認証審査 †
初回認証審査 †
認証取得後 †
- 1年毎:サーベイランス審査(維持審査)
- 3年毎:再認証審査
リスクアセスメント †
どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと
A.9 アクセス制御 †
ISMS/ISO27001 認証取得コンサルティング †
情報セキュリティ管理規定 †
A.9 アクセス制御 †
A.9.4.3 パスワード管理システム †
- 「対話式でなければならず」とは?
- システムで有効期限を過ぎたらパスワード変更をしないとログオン出来ないなどの制限を行うことなどを指すらしい
A.11 物理的及び環境的セキュリティ †
A.12 運用のセキュリティ †
A.12.1.1 操作手順書 †
A.12.1.2 変更管理 †
A.12.3.1 バックアップ †
A.12.4.1 イベントログ取得 †
- 「イベントログ」はWindowsのイベントログのことを指しているわけではない
- 認可されていないアクセスや情報漏洩の兆候を検出したり、インシデントの発生原因を調査したりするために、利用者の活動、例外処理、過失および情報セキュリティ事象を記録したイベントログを取得し、定期的にレビューすることを要求している
A.18 遵守 †
文書管理 †
- 文書番号はあってもなくても良い
- 2020年現在、ISO9001の規格要求事項には「文書番号を付与しなければならない」という要求はなく、「文書を識別しなければならない」という要求があるだけです。
- 「文書を識別する」とは、その文書が何の文書であるか、最新の文書であるか(古い版ではないか)、判別できるようにしときなさい。ということです。
スタートアップでの事例 †
関連ツール †