#author("2022-08-23T02:50:41+00:00","default:admin","admin") -[[9.情報システムおよび情報セキュリティ:https://www.pwc.com/jp/ja/knowledge/guide/ipo-guideline/it.html]] -[[ISMSを取得したときのお話:https://note.com/mhashimoto/n/n8014bdf90f6b]] -[[ISMS(ISO27001)の具体的なセキュリティ対策!厳選した4つを紹介:https://www.isosoken.com/isms/feature/isms_measures/]] -[[「ISMSは業務効率の邪魔」従業員の苦情殺到…本当の原因は?:https://gentosha-go.com/articles/-/27012]] -[[Google ドライブ と第三者認証&監査(ISMS、プライバシーマーク)前編:https://drivechecker.taf-jp.com/blog/17376]] -[[Google ドライブ と第三者認証&監査(ISMS、プライバシーマーク)後編:https://drivechecker.taf-jp.com/blog/25509]] -[[情報セキュリティ管理基準(平成28年改正版) - 経済産業省:https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf]] -[[ISMS 管理策運用規定 サンプル:https://www.iso-mi.com/image/ISMSkanrisaku.pdf]] -[[ISO27001 内部監査チェックリストサンプル:https://www.iso-mi.com/image/ISMSnaibukansa_Checklist_FuzokusyoA_Sample.pdf]] *認証審査 [#wbe5b2e6] ***初回認証審査 [#w605c24a] -第1段階(文章審査) -第2段階(運用審査) ***認証取得後 [#t640b6b8] -1年毎:サーベイランス審査(維持審査) -3年毎:再認証審査 *リスクアセスメント [#l2b1fa08] どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと *[[ISO/IEC 27001(情報セキュリティ):https://www.jqa.jp/service_list/management/service/iso27001/]] [#ta501909] -[[ISO27001 ISMS 情報セキュリティマネジメントシステム - BSI:http://www.bsigroup.jp/ja-jp/assessmentandcertification/managementsystem/standardsschemes/iso27001/]] **A.9 アクセス制御 [#s45534d3] -[[ISMS規格をわかりやすく解読する【A.9 アクセス制御】:https://www.lrm.jp/iso27001/blog/standard/4773/]] *[[ISO/IEC 27017(クラウドサービスセキュリティ):https://www.jqa.jp/service_list/management/service/iso27017/]] [#j282ad01] *ISMS/ISO27001 認証取得コンサルティング [#d77453d1] -[[テクノソフト:http://www.techno-soft.co.jp/]] -[[UPF:https://upfsecurity.co.jp/]] -[[LRM:https://www.lrm.jp/iso27001/]] *情報セキュリティ管理規定 [#g58e4764] -[[3. ISO27017管理策解説(クラウドサービスプロバイダ):https://www.lrm.jp/iso27017/contents/measure-csp/iso27017_explanation3/]] **A.9 アクセス制御 [#a79aaaf5] ***A.9.4.3 パスワード管理システム [#f266b14c] -[[JIS Q 27001:2014の管理策について-18:https://officemasami.com/information-security/fuzokusho-a-18]] -[[パスワードの管理方法を考えてみる:https://www.lrm.jp/security_magazine/password_management/]] -「対話式でなければならず」とは? --システムで有効期限を過ぎたらパスワード変更をしないとログオン出来ないなどの制限を行うことなどを指すらしい -オートコンプリート機能も使うのはNG? --[[ブラウザに記録するのは危険!?ID管理・パスワード管理の落とし穴:https://matome.eternalcollegest.com/post-2150295781675321501]] **A.11 物理的及び環境的セキュリティ [#e5e76389] -[[来客記録や入退室記録って必須なの?:https://www.lrm.jp/iso27001/blog/security/8403/]] -[[入退室記録の重要性とは?入口におけるセキュリティの基本を知ろう!:https://secureinc.co.jp/aioffice/media/officesecurity/record-enter-leave/]] **A.12 運用のセキュリティ [#g346d968] -[[ISMS規格をわかりやすく解読する【A.12 運用のセキュリティ(前編)】:https://www.lrm.jp/iso27001/blog/standard/4838/]] -[[ISMS規格をわかりやすく解読する【A.12 運用のセキュリティ(後編)】:https://www.lrm.jp/iso27001/blog/standard/4851/]] ***A.12.1.1 操作手順書 [#e82f0cf4] ***A.12.1.2 変更管理 [#y2b9a6bd] ***A.12.3.1 バックアップ [#g46f102d] ***A.12.4.1 イベントログ取得 [#s8879550] -「イベントログ」はWindowsのイベントログのことを指しているわけではない -認可されていないアクセスや情報漏洩の兆候を検出したり、インシデントの発生原因を調査したりするために、利用者の活動、例外処理、過失および情報セキュリティ事象を記録したイベントログを取得し、定期的にレビューすることを要求している **A.18 遵守 [#e3f4e4a3] -[[ISMS規格をわかりやすく解読する【A.18 順守】:https://www.lrm.jp/iso27001/blog/security/7904/]] *文書管理 [#s8c61a3a] -[[文書番号は必要か?いらないか?ISO9001コンサルタントが語る。:https://shiennet.com/blog2017/wordpress/?p=473]] -文書番号はあってもなくても良い -2020年現在、ISO9001の規格要求事項には「文書番号を付与しなければならない」という要求はなく、「文書を識別しなければならない」という要求があるだけです。 -「文書を識別する」とは、その文書が何の文書であるか、最新の文書であるか(古い版ではないか)、判別できるようにしときなさい。ということです。 *スタートアップでの事例 [#c92c818f] -[[ISMSもとったし、エンジニアだけどITガバナンス主導してきた話をする:https://tech.layerx.co.jp/entry/our-it-governance]] *関連ツール [#s4a34d3f] -[[SecureNavi:https://secure-navi.jp/]]