情報セキュリティ規格解釈


いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの小嶋です。

前回はISO27001情報セキュリティマネジメントシステムの附属書A附属書の8・10・11について

書かせていただきました。

今回は12を書いていきたいと思います。

・附属書A.12 「運用のセキュリティ」について
情報セキュリティを維持するために、守るべき情報資産をどうやって守っていくかについて

記載をしております。

「A.12.1.1」に関しての管理策について

手順は文書化【書類でもデータ化した文書でも構わない】して業務に関わる全員に対して

利用が可能となる内容にしなければならない。

「A.12.1.2 変更管理」

管理される情報資産において情報セキュリティ設定の変更が生じた場合は適切に管理

しなければならない。

「A.12.1.3 容量・能力の管理」

例えば、現状会社としての守らないといけないデータが10GBとして今度も

増えるとしたら増えた分の容量も確保した上で情報資産を守らなければなりません。

「A12.1.4 開発環境、試験環境及び運用環境の分離」

開発環境と設計環境がある会社は、セキュリティ上、リスク低減のため、アクセスできる

範囲を分離しなければならない。

A12.2 マルウェアからの保護

「A12.2.1 マルウェアに対する管理策」

マルウェア【ウィルスソフト】から保護するために利用者に適切に認識【ウィルスソフトの危険性等の解説等】させることに併せて、検出、予防及び回復するための管理策を実施しなければならない。

A12.3 バックアップ

「A12.3.1 情報のバックアップ」

会社で決めた方法で情報のバックアップを取る

A12.4 ログ取得及び監視

「A12.4.1 イベントログ取得」

従業員が業務の中でアクセスする情報の中で情報資産にアクセスする場合は、そのログを

取得、記録し管理しなければならない。

「A12.4.2 ログ情報の保護」

ログを取得するときは、ログの記録が不正に改ざんされないように保護をする必要がある。

「A12.4.3 実務管理者および運用担当者の作業ログ」

システム管理者の作業はログを取得する。

「A12.4.4 クロックの管理」

情報セキュリティで管理する時計は全て同一参照の時間でなければならない。

例:Aのバックアップサーバ 時刻:10:31

  なら

  Bのバックアップサーバ 時刻:10:31

  にしなければならない。

A12.5 運用ソフトウェアの管理

「A12.5.1 運用ソフトウェアに関するソフトウェアの導入」

情報セキュリティに関わるソフトウェア導入を管理するための手順を実施しなければならない。

A12.6 技術体に脆弱性管理

「A12.6.1 技術的脆弱性の管理」

情報システムにおいての脆弱性については、常日頃から把握しなければならない。

また、把握した脆弱性については、リスクを低減するために対策をとらなければならない。

A12.7 情報システムの監査に対する考慮事項

「A12.7.1 情報システムの監査に対する管理策」

運用システム監査は、事前に計画し、実施をしなければならない。

12だけでこのように管理策を設定しなければならないという事が

分かりますね!

ただ、これらの情報セキュリティにおける管理策は、会社によって

何がリスクで何を守らなければならないか違うので、当然結果としての正解も違ってきます。

しかし、だからと言ってガチガチに情報資産を守るために超高額な情報セキュリティシステムを

入れてくださいいう事までは求めていないのでそこは、過敏に反応せずに出来る範囲の中で

出来るだけ最善の道を選んでいただくのがある種の正解ともいえます。

これから情報セキュリティのISOを取ろうとしている会社様に関しては、

内容を検討して頂いてから実施をしていきましょう!

もし、その中で何か分らないことなどありましたら

僕たちISO総合研究所が全力でサポートしていきます!

お気軽に問い合わせくださいませ!

定期的に附属書Aについて解説をしていきたいと思うのでよろしければご覧ください。

メールアドレス