認証審査

初回認証審査

第1段階(文章審査)

第2段階(運用審査)

認証取得後

1年毎:サーベイランス審査(維持審査)

3年毎:再認証審査

ISMSのPDCAサイクル

ISO/IEC 27001(情報セキュリティ)

A.8 資産の管理

A.9 アクセス制御

ISO/IEC 27017(クラウドサービスセキュリティ)

ISMS/ISO27001 認証取得コンサルティング

情報セキュリティ管理規定

A.9 アクセス制御

A.9.4.3 パスワード管理システム

  • 「対話式でなければならず」とは?
    • システムで有効期限を過ぎたらパスワード変更をしないとログオン出来ないなどの制限を行うことなどを指すらしい

A.11 物理的及び環境的セキュリティ

A.12 運用のセキュリティ

A.12.1.1 操作手順書

A.12.1.2 変更管理

A.12.3.1 バックアップ

A.12.4.1 イベントログ取得

  • 「イベントログ」はWindowsのイベントログのことを指しているわけではない
  • 認可されていないアクセスや情報漏洩の兆候を検出したり、インシデントの発生原因を調査したりするために、利用者の活動、例外処理、過失および情報セキュリティ事象を記録したイベントログを取得し、定期的にレビューすることを要求している

A.18 遵守

A.18.1.5 暗号化機能に対する規制

情報セキュリティの目的

  • 情報セキュリティマネジメントシステムを確立し、実行、維持、改善に努める

情報セキュリティ計画

リスクアセスメント

  • どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと

リスク対応計画

情報セキュリティ対応計画

  • いつまでにやるか
  • 誰がやるか
  • 資源は何が必要か(費用も含め)
  • 何をもって計画完了と評価するか
  • 誰が完了と判断するか
  • 計画実施により他の管理策に影響は無いか

内部監査

適用宣言書

文書管理

  • 文書番号はあってもなくても良い
  • 2020年現在、ISO9001の規格要求事項には「文書番号を付与しなければならない」という要求はなく、「文書を識別しなければならない」という要求があるだけです。
  • 「文書を識別する」とは、その文書が何の文書であるか、最新の文書であるか(古い版ではないか)、判別できるようにしときなさい。ということです。

スタートアップでの事例

関連ツール


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-10-05 (水) 10:25:28 (55d)