ステップアップ式 情報セキュリティ対策ガイドライン

ステップアップしながら情報セキュリティ対策を推進し、ISMS認証基準のレベルを目指します。

現在、下に表示されている項目がISMS認証基準で要求されている管理策の一覧です。量が多く、分かりずらいと思います。
まずは、下記の[ステップ３]→[ステップ０]に変更して、[抽出]ボタンを クリックしてみてください。
ここで表示されたリンクのある項目（青い行）が、最初のステップで実施すべき、情報セキュリティ対策です!!。

ステップ抽出

設定したステップ番号の情報セキュリティ対策のみを抽出します。(別ウィンドウで表示)

ステップ０ ステップ１ ステップ２ ステップ３

以下 同じ 以上

文章表示（１行のみ）

目 的 行

ご利用の前に

　この「ステップアップ式 情報セキュリティ対策ガイドライン」は、下記資料を利用して作成しました。

　・ISMS認証基準Ver2.0
　・JIS X 5080:2002 情報セキュリティマネジメントガイド（中尾 康二 他著／日本規格協会 出版）

　本ガイドラインは、重要なセキュリティ対策からステップを踏んで実施していき、最終I的にはISMS認証基準に近づくように進めていくものです。

　第3項からが、具体的なセキュリティ対策リストになっています。項目の頭についている番号はISMS認証基準に準じており、その番号の後に付く_(アンダーバー)以後、2桁の数値がステップ番号です。
　このステップ番号が00のものから、順次、10、20、30を実施していきます。（30はISMS認証基準そのものになっています）

　ステップ番号を抜き出して表示するプログラムを組み込見ました。
　　（上記のフォームをチェックし、[再表示]ボタンを押してください。別画面で一覧表が表示されます。）

詳細は、２．利用方法 をご覧ください。

ステップアップ式 情報セキュリティ対策ガイドライン 一覧

• 01.はじめに
•   1.1 はじめに

  　最近、個人情報保護法の制定や、情報漏洩問題、コンピュータウイルスの蔓延、コンプライアンスの観点など...
•   1.2 情報セキュリティ対策とは

   JIS X 5080では、情報セキュリティの３要素を下記のように定義しています。 　・機密性：アク...
•   1.3 情報セキュリティ管理システムとは

   情報セキュリティ対策を行なう上で、何をどの様に計画して実施するか。また、これらの対策が有効に機能し...
•   1.4 ステップアップ式 情報セキュリティ対策の考え方

  　1.3で述べたPDCAサイクルについて、中小企業などでは下記のようなことが問題になります。 ・あま...
•   1.5 （参考）公的な情報セキュリティ基準およびガイドラインの調査

  　一般的に企業が情報セキュリティ対策を推進するに当たり、何らかのガイドラインや基準に即して推進するこ...
• 02.利用方法
•   2.1 概要

  　ステップアップ式 情報セキュリティ対策の利用方法を図示すると、下記のようになります。 　以下で、説...
•   2.2 利用方法

  　下記のような手順で利用いただくことを想定しています。 1.情報セキュリティ責任者の選定 　まず、情...
•   2.3 参照する書籍

  　対策リストの参考項目として、書籍を参照する説明があります。これらの書籍は下記となります。 　・書籍...
•   2.4 （参考）本ガイドラインの利用を想定している企業と利用者

  本ガイドラインは、下記のような中小企業を想定して作成しました。しかし、会社の規模に関わらず、現状あま...
•   2.5 （参考）ステップ番号の基準

  　1.概念となる基準 　概念的な基準として、COBIT（Control Objectives for...
• 03.情報セキュリティ基本方針
• 3.1.情報セキュリティ基本方針
•   3.1_** 目的

  　情報セキュリティのための経営陣の指針及び支持を規定するため。...
•   3.1.1_00 情報セキュリティ対策の計画と実施の宣言

  　情報セキュリティに関する基本方針を作成し、経営者の承認により全社員に公表する。 　情報セキュリティ...
•   3.1.1_30 情報セキュリティ基本方針文書

  　基本方針文書は、経営陣によって承認され、適当な手段で、全従業員に公表し、通知すること。 　本ステッ...
•   3.1.2_00 基本方針およびセキュリティ対策全体のチェックと見直し

  　基本方針（ステップ別情報セキュリティ対策を含む）は、定期的に状況を確認し、見直すこと。 　情報セキ...
•   3.1.2_30 見直し及び評価

  　基本方針は、依然として適切であることを確実にするために、定期的に、また影響を及ぼす変化があった場合...
• 04.組織のセキュリティ
• 4.1.情報セキュリティ基盤
•   4.1_** 目的

  組織内の情報セキュリティを管理するため。...
•   4.1.1_00 セキュリティ管理者の任命

  　経営者が情報セキュリティの管理責任者を任命し、管理責任者は自社のセキュリティ対策全般を管理し、責任...
•   4.1.1_10 セキュリティ運営チームの設置

  　セキュリティに関する対策の実施やチェックなどを行う運営チームを結成し、組織的に運営管理する。 　セ...
•   4.1.1_30 情報セキュリティ運営委員会

  　セキュリティを主導するための明りょうな方向付け及び経営陣による目に見える形での支持を確実にするため...
• 4.2.第三者によるアクセスのセキュリティ
•   4.1.2_30 情報セキュリティの調整

  　大きな組織では、情報セキュリティの管理策の実施を調整するために、組織の関連部門からの管理者の代表を...
• 4.3.外部委託
•   4.1.3_30 情報セキュリティ責任の割当て

  　個々の資産の保護に対する責任及び特定のセキュリティ手続の実施に対する責任を、明確に定めること。 　...
• 05.資産の分類および管理
• 5.1.資産に対する責任
•   5.1_** 目的

  　組織の資産の適切な保護を維持するため。...
•   5.1.1_10 資産目録の作成

  　会社の情報・ソフト・ハード・サービス資産について、これらを把握し、分類を行い、資産目録を作成する。...
•   5.1.1_30 資産目録

  　情報システムそれぞれに関連づけてすべての重要な資産について目録を作成し、維持すること。 　資産目録...
• 5.2.情報の分類
•   5.2_** 目的

  　情報資産の適切なレベルでの保護を確実にするため...
•   5.2.1_30 分類の指針

  　情報の分類及び関連する保護管理策では、情報を共有又は制限する業務上の必要、及びこのような必要から起...
•   5.2.2_20 重要な情報の取扱い手順

  　重要な情報資産について、その取扱い（複製、保存、破棄時など）の手順を定める。 　情報資産を取り扱う...
•   5.2.2_30 情報のラベル付け及び取扱い

  　組織が採用した分類体系に従って情報のラベル付け及び取扱いをするための、一連の手順を定めること。 　...
• 06.人的セキュリティ
• 6.1.職務定義及び雇用におけるセキュリティ
•   6.1_** 目的

  　人による誤り、盗難、不正行為、又は設備の誤用のリスクを軽減するため。...
•   6.1.1_30 セキュリティを職責に含めること

  　セキュリティの役割及び責任は、組織の情報セキュリティ基本方針で定められたとおりに、職務定義のなかに...
•   6.1.2_20 社員採用時の審査

  　常勤の社員を採用するときには、セキュリティの観点も選定要素に入れる。 　セキュリティ上のリスクは、...
•   6.1.2_30 要員審査及びその個別方針

  　常勤職員、請負業者及び臨時職員を採用するときは、提出された応募資料の内容を検査すること。 　社員を...
•   6.1.3_10 社員に対する機密保持契約

  　社員に対して、情報資産の漏洩を防ぐための機密保持契約書に署名を求める。 　社内の人員に対して、セキ...
•   6.1.3_30 機密保持契約

  　従業員は、入社時の雇用条件の一部として、機密保持契約書に署名すること。 　前のステップで、正式な機...
•   6.1.4_20 社員に対する雇用契約

  　社員に対する雇用契約に、情報セキュリティ等に対する規定の遵守を盛り込む。 　社員に対して機密保持契...
•   6.1.4_30 雇用条件

  　雇用条件には、情報セキュリティに対する従業員の責任について記述してあること。 　前ステップで、雇用...
• 6.2.利用者の訓練
•   6.2_** 目的

  　情報セキュリティの脅威及び懸念に対する利用者の認識を確実なものとし、通常の仕事の中で利用者が組織の...
•   6.2.1_00 セキュリティ教育の実施（動議付け）

  　全社員に対して、情報セキュリティの重要性について教育する。 　セキュリティに関する教育は非常に重要...
•   6.2.1_10 セキュリティ教育の実施（セキュリティ対策について）

  　全社員に対して、情報セキュリティに関する対策や社内規定等について教育する。 　会社で実施している情...
•   6.2.1_30 情報セキュリティの教育及び訓練

  　組織の基本方針及び手順について、組織のすべての従業員及び関係するならば外部利用者を適切に教育するこ...
• 6.3.セキュリティ事件・事故及び誤動作への対処
•   6.3_** 目的

  　セキュリティ事件・事故及び誤動作による損害を最小限に抑えるため、並びにそのような事件・事故を監視し...
•   6.3.1_00 セキュリティ事件・事故の報告

  　セキュリティに関する事故や事件が確認された場合は、セキュリティ管理者に報告する。 　セキュリティに...
•   6.3.1_30 セキュリティ事件・事故の報告

  　セキュリティ事件・事故は、適切な連絡経路をとおして、できるだけ速やかに報告すること。 　セキュリテ...
•   6.3.2_10 セキュリティ弱点・脅威の報告

  　セキュリティに関する弱点や脅威などが確認された場合には、セキュリティ管理者や運営チームのメンバーに...
•   6.3.2_30 セキュリティの弱点の報告

  　システム若しくはサービスのセキュリティの弱点、又はそれらへの脅威に気づいた場合若しくは疑いをもった...
•   6.3.3_30 ソフトウェアの誤動作の報告

  　ソフトウェア誤動作を報告する手順を確立すること。 　ソフトウェアの誤動作は、セキュリティの事件・事...
•   6.3.4_20 事故・事件からの学習

  　事件・事故を記録し、その種類や規模、頻度などを把握し、今後の対策に役立てる。 　セキュリティに関す...
•   6.3.4_30 事件・事故からの学習

  　事件・事故及び誤動作の種類、規模並びに費用の定量化及び監視を可能とする仕組みを備えていること。 　...
•   6.3.5_20 違反時の罰則

  　情報セキュリティ基本方針や規定に違反した社員に対して、罰則を行なう手続きを定める。 　情報セキュリ...
•   6.3.5_30 懲戒手続

  　従業員による組織のセキュリティ基本方針及び手順への違反は、正式な懲戒手続によって処理すること。 　...
• 07.物理的及び環境的セキュリティ
• 7.1.セキュリティが保たれた領域
•   7.1_** 目的

  　業務施設及び業務情報に対する認可されていない物理的なアクセス、損傷及び妨害を防止するため。...
•   7.1.1_10 セキュリティ上安全な領域の設定

  　セキュリティレベルの高い物理的エリアを作り、社内にある情報処理設備などをまとめて格納する。 　情報...
•   7.1.1_30 物理的セキュリティ境界

  　組織は、情報処理設備を含む領域を保護するために、幾つかのセキュリティ境界を利用すること。 　セキュ...
•   7.1.2_20 物理的入退出管理

  　情報資産を扱うエリアに対して、許可されたもの以外の入出を制限するよう、入退出を管理する。 　入退出...
•   7.1.2_30 物理的入退管理策

  　認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によってセキュリティの保た...
•   7.1.3_30 オフィス、部屋及び施設のセキュリティ

  　特別なセキュリティ要求事項のあるオフィス、部屋及び施設を保護するために、セキュリティの保たれた領域...
•   7.1.4_30 セキュリティが保たれた領域での作業

  　セキュリティが保たれた領域のセキュリティを強化するために、その領域での作業のための管理策及び指針を...
•   7.1.5_30 受渡し場所の隔離

  　品物を受渡しする場所について管理し、可能ならば、認可されていないアクセスを回避するために、情報処理...
• 7.2.装置のセキュリティ
•   7.2_** 目的

  　資産の損失、損傷又は劣化、及び業務活動に対する妨害を防止するため。...
•   7.2.1_10 セキュリティを考慮した装置の設置

  　重要な情報処理装置は、盗難や事故などの危険性を軽減するように設置する。 　重要な情報処理装置は、盗...
•   7.2.1_30 装置の設置及び保護

  　装置は、環境上の脅威及び危険からのリスク並びに認可されていないアクセスの可能性を軽減するように設置...
•   7.2.2_10 電源のバックアップ

  　重要な情報処理装置は、無停電源装置などを導入し、電源異常から保護する。 　重要な情報処理装置（サー...
•   7.2.2_30 電源

  　装置は、停電、その他の電源異常から保護すること。 　長時間の停電の場合でも処理を継続する必要がある...
•   7.2.3_20 ケーブル配線の保護

  　通信ケーブルや電源ケーブルなどの配線は、傍受や損傷から保護する。 　通信ケーブルや電源ケーブルの設...
•   7.2.3_30 ケーブル配線のセキュリティ

  　データ伝送又は情報サービスに使用する電源ケーブル及び通信ケーブルの配線は、傍受又は損傷から保護する...
•   7.2.4_30 装置の保守

  　装置についての継続的な可用性及び完全性の維持を可能とするために、装置を正しく保守すること。 　装置...
•   7.2.5_20 装置の社外利用での管理

  　社外で情報資産を扱う装置を利用するとき、その利用規定などを定める。 　社外で会社のモバイルＰＣや機...
•   7.2.5_30 事業敷地外における装置のセキュリティ

  　組織の敷地外で情報処理のために装置を使用するいかなる場合も、管理者による認可を要求すること。 　装...
•   7.2.6_10 装置の処分時の対策

  　重要な情報資産を扱う装置（PCのHDDなど）を廃棄するときは、情報を完全に消去してから廃棄する。 ...
•   7.2.6_30 装置の安全な処分又は再使用

  　装置を処分又は再使用する前に、情報を装置から消去すること。 　前ステップで解説済み...
• 7.3.その他の管理策
•   7.3_** 目的

  　情報及び情報処理設備の損傷又は盗難を防止するため。...
•   7.3.1_20 クリアデスク及びクリアスクリーン

  　机の上や、PCの画面上に重要な情報を出したままにしないように、管理、整理する。 　机の上などに情報...
•   7.3.1_30 クリアデスク及びクリアスクリーンの個別方針

  　組織は、情報への認可されていないアクセス、情報の消失及び損傷のリスクを軽減するための、クリアデスク...
•   7.3.2_10 資産の持ち出し時の許可

  　情報資産やこれを扱う装置、ソフトウエアなどを持ち出すときは管理者に許可を得る。 　重要な情報資産や...
•   7.3.2_30 資産の移動

  　組織に属する装置、情報又はソフトウェアは、管理者による認可なしでもち出しできないこと。 　前ステッ...
• 08.通信及び運用管理
• 8.1.運用手順及び責任
•   8.1_** 目的

  　情報処理設備の正確、かつ、セキュリティを保った運用を確実にするため。...
•   8.1.1_10 情報処理設備、情報システムの管理者の設置

  　情報処理設備や情報システムには管理者を設置し、管理者がセキュリティ管理者を連絡を取り、問題に対処す...
•   8.1.1_30 操作手順書

  　セキュリティ個別方針によって明確化した操作手順は、文書化して維持すること。 　情報処理設備やシステ...
•   8.1.2_30 設備・システムの運用変更管理

  　情報処理設備及びシステムの変更を管理する 　情報処理設備やシステムの運用管理を行なう上で、これらの...
•   8.1.3_10 セキュリティ事件・事故管理手順

  　セキュリティ事件・事故それぞれの事象について、その対処の手順を確立する 　セキュリティの事件・事故...
•   8.1.3_30 事件・事故管理手順

  　セキュリティ事件・事故に対して、迅速、効果的、かつ、整然とした対処を確実に行うために、および監査証...
•   8.1.4_20 セキュリティ管理者とセキュリティ監査人の分離

  　不正防止のために、管理する者はなるべく実行者にならないように、職務を分離する 　実施者とこれを管理...
•   8.1.4_30 職務の分離

  　情報若しくはサービスの無許可の変更又は誤用の可能性を小さくするために、職務及び責任領域を分離するこ...
•   8.1.5_30 開発施設及び運用施設との分離

  　開発施設及び試験施設は、運用施設から分離すること。ソフトウェアの開発から運用の段階への移行について...
•   8.1.6_30 外部委託による施設管理

  　外部委託による施設管理サービスを利用する前に、そのリスクを識別し、適切な管理策を請負業者の同意を得...
• 8.2.システムの計画作成及び受入れ
•   8.2_** 目的

  　システム故障のリスクを最小限に抑えるため。...
•   8.2.1_20 設備・システムの容量・能力の監視と計画

  　情報処理設備及びシステムについて、容量・能力の需要を監視して、将来必要とされる容量・能力を予測する...
•   8.2.1_30 容量・能力の計画作成

  　十分な処理能力及び記憶容量の利用を可能にするために、容量・能力の需要を監視し、将来必要とされる容量...
•   8.2.2_20 システムの受入れ管理

  　新しい情報システム、改訂版及び更新版の受入れ前に適切な試験を実施し、問題が無ければ正式に導入する。...
•   8.2.2_30 システムの受入れ

  　新しい情報システム、改訂版及び更新版の受入れ基準を確立し、その受入れ前に適切な試験を実施すること。...
• 8.3.悪意のあるソフトウェアからの保護
•   8.3_** 目的

  　ソフトウェア及び情報の完全性を、悪意のあるソフトウェアによる被害から保護するため。...
•   8.3.1_00 ウイルス対策ソフトの導入

  　ウイルス対策ソフトをインストールし、常に最新の定義ファイルに定期的に更新するように設定する。 　メ...
•   8.3.1_10 悪意のあるソフトウエアに対する管理策（PCの個人管理策）

  　悪意のあるソフトウエアから保護するための検出及び防止の管理策を導入する 　ウイルス対策ソフトの導入...
•   8.3.1_30 悪意のあるソフトウェアに対する管理策

  　悪意のあるソフトウェアから保護するための検出及び防止の管理策、並びに利用者に適切に認知させるための...
• 8.4.システムの維持管理
•   8.4_** 目的

  　情報処理及び通信サービスの完全性及び可用性を維持するため。...
•   8.4.1_00 バックアップの実施

  　重要な情報資産は、バックアップを取る施策を設定し、定期的に実施する 　重要な情報資産であるデータフ...
•   8.4.1_10 バックアップの管理策

  　情報資産に対するバックアップの管理策（手順書作成やバックアップ媒体の管理など）を設定し、実施する ...
•   8.4.1_30 情報のバックアップ

  　極めて重要な業務情報及びソフトウェアのバックアップは、定期的に取得し、かつ検査すること 　JISで...
•   8.4.2_10 システム運用の記録

  　システム運用担当者は、運用作業の記録をとる 　定期的なシステムの検査（PCやサーバ、ネットワークの...
•   8.4.2_30 運用の記録

  　運用担当者は、自分の作業の記録を継続すること。運用担当者の記録は、定期的に独立した検査を受けること...
•   8.4.3_10 システム障害の記録

  　システム運用担当者は、システム障害時の記録をとる 　システムの運用（システムやネットワークの監視や...
•   8.4.3_30 障害記録

  　障害については報告を行い、是正処置をとること 　障害が発生し、これがあらかじめ決められた連絡先に報...
• 8.5.ネットワークの管理
•   8.5_** 目的

  　ネットワークにおける情報の保護、及びネットワークを支える基盤の保護を確実にするため。...
•   8.5.1_10 無線LANのセキュリティ対策

  　無線LAN使用時は、無線LANに関わる高度なセキュリティ対策を実施する 　ネットワークの中でも無線...
•   8.5.1_30 ネットワーク管理策

  　ネットワークにおけるセキュリティを実現し、かつ、維持するために一連の管理策を実施すること 　ネット...
• 8.6.媒体の取扱い及びセキュリティ
•   8.6_** 目的

  　財産に対する損害及び事業活動に対する妨害を回避するため。...
•   8.6.1_20 媒体・印刷文書の管理

  　コンピュータの媒体（FD,CD,USBメモリ等）及び印刷された文書の取扱について管理規定を作成する...
•   8.6.1_30 コンピュータの取外し可能な付属媒体の管理

  　コンピュータの取外し可能な付属媒体（例えば、テープ、ディスク、カセット）及び印刷された文書を管理す...
•   8.6.2_10 媒体・印刷文書の処分

  　媒体・印刷文書が不要になったとき、安全かつ確実に処分するための管理規定を作成する 　媒体の破棄時に...
•   8.6.2_30 媒体の処分

  　媒体が不要となった場合は、安全、かつ、確実に処分すること 　JISでは、考慮すべき管理策を列挙して...
•   8.6.3_20 様々な情報の取扱い手順

  　情報の取扱い手順（メール、FAX文書、電話、郵便など）及び保管について管理策を策定し、実施する 　...
•   8.6.3_30 情報の取扱手順

  　認可されていない露呈又は誤用から情報を保護するために、情報の取扱い及び保管についての手順を確立する...
•   8.6.4_30 システムに関する文書のセキュリティ

  　認可されていないアクセスからシステムに関する文書を保護すること 　システムに関する文書とは、情報シ...
• 8.7.情報及びソフトウェアの交換
•   8.7_** 目的

  　組織間で交換される情報の紛失、改ざん又は誤用を防止するため。...
•   8.7.1_30 情報及びソフトウェアの交換契約

  　組織間の情報及びソフトウェアの交換（電子的又は人手によるもの）については、ある場合には正式な契約と...
•   8.7.2_20 媒体・印刷文書の配送

  　媒体・印刷文書を配送するとき、不正なアクセスや事故などに配慮した管理規定を作成する 　重要な情報資...
•   8.7.2_30 配送中の媒体のセキュリティ

  　配送されるコンピュータ媒体を、認可されていないアクセス、誤用又は破損から保護すること 　JISでは...
•   8.7.3_10 HP上での商取引のセキュリティ

  　自社のHPなどを利用して商取引を行なっているとき、他者からの攻撃や改ざん、情報漏えいなどのリスクに...
•   8.7.4_10 電子メールの管理

  　電子メールにおけるセキュリティ上のリスクを軽減するための管理規定を作成する 　電子メールは、通常、...
•   8.7.4_30 電子メールのセキュリティ

  　電子メールの使用に関する個別方針を作成し、電子メールがもたらすセキュリティ上のリスクを軽減するため...
•   8.7.5_20 情報共有システムの管理策

  　グループウエア、情報共有 などの多数の人がアクセスするシステムでは、リスクを考慮し管理策を実施する...
•   8.7.5_30 電子オフィスシステムのセキュリティ

  　オフィスシステムに関連する業務上及びセキュリティ上のリスクを管理するために、個別方針及び手引を作成...
•   8.7.6_20 公開されているシステムの管理

  　自社で電子的に公開している情報（HPやメールサーバ）がある場合、その情報不正に操作されないよう管理...
•   8.7.6_30 公開されているシステム

  　情報を公開する前に正式な認可の手続がとられ、また、情報の改ざんを防止するために公開した情報の完全性...
•   8.7.7_20 情報交換における他の保護方法

  　電話、携帯電話、FAXなどを介した情報交換において、通信、通話の内容の保護などの手順を管理する 　...
•   8.7.7_30 情報交換のその他の方式

  　音声・映像の通信設備及びファクシミリを使用して行われる情報交換を保護するために、個別方針、手順及び...
• 09. アクセス制御
• 9.1.アクセス制御に関する業務上の要求事項
•   9.1_** 目的

  　情報へのアクセスを制御するため。...
•   9.1.1_30 アクセス制御方針

  　アクセス制御についての業務上の要求事項を定義して文書化し、アクセスをアクセス制御方針で定義されたも...
• 9.2.利用者のアクセス管理
•   9.2_** 目的

  　情報システムへのアクセス権が、適切に認可され、割り当てられ、維持されていることを確実にするため。...
•   9.2.1_00 アクセス制御の実施

  　重要な情報資産には、許可されていない人がアクセスできないように、アクセス制御を実施する 　重要な情...
•   9.2.1_20 利用者登録・削除

  　情報資産に対する、利用者の登録、削除が正確に行える手続きをつくる 　情報資産に対するアクセス制御で...
•   9.2.1_30 利用者登録

  　複数の利用者をもつすべての情報システム及びサービスについて、それらへのアクセスを許可するための、正...
•   9.2.2_20 利用者の特権管理

  　情報資産に対する、利用者権限の特権の割り当て及び使用は制限し管理する 　アクセス制御により付与され...
•   9.2.2_30 特権管理

  　特権の割当て及び使用は、制限し、管理すること 　JISでは、考慮すべき管理策を列挙しているので、参...
•   9.2.3_10 利用者のパスワードの管理

  　利用者へのパスワードの割り当ては、正規の管理手続きによって実施する 　安易に利用者へパスワードを付...
•   9.2.3_30 利用者のパスワードの管理

  　パスワードの割当ては、正規の管理手続によって統制すること 　パスワードの秘密保持を社員に求めること...
•   9.2.4_30 利用者アクセス権の見直し

  　経営陣は、利用者のアクセス権を見直す正規の手順を、定期的に実施すること 　情報利用者は職務や部署が...
• 9.3.利用者の責任
•   9.3_** 目的

  　認可されていない利用者のアクセスを防止するため。...
•   9.3.1_10 パスワードの管理

  　利用者のパスワードの使用において、セキュリティ上の安全管理策を規定し、実施する 　利用者が自分で使...
•   9.3.1_30 パスワードの使用

  　パスワードの選択及び使用に際して、正しいセキュリティ慣行に従うことを、利用者に要求すること 　パス...
•   9.3.2_30 利用者領域にある無人運転の装置

  　無人運転の装置に適切な保護対策を備えていることを確実にするように、利用者に要求すること 　無人運転...
• 9.4.ネットワークのアクセス制御
•   9.4_** 目的

  　ネットワークを介したサービスの保護のため。...
•   9.4.1_20 ネットワークサービスの使用制限

  　使用が許可されたネットワークサービスしか利用できないようなアクセス制御や管理規定などを実施する 　...
•   9.4.1_30 ネットワークサービスの使用についての個別方針

  　利用者には、使用することが特別に認可されたサービスへの直接のアクセスだけを提供すること 　リスク評...
•   9.4.2_00 ファイアウォールの設置

  　社内と社外の境界にファイアウォールを設置し、社外からの不正な侵入を防ぐ 　社内外の境界にファイアウ...
•   9.4.2_30 指定された接続経路

  　利用者端末からコンピュータサービスまでの経路は、管理すること 　前ステップに加えて、重要な情報をや...
•   9.4.3_10 外部から接続する利用者の認証

  　外部から社内システムへ接続する利用者に対して、認証の仕組みを組み込み実施する 　社外からのリモート...
•   9.4.3_30 外部から接続する利用者の認証

  　遠隔地からの利用者のアクセスには、認証を行うこと 　組み込む認証機能は、パスワードだけではなく、そ...
•   9.4.4_30 ノードの認証

  　遠隔コンピュータシステムへの接続は、認証されること 　これは†と逆のことであり、†に含まれていると...
•   9.4.5_20 遠隔診断用ポートの保護

  　診断ポートへのアクセスは、セキュリティを保つように制御されること 　診断ポートとは、ネットワーク管...
•   9.4.5_30 遠隔診断用ポートの保護

  　診断ポートへのアクセスは、セキュリティを保つように制御されること 　遠隔診断ポートがある場合、業者...
•   9.4.6_20 ネットワークの領域分割

  　利用者や情報システムの使用範囲を考慮し、アクセス可能な領域を分割する 　社内の重要な情報資産にアク...
•   9.4.6_30 ネットワークの領域分割

  　情報サービス、利用者及び情報システムのグループを分割するための制御を、ネットワーク内に導入すること...
•   9.4.7_30 ネットワークの接続制御

  　共有ネットワークにおける利用者の接続の可能性は、アクセス制御方針に従って制限すること 　インターネ...
•   9.4.8_30 ネットワーク経路を指定した制御

  　共有ネットワークは、コンピュータの接続及び情報の流れが業務用ソフトウェアのアクセス制御方針に違反し...
•   9.4.9_20 ネットワークサービスのセキュリティ

  　ISPやASPで使用しているネットワークに関して、セキュリティ対策の実施状況を確認し、業者を検討す...
•   9.4.9_30 ネットワークサービスのセキュリティ

  　ネットワークサービスを使用する組織は、使用するすべてのサービスのセキュリティの特質について、明確な...
• 9.5.オペレーティングシステムのアクセス制御
•   9.5_** 目的

  　認可されていないコンピュータアクセスを防止するため。...
•   9.5.1_30 自動の端末識別

  　特定の場所及び携帯装置への接続を認証するために、自動の端末識別を考慮すること 　接続の認証で、PC...
•   9.5.2_10 端末のログオン設定

  　情報サービスへのアクセスは、ログオン手順を設定する 　情報サービスへアクセスするときに、ログオン手...
•   9.5.2_30 端末のログオン手順

  　情報サービスへのアクセスは、安全なログオン手続を使用すること 　情報サービスへのログオン手順を設定...
•   9.5.3_10 利用者の一意識別

  　すべての利用者は一意の利用者IDを使用する（ログ収集時に必要） 　情報サービスへのログオンでは、す...
•   9.5.3_30 利用者の識別及び認証

  　すべての利用者は、その活動が誰の責任によるものかを後で追跡できるように、各個人の利用ごとに一意な識...
•   9.5.4_30 パスワード管理システム

  　パスワード管理システムは、質のよいパスワードであることを確実にするための、有効な対話的機能を提供す...
•   9.5.5_20 システムユーティリティの使用制限

  　システムのセキュリティに影響を及ぼすようなシステムユーティリティの利用制限や削除を検討する 　シス...
•   9.5.5_30 システムユーティリティの使用

  　システムユーティリティプログラムの使用を制限し、厳しく管理すること 　システムユーティリティは、O...
•   9.5.6_30 利用者を保護するための脅迫に対する警報

  　脅迫の標的となり得る利用者のために、脅迫に対する警報を備えること 　これは、ユーザが脅迫されて重要...
•   9.5.7_30 端末のタイムアウト

  　リスクの高い場所（例えば、組織のセキュリティ管理外にある公共又は外部領域）にあるか、又はリスクの高...
•   9.5.8_30 接続時間の制限

  　リスクの高い業務用ソフトウェアに対して、追加のセキュリティを提供するために、接続時間に制限を設ける...
• 9.6.業務用ソフトウェアのアクセス制御
•   9.6_** 目的

  　情報システムが保有する情報への認可されていないアクセスを防止するため。...
•   9.6.1_20 業務システムのアクセス制御

  　業務用ソフトウエアで取り扱う重要な情報資産では、利用者の権限により、利用機能ごとのアクセス制御を考...
•   9.6.1_30 情報へのアクセス制限

  　情報及び業務用システム機能へのアクセスは、アクセス制御方針に従い、制限されること 　利用者の権限に...
•   9.6.2_30 取扱いに慎重を要するシステムの隔離

  　取扱いに慎重を要するシステムは、専用の（隔離された）コンピュータ環境にあること 　重要な業務システ...
• 9.7.システムアクセス及びシステム使用状況の監視
•   9.7_** 目的

  　認可されていない活動を検出するため。...
•   9.7.1_10 システムでの事象の記録

  　情報資産へのアクセスに対して、セキュリティに関するログを取り、一定期間保存する 　情報資産へのアク...
•   9.7.1_30 事象の記録

  　例外事項、その他のセキュリティに関連した事象を記録した監査記録を作成して、将来の調査及びアクセス制...
•   9.7.2_20 システムの使用状況の監視

  　情報処理設備の使用状況を監視し、許可されていないアクセスや特権操作などを監視する 　情報処理設備の...
•   9.7.2_30 システム使用状況の監視

  　情報処理設備の使用状況を監視する手順を確立し、監視の結果を、定期的に見直すこと 　情報処理設備の使...
•   9.7.3_20 コンピュータ内の時計の同期

  　記録データの正確性を高めるために、コンピュータの時計は正しく設定する 　コンピュータの時計がずれて...
•   9.7.3_30 コンピュータ内の時計の同期

  　正確な記録のために、コンピュータ内の時計を同期させておくこと 　最近では、コンピュータの時計をイン...
• 9.8.移動型計算処理及び遠隔作業
•   9.8_** 目的

  　移動型計算処理（mobile computing）及び遠隔作業（teleworking）の設備を用...
•   9.8.1_10 モバイルコンピュータの管理

  　モバイルコンピュータを適切に管理し、万が一、第三者に渡ったときでも、内部の情報が危険にさらされない...
•   9.8.1_30 移動型計算処理

  　移動型計算処理の設備（ノート型コンピュータ、パームトップコンピュータ、ラップトップコンピュータ及び...
•   9.8.2_30 遠隔作業

  　遠隔作業を認可し及び管理するための個別方針、手順及び標準類を策定すること 　遠隔作業では、家庭内な...
• 10.システムの開発及び保守
• 10.1.システムのセキュリティ要求事項
•   10.1_** 目的

  　情報システムへのセキュリティの組込みを確実にするため。...
•   10.1.1_20 開発時セキュリティ要求事項の明示

  　新規システムや既存システムの改良時には、セキュリティの要求事項を含めて提示する 　情報システムを新...
•   10.1.1_30 セキュリティ要求事項の分析及び明示

  　新しいシステム又は既存のシステムの改善に関する業務上の要求事項では、管理策についての要求事項を明記...
• 10.2.業務用システムのセキュリティ
•   10.2_** 目的

  　業務用システムにおける利用者データの消失、変更又は誤用を防止するため。...
•   10.2.1_30 入力データの妥当性確認

  　業務用システムに入力されるデータは、正確で適切であることを確実にするために、その妥当性を確認するこ...
•   10.2.2_30 内部処理の管理

  　処理したデータの改ざんを検出するために、システムに妥当性の検査を組み込むこと 　データが正しく入力...
•   10.2.3_30 メッセージ認証

  　重要性の高いメッセージ内容の完全性を確保するセキュリティ要件が存在する場合は、メッセージ認証を使用...
•   10.2.4_30 出力データの妥当性確認

  　業務用システムからの出力データについては、保存された情報の処理がシステム環境に対して正しく、適切に...
• 10.3.暗号による管理策
•   10.3_** 目的

  　情報の機密性、真正性又は完全性を保護するため。...
•   10.3.1_30 暗号による管理策の使用に関する個別方針

  　情報を保護するための暗号による管理策の使用について、個別方針を定めること 　暗号化の管理策のとして...
•   10.3.2_10 暗号化の実施

  　重要な情報資産を取り扱う場合は、情報を暗号化して管理する 　重要な情報資産は、いかなる操作でアクセ...
•   10.3.2_30 暗号化

  　取扱いに慎重を要する又は重要な情報の機密性を保護するために、暗号化を用いること 　リスクアセスメン...
•   10.3.3_30 ディジタル署名

  　電子的な情報（電子文書等）の真正性及び完全性を保護するために、ディジタル署名を用いること 　デジタ...
•   10.3.4_30 否認防止サービス

  　事象又は動作が起こったか、起こらなかったかについての紛争の解決には、否認防止サービスを用いること ...
•   10.3.5_30 かぎ管理

  　一連の合意された標準類、手順及び方法に基づくかぎ管理システムを、暗号技術の利用を支援するために用い...
• 10.4.システムファイルのセキュリティ
•   10.4_** 目的

  　IT プロジェクト及びその支援活動をセキュリティが保たれた方法で実施されることを確実にするため。...
•   10.4.1_30 運用ソフトウェアの管理

  　運用システムでのソフトウェアの実行を管理する手順を持つこと 　運用システムとは、業務上の様々なシス...
•   10.4.2_30 システム試験データの保護

  　試験データは保護され、管理されること 　システム開発のテストのための試験データは、実際に運用される...
•   10.4.3_30 プログラムソースライブラリへのアクセス制御

  　プログラムソースライブラリへのアクセス全体にわたって、厳しい管理を維持すること 　システム開発を行...
• 10.5.開発及び支援過程におけるセキュリティ
•   10.5_** 目的

  　業務用システム及び情報のセキュリティを維持するため。...
•   10.5.1_30 変更管理手順

  　正式な変更管理手順によって、情報システムの変更の実施を厳しく管理すること 　情報システムは業務やシ...
•   10.5.2_10 ソフトウエアの更新

  　OSやアプリケーションソフトウエアについて、定期的にパッチの更新を行う 　OSやアプリケーションソ...
•   10.5.2_30 オペレーティングシステムの変更の技術的レビュー

  　オペレーティングシステムを変更する場合は、業務用システムをレビューし、試験すること 　パッチの更新...
•   10.5.3_30 パッケージソフトウェアの変更に対する制限

  　パッケージソフトウェアの変更は極力行わないようにし、絶対に必要な変更は厳しく管理すること 　パッケ...
•   10.5.4_10 導入するソフトウエアの管理

  　各自の端末に新たにソフトウエアを導入するときは、事前に許可をもらうなどの規定を作成する 　利用者の...
•   10.5.4_30 隠れチャネル及びトロイの木馬

  　隠れチャネル（ Covert channels）又はトロイの木馬（Trojan code）の危険性...
•   10.5.5_30 外部委託によるソフトウェア開発

  　外部委託によるソフトウェア開発をセキュリティの保たれたものとするための管理策を適用すること 　ソフ...
• 11.事業継続管理
• 11.1.事業継続管理の種々の面
•   11.1_** 目的

  　事業活動の中断に対処するとともに、重大な障害又は災害の影響から重要な業務手続を保護するため。...
•   11.1.1_20 事業継続計画の管理

  　事業活動の中断や障害の後で、事業運営を維持、復旧させるための計画を立て、実施し、見直しをする 　セ...
•   11.1.1_30 事業継続管理手続

  　組織全体を通じて事業継続のための活動を展開し、かつ、維持するための管理された手続が整っていること ...
•   11.1.2_30 事業継続及び影響分析

  　事業継続に対する全般的取組方法のために、適切なリスクアセスメントに基づいた戦略計画を立てること 　...
•   11.1.3_30 継続計画の作成及び実施

  　事業運営を、重要な業務手続の中断又は障害の後、適切な時間内で維持又は復旧させるための計画を立てるこ...
•   11.1.4_30 事業継続計画作成のための枠組み

  　すべての計画が整合したものになることを確実にするため、また、試験及び保守の優先順位を明確にするため...
•   11.1.5_30 事業継続計画の試験、維持及び再評価

  　事業継続計画が最新の情報を取り入れた効果的なものであることを確実にするために定期的に試験をし、定期...
• 12.適合性
• 12.1.法的要求事項への適合
•   12.1_** 目的

  　刑法及び民法、その他の法令、規制又は契約上の義務、並びにセキュリティ上の要求事項に対する違反を避け...
•   12.1.1_30 適用法令の識別

  　各情報システムについて、すべての関連する法令、規制及び契約上の要求事項を、明確に定め、文書化するこ...
•   12.1.2_10 著作物の違法コピーの禁止

  　ソフトウェア製品や本、Webに掲載されている情報を使用する場合は、必ず使用許諾に沿った使用を心がけ...
•   12.1.2_30 知的所有権（IPR）

  　知的所有権がある物件及びソフトウェア製品を使用する場合は、法的制限事項に適合するように、適切な手続...
•   12.1.3_10 会計・税務情報等の保護

  　会計・税務情報やその他法令で決められている記録は、消失、破壊及び改ざんから保護されること 　法令で...
•   12.1.3_30 組織の記録の保護

  　組織の重要な記録は、消失、破壊及び改ざんから保護されること 　ここでの「組織の重要な記録」とは、法...
•   12.1.4_10 個人情報の保護

  　個人情報保護法に従って個人情報を保護するために、管理策を適用すること 　最近になって施行された個人...
•   12.1.4_30 データの保護及び個人情報の保護

  　関連法令に従って個人情報を保護するために、管理策を適用すること 　個人情報保護法としては、安全な個...
•   12.1.5_10 情報処理施設の使用許可と管理

  　情報処理施設の使用には管理者の認可を要するものとし、不正な使用を防ぐための管理策を用いること 　情...
•   12.1.5_30 情報処理施設の誤用の防止

  　情報処理施設の使用には管理者の認可を要するものとし、そのような施設の誤用を防ぐための管理策を用いる...
•   12.1.6_30 暗号による管理策の規制

  　暗号による管理策へのアクセス又はその使用を統制することを目的とした、国による協定、法律、規制、又は...
•   12.1.7_30 証拠の収集

  　人又は組織に対する措置が、民事であれ刑事であれ、法律にかかわるものである場合、提示する証拠は、関連...
• 12.2.セキュリティ基本方針及び技術適合のレビュー
•   12.2_** 目的

  　組織のセキュリティ基本方針及び標準類へのシステムの適合を確実にするため。...
•   12.2.1_30 セキュリティ基本方針との適合

  　管理者は、自分の責任範囲におけるすべてのセキュリティ手続が正しく実行されることを確実にすること。組...
•   12.2.2_30 技術適合の検査

  　情報システムは、セキュリティ実行標準と適合していることを定期的に検査すること 　各種のセキュリティ...
• 12.3.システム監査の考慮事項
•   12.3_** 目的

  　システム監査手続の有効性を最大限にすること、及びシステム監査手続への/からの干渉を最小限にするため...
•   12.3.1_30 システム監査管理策

  　運用システムの監査は業務手続の中断のリスクを最小限に抑えるように慎重に計画を立て、合意されること ...
•   12.3.2_30 システム監査ツールの保護

  　システム監査ツールは、誤用又は悪用を防止するために、保護されること 　システム監査に利用されるツー...

Since 2006/02/24: