り当てる 役割分担
A.5.3 職務分離 • 職務や責任範囲を分離する 役割分担
A.5.4 マネジメント層の責任 • マネジメント層は、方針に沿ったセキュリティ適用を従業員に要求する 役割分担
A.5.5 関係当局との連絡 • 必要な行政機関や監督機関を把握する
• 連絡手段を整備(維持)する 外部連携
A.5.6 専門組織との連絡 • 業界団体、研究会、専門家コミュニティとの連絡体制を確立する
• 連絡体制を維持する 外部連携
A.5.7 脅威インテリジェンス ・脅威情報を収集、分析する
・脅威インテリジェンスを構築する 情報収集
A.5.8 プロジェクトマネジメント ・プロジェクトでセキュリティを考慮する プロジェクトマネジメント
A.5.9 情報資産の目録 ・資産を洗い出し目録(管理台帳)を作成する
・資産の管理責任者を定める
・管理台帳を維持する 情報資産
A.5.10 情報資産の利用範囲 ・情報資産利用のルールを定める(文書化する) 情報資産
A.5.11 資産の返却 ・退職や契約終了時に資産を回収する 情報資産
A.5.12 情報の分類 ・情報の重要度を区分する(機密性、完全性、可用性) 情報資産
A.5.13 情報のラベル付け ・分類に応じたラベル表示を行う(Confidential等) 情報資産
A.5.14 情報転送 ・情報送信時のルールを定める(社内外、情報の種類ごとに策定) 情報資産
A.5.15 アクセス制御 ・情報資産へのアクセス管理方針(規則)を定める(物理的、論理的) アクセス権
A.5.16 識別情報の管理 ・ID管理の仕組みを整備する(IDのライフサイクルに沿って) アクセス権
A.5.17 認証情報 ・本人認証に使う情報(ID、パスワード等)を適切に管理する アクセス権
A.5.18 アクセス権 ・権限付与、変更、削除を定めたプロセスで管理する
(レビューも必要) アクセス権
A.5.19 供給者との関係における情報セキュリティ ・委託先にセキュリティ要求を伝える
A.5.20 供給者との合意における情報セキュリティ ・契約にセキュリティ要件を含める
A.5.21 ICTサプライチェーン ・サプライチェーンリスクを考慮する
A.5.22 供給者サービスの監視・レビュー ・委託先を定期評価する
A.5.23 クラウドサービス利用 ・クラウド利用時の管理ルールを定める
A.5.24 インシデント管理の計画及び準備 ・対応体制を整備する
A.5.25 セキュリティ事象の評価及び判断 ・事象を分析し対応要否を判断する
A.5.26 セキュリティインシデントへの対応 ・定めた手順で対応する
A.5.27 インシデントからの学習 ・再発防止に活用する
A.5.28 証拠の収集 ・証拠を適切に保全する
A.5.29 セキュリティインシデント発生時の事業継続 ・インシデント発生時も重要業務を継続する
A.5.30 ICTの事業継続への備え ・システム復旧手段を準備する
A.5.31 法令・規制・契約要求事項 ・守るべき法令や契約を把握する
A.5.32 知的財産権 ・著作権やライセンスを遵守する
A.5.33 記録の保護 ・記録を改ざんや消失から守る
A.5.34 個人情報及びPIIの保護 ・個人情報を適切に取り扱う
A.5.35 独立したレビュー ・第三者視点で点検する
A.5.36 方針・規則・標準の順守 ・ルールの遵守状況を確認する
A.5.37 運用手順書 ・運用手順を文書化する

# A.6.x

管理策No 管理策 概要 備考
A.6.1 採用前の確認 ・採用前に必要な確認を行う
A.6.2 雇用条件 ・セキュリティ上の責任を雇用条件に含める
A.6.3 セキュリティの意識向上・教育・訓練 ・教育を実施する
A.6.4 懲戒手続 ・違反時の手続きを定める
A.6.5 離職又は異動後の責任 ・退職・異動後の権限や責任を整理する
A.6.6 守秘義務契約 ・秘密保持義務を明確にする
A.6.7 リモートワーク ・在宅勤務時のルールを定める リモートワーク
A.6.8 セキュリティ事象の報告 ・問題発見時の報告手順を定める

# A.7.x

管理策No 管理策 概要 備考
A.7.1 物理的セキュリティ境界 ・保護区域を定める
A.7.2 物理的入退管理 ・立入りを管理する
A.7.3 オフィス・部屋・設備の保護 ・施設を適切に保護する
A.7.4 物理的セキュリティ監視 ・監視カメラ等で監視する
A.7.5 物理的及び環境的脅威からの保護 ・火災や災害への対策を行う
A.7.6 セキュリティ区域での作業 ・重要区域での作業ルールを定める
A.7.7 クリアデスク・クリアスクリーン ・机上や画面に情報を放置しない
A.7.8 機器の設置及び保護 ・機器を適切な場所に配置する
A.7.9 オフサイト資産のセキュリティ ・持出機器を保護する
A.7.10 記憶媒体 ・媒体の利用や廃棄を管理する
A.7.11 支援設備 ・電源や空調などを保護する
A.7.12 配線のセキュリティ ・通信線や電源線を保護する
A.7.13 機器保守 ・安全に保守を実施する
A.7.14 機器の安全な処分又は再利用 ・データを消去して廃棄する

# A.8.x

管理策No 管理策 概要 備考
A.8.1 利用者端末 ・PCやスマホを保護する
A.8.2 特権的アクセス権 ・管理者権限を厳格に管理する
A.8.3 情報アクセス制限 ・必要最小限のアクセスにする
A.8.4 ソースコードへのアクセス ・ソースコードを保護する
A.8.5 セキュア認証 ・強固な認証を利用する
A.8.6 容量管理 ・性能や容量不足を防ぐ
A.8.7 マルウェア対策 ・悪意あるソフトを防ぐ
A.8.8 技術的脆弱性管理 ・脆弱性を把握し対応する
A.8.9 構成管理 ・設定を管理する
A.8.10 情報の削除 ・不要な情報を安全に削除する
A.8.11 データマスキング ・必要に応じて情報を秘匿化する
A.8.12 情報漏えい防止 ・データ流出を防ぐ
A.8.13 情報のバックアップ ・復旧できるよう保管する
A.8.14 情報処理設備の冗長化 ・障害時に継続利用できるようにする
A.8.15 ログ取得 ・操作履歴を記録する
A.8.16 監視活動 ・異常を監視する
A.8.17 時刻同期 ・システム時刻を合わせる
A.8.18 特権ユーティリティプログラム ・管理用ツールを制御する
A.8.19 ソフトウェアの導入管理 ・本番環境への導入を管理する
A.8.20 ネットワークセキュリティ ・ネットワークを保護する
A.8.21 ネットワークサービスのセキュリティ ・ネットワークサービスを安全に利用する
A.8.22 ネットワークの分離 ・ネットワークを適切に分割する
A.8.23 Webフィルタリング ・危険サイトへの接続を制御する
A.8.24 暗号利用 ・暗号化ルールを定める

以上