認証審査

初回認証審査

  • 第1段階(文章審査)
  • 第2段階(運用審査)

認証取得後

  • 1年毎:サーベイランス審査(維持審査)
  • 3年毎:再認証審査

リスクアセスメント

どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと

ISO/IEC 27001(情報セキュリティ)

A.9 アクセス制御

ISO/IEC 27017(クラウドサービスセキュリティ)

ISMS/ISO27001 認証取得コンサルティング

情報セキュリティ管理規定

A.9 アクセス制御

A.9.4.3 パスワード管理システム

  • 「対話式でなければならず」とは?
    • システムで有効期限を過ぎたらパスワード変更をしないとログオン出来ないなどの制限を行うことなどを指すらしい

A.11 物理的及び環境的セキュリティ

A.12 運用のセキュリティ

A.12.1.1 操作手順書

A.12.1.2 変更管理

A.12.3.1 バックアップ

A.12.4.1 イベントログ取得

  • 「イベントログ」はWindowsのイベントログのことを指しているわけではない
  • 認可されていないアクセスや情報漏洩の兆候を検出したり、インシデントの発生原因を調査したりするために、利用者の活動、例外処理、過失および情報セキュリティ事象を記録したイベントログを取得し、定期的にレビューすることを要求している

A.18 遵守

スタートアップでの事例

関連ツール


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-08-09 (火) 10:03:22 (1d)