基本方針及び組織

渋谷修二 (2009年9月14日 16:52) | コメント(0) | トラックバック(0)
序章
 いきなりすごいテーマを出しました。通常ISMSの解説を行う場合、構築プロセスに準じて行いますが、このブログの目的はコンサルの持つノウハウを、ISMS構築に携わる方と共有する為に始めるもので、むしろ皆さんが最も知りたいだろうテーマをとりあげました。
 これからお伝えする内容は、ISO27001の1333詳細管理策毎のサンプルポリシー集です。対象となる業種や規模は特定せず、様々なポリシーが混在しています。ユーザは詳細管理策毎、リスクアセスメントの結果から、最も適切なポリシーを選択して下さい。これによって詳細管理策の文書化を容易にできます。ただし全体のボッリュームが膨大です。しかしこのブログでは一切端折ること無く10回程度に分けて記述して行きます。

第1章 セキュリティ基本方針
 情報セキュリティ基本方針
【管理目的】情報セキュリティのための経営陣の指針及び支持を、事業上の要求事項、関連する法令及び規則に従って規定するため。

【管理方針】セキュリティ基本方針は経営陣が承認し、かつ維持する。また従業員に周知する。

 情報セキュリティ基本方針文書
【要求事項】基本方針文書は、経営陣によって承認され、適当な手段で、全従業員に公表し通知する事。
 基本方針宣言書
【実施管理策】
 基本方針宣言書は、経営陣によって、方針と目標を年度初めにマネジメントシステムの基準として策定し、従業員や利害関係者に周知する。

【方針を作成する上での考慮事項の例】
 (1) サービスの維持:顧客に提供する製品やサービスの品質低下、コスト増大、納期遅延等に影響を与える情報及び情報システムの管理方針。顧客契約の達成等
 (2) サービスの向上:品質向上、コスト低減、納期短縮に関わる取り組みリスクと、情報及び情報システムの管理方針
 (3) サービスの継続:情報及び情報システムのインシデントの影響を最小限にする方針。さらに重大なインシデントに対して、サービスを継続する為の対策方針。また法令遵守等
 (4) 管理コストの低減:ISMS管理は費用効果を重視し、管理コストの低減を目指す方針

【目標についての考慮事項】
 (1) 顧客の期待に対する達成指標
 (2) 事業継続に関する達成指標
 (3) インシデント対応の達成指標
 (4) 情報セキュリティ対策の効率化の達成指標

【関連文書】「基本方針宣言書」

 詳細管理策方針
【実施管理策】
 ISO27001付属書Aより選択した管理策についての方針を定める。方針は規格に定められた管理目的ごと及び詳細管理策の求めに従い定める。
【関連文書】
 (1) 基本方針規程
 (2) 情報セキュリティのための組織規程
 (3) 資産の管理規程
 (4) 人的資源のセキュリティ規程
 (5) 物理的及び環境的セキュリティ規程
 (6) 通信及び運用管理規程
 (7) アクセス制御規程
 (8) 情報システムの取得、開発及び保守規程
 (9) 情報セキュリティインシデントの管理規程
 (10) 事業継続管理規程
 (11) コンプライアンス規程


 情報セキュリティ基本方針のレビュー
【要求事項】基本方針は、依然として適切である事を確実にするために、また影響を及ぼす変化があった場合に、見直す事。

【実施管理策】
 (1) 定期的な見直し:マネジメントレビューを実施する際、情報セキュリティ責任者は基本方針の見直しを提案すること。
 (2) 随時見直し:次の様な事象において見直しを実施する。
   ① 情報システムの変更
   ② 重大なセキュリティ事件、事故の対応
   ③ 組織変更
   ④ 事業変更

第2章 情報セキュリティのための組織

 内部組織
【管理目的】組織内の情報セキュリティを管理するため。

【管理方針】情報セキュリティの為の組織体制を確立し,維持する。

 情報セキュリティに対する経営陣の責任
【要求事項】
 経営陣は、情報セキュリティの責任に関する明瞭な方向付け、自らの関与の明示、責任の明確な割当及び承認を通して、組織内に於けるセキュリティを積極的に支持する事。

【実施管理策】
 経営陣は次の事項を行うこと
 (1) ISMSの目標を設定し、それが他の経営マネジメントプロセスと共有されること
 (2) 情報セキュリティ基本方針策定し、レビューし、承認すること
 (3) 情報セキュリティ基本方針の実施の有効性をレビューする
 (4) 情報セキュリティに対する経営の支持を明確に示す
 (5) 情報セキュリティに必要なリソースを提供する
 (6) 情報セキュリティのための役割及び責任の割当を承認する
 (7) 従業員に対する意識向上プログラムを計画、承認する
 (8) 情報セキュリティの組織全体に渡る調整を指揮、承認する

 情報セキュリティの調整
【要求事項】
 情報セキュリティ活動は、組織の中の、関連する役割及び職務機能を持つさまざまな部署の代表が、調整する事。

【実施管理策】
 (1) 部門を横断する、情報セキュリティ委員会を組織する。
 (2) 委員会のメンバーはその部門を代表する。
 (3) 会議は定期的に開催する。

 情報セキュリティ委員会は以下を実施すること
 (1) 情報セキュリティ基本方針に基づく活動の確実な実行
 (2) 情報セキュリティ基本方針に定めの無い事項の扱い方の特定
 (3) 情報資産洗い出し方法、資産分類方針、リスクアセスメント方法等の承認
 (4) 重要な脅威の変化の特定、並びに情報及び情報処理システムに対する脅威の露呈の特定
 (5) 管理策の妥当性のアセスメント実施
 (6) 従業員の意識向上プログラムの推進
 (7) 情報セキュリティインシデントの監視、レビュー及びインシデントの対応
 以下に情報セキュリティマネジメント組織図を以下に記す。

img001.jpg

情報セキュリティ責任の割り当て
【要求事項】
個々の資産の保護に対する責任及び特定のセキュリティ手続きの実施に対する責任を、明確に定めること。
【実施管理策】
以下の通り定義する。
ISMSのための主な責任と権限一覧表

社長 基本方針を定める基本方針を全従業員に周知させる個人情報保護方針が一般の人に入手できるようにする監査責任者を任命する情報セキュリティ管理責任者を任命する情報セキュリティ部門責任者を任命する教育責任者を任命する情報セキュリティに関する責任と権限を定め全従業員に周知させる情報セキュリティ管理マニュアル及び各内部規程を承認するISMSの運用状況について情報セキュリティ管理者から報告を受けるISMSの運用状況について見直しを行う
情報セキュリティ管理責任者 ISMSの運用に関して統括するISMSに関する内部規程を維持管理する社長にISMS運用状況について報告する洗い出された情報資産のリスク分析の結果を確認し、資産台帳へ登録する
部門責任者 情報資産の洗い出しとリスク分析を行う管理策の提案を行う
監査責任者 内部監査員を任命する年間監査計画書を作成する監査の実施を指示する監査報告書を作成し社長に報告する監査のフォローアップ(効果の確認)を促進する
内部監査員 ISMS内部監査を実施し、監査責任者に報告する内部監査の基礎知識を有する(参照:ISO19011等)ISMSの概要と内部規程を理解していること
教育責任者 ISMSに関する教育訓練の年間計画を作成する教育を実施し、実施結果の記録を保管する教育実施状況について社長に報告する


情報処理設備の認可手続
【要求事項】
 新しい情報処理設備に対する経営陣による認可手続きを確立すること。

【実施管理策】
(1) 次の場合、申請に基づき、認可を得なければならない。
①新たに情報処理システム、機器を導入する場合
②情報処理システム、機器を更新する場合
(2) 情報処理システム、機器の定義
①コンピュータ、ネットワークを使用するシステム
②サーバ、PC、ノート型PC、PDA(高機能携帯電話を含む)等
③ネットワーク機器(スイッチ、ルータ、ファイアウォール、無線LAN等)
④デジタルコピー、FAX、スキャナー等
⑤ソフトウェア(業務ソフト、ウィルス対策、OS等)
【関連文書】「情報処理設備機器導入申請書」

秘密保持契約
【要求事項】
情報保護に対する組織の必要を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューすること。

【実施管理策】
(1) 知的所有権の帰属:当社の従業員が、業務で作成したプログラムや書類の所有権は当社に帰属する。
(2) 機密保持契約の締結:当社の全従業員は、機密保持契約を締結しなければならない。既に業務に従事している従業員については、継続の条件として機密保持契約を締結しなければならない。
(3) 人事異動:社員及び契約社員等の異動があった際、その部門の管理職も含めて、機密保持に関するレビューを行わなければならない。
(4) 前職における機密保持:転職してきた従業員で、以前の組織と正式に機密保持契約を締結した場合には、それを遵守させ、前職の機密を開示するように要求してはならない。
(5) 非競争契約:当社の正社員は、離職後6ヶ月間は当社と競合する事業に就職したり、起業したりしてはならない。

【関連文書】「就業規則(外部規程)」「従業員との秘密保持契約書類」

関係当局との連絡
【要求事項】
関係当局との適切な連絡体制を維持する事。

【連絡体制】
(1) 所轄警察署:
(2) 所轄消防署:
(3) ビル管理会社:
(4) 契約警備会社:
(5) 通信事業者:
(6) インターネットプロバイダー:

専門組織との連絡
【要求事項】
 組情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持する事。

【連絡体制】
(1) 法的な専門家:
(2) 技術的な専門家:
(3) 労務、人事の専門家:
(4) セキュリティ技術の専門家:
(5) ウィルス情報提供サイト:
(6) ソフトウェア脆弱性情報提供サイト:


情報セキュリティの独立したレビュー
【要求事項】
 情報セキュリティ及びその実施のマネジメントに対する組織の取り組み(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)は、あらかじめ定められた間隔で、又はセキュリティの実施に重大な変化が生じた場合に、独立したレビューを実施する事。

【実施管理策】
(1) 内部監査の体制,手順を整え、定期的に内部監査を実施する。
(2) 経営者が承認した場合、利害関係者による監査を受け入れる。
(3) 外部の審査機関によるISO適合性審査を実施する。

【関連文書】「内部監査に関する手順書」

外部組織
【管理目的】外部組織によってアクセス、処理、通信、又は管理される組織の情報及び情報処理施設のセキュリティを維持するため。
【管理方針】顧客や取引先及びサービス業者のリスクに応じたセキュリティ管理を実施する。管理内容を反映した契約締結を確実にし、維持する。

外部組織に関係したリスクの識別
【要求事項】
 外部組織が関わる業務プロセスからの、組織の情報及び情報処理施設に対するリスクを識別し、外部組織にアクセスを許可する前に適切な管理策を実施する事。

【実施管理策】
リスクを評価したうえ、次にポリシーを定める。

(1) 第三者のユーザID:従業員ではない個人、契約社員、コンサルタント等に組織の情報システム及び通信システムのユーザIDを与えてはならない。もし許可するのであれば、書面による部門長又はオーナーの承認が必要である。
(2) 臨時雇用の権限:臨時雇用社員に組織の情報システム及び通信システムのユーザIDを与えてはならない。もし許可するのであれば、書面による部門長又はオーナーによる承認が必要である。
(3) 第三者によるリモートアクセス:ダイアルアップ、インターネット、VPNを経由したリモートアクセスを第三者にさせてはならない。もし必要ならば、該当情報システムのマネージャが、その業務遂行に必要な、個人、時間に限って許可する。
(4) 機器保守要員との秘密保持契約:オフィス機器全ての保守に関わる外部の要員は、その作業に入る前に当社の秘密保持契約に合意しなければならない。
(5) 情報開示:当社の如何なる内部機密情報は、業務上必要であることが証明できるものに限り、当社の経営陣による承認の上、第三者に開示できる。
(6) 第三者との非開示契約:第三者へ機密情報や個人情報を、コピーやデータの形で渡す前に、受け取る第三者は当社の機密保持契約に合意しなければならない。
(7) 機密保持契約:当社の機密情報、個人情報を第三者に開示する場合、開示される第三者は当社の秘密保持契約に合意しなければならない。
(8) 臨時雇用社員及びコンサルタントによる情報アクセス:組織の重要情報は、正社員のみにアクセスが許される。但し緊急時や障害対応時に十分な対応スキルを持つ正社員がいない場合、人事部長又は情報資産オーナーの了解の上、正社員以外のアクセスを許可する。
(9) 電話帳:社内の社員電話帳は、パートナー、コンサルタント、臨時雇い社員等第三者に配布してはならない。必要な場合は所属部門長が個人毎承認の上、行う。
(10) 第三者による情報システムアクセス:第三者が当社の情報システムにアクセスする場合は、事前に情報セキュリティ管理責任者の承認を得る必要がある。
(11) 第三者のセキュリティ責任:第三者が当社のネットワークコンピュータシステムに接続する場合、詳細に第三者のセキュリティ責任を記述した承認を、使用する事前に得る必要がある。
(12) 重要ベンダーの財務状況調査:当社の情報システムに関わる重要なベンダーの財務状況を、情報システム責任者又はその代理により、年1回調査される。
(13) 対策報告:アウトソーシング契約者は、当社との間で合意したセキュリティ対策が有効であるか、独立した視点での報告書を毎年提出する。
(14) ASPのソフトウェア:当社の情報を取り扱う全てのASPは、最適最新バージョンのソースコードを使用し、同時にそれに準じた手順書を提出する。
(15) 重要システムのバックアップ:重要なシステムのバックアップにアウトソーシングを使用する場合、これらの業者は必要な事態に速やかに対応できる能力を備えなければならない。
(16) XSP緊急事態対応計画:XSP等アウトソーシングサービスは、緊急対応計画を整備し、定期的にその計画を第三者によってテストされること。
(17) システム外注計画:システムを外注に委託する場合、その内容を外注先に開示する前に、社内開発へ戻す計画とテストを、情報セキュリティ管理責任者の承認のもと立てる必要がある。
(18) アウトソーシングに於けるファイアウォール、サーバ共有の禁止:当社の重要な情報がアウトソーシング先で他の組織のファイアウォール、サーバと環境を共有することを禁止する。
(19) 外部委託された情報の入手:外部委託された当社の情報に対して、外注先から毎日提出されるか、必要な時は何時でも入手できる様に契約をする必要がある。
(20) アクセス権の付与:外部委託先に、当社の情報及び情報システムへのアクセス権は、外部委託先に委任してはならず、必ず当社の経営陣が決定しなくてはならない。
(21) 外部委託契約の承認:当社の情報処理を外部委託する場合、情報セキュリティ管理責任者の承認を得る。情報セキュリティ管理責任者は外部委託に於けるセキュリティ要求事項を決定し、これに満足しない外部委託先との契約を解除する。
(22) 外部委託先の財務状況:当社の情報処理を請け負う、すべての外部委託業者は4半期毎決算情報を当社へ提出する。
(23) 外国企業への委託:当社の情報処理で、設計、開発、テスト、運用及び保守業務は、外国にある又は外国資本の企業に委託してはならない。

【関連文書】「機密保持契約」「取引先情報セキュリティチェック表」「業務委託契約書」

顧客対応に於けるセキュリティ
【要求事項】
顧客が組織の情報又は資産にアクセスする前に、明確にしたすべてのセキュリティ要求事項に対処する事。

【実施管理策】
リスクを評価したうえ、次にポリシーを定める。

(1) 顧客契約条件:顧客が当社の情報システムにアクセスする場合は、情報セキュリティ管理責任者及び法務部門の責任者とで、セキュリティ上の契約条件を決定し、事前に当事者間で契約を締結する。
(2) 顧客への情報転送:ソフトウェアや関連文書又は内部情報を当社以外へ、経営陣の事前承認無しに転売又は転送してはならない。
(3) 組織名称の使用:顧客は事前の経営陣による承認無しに、当社の名称を広告や商材に使用してはならない。
(4) 契約終了時の情報の取扱い:もし契約が中止、終了したら、当社に関する情報はできるだけ速やかに破壊、返却しなければならない。
(5) 重要情報の取扱い:当社の重要情報を第三者に開示する場合は、どんな制限があり、どのように取り扱うか又は取り扱ってはいけないかが、明確にされなければならない。
(6) 顧客からの機密情報:顧客からその機密情報を受け取る場合、サインする前に法務部門による法的適合性の確認を得る必要がある。
(7) 顧客とのネットワーク接続:業務上の必要性から第三者のシステムにネットワーク接続された場合、第三者に対して当社の要求に従ったセキュリティ対策を求め、予告なく査察に立ち入る権利、問題が発見されたら直ちに切断する権利を保有する。
(8) 顧客との合意事項:当社の重要情報を取り扱う顧客との契約条項に、定期的に管理策の実施状況を監査し、取扱いについて指示できる要件を盛り込む。
(9) 顧客組織に対する安全対策:顧客組織に当社へアクセスするユーザIDを付与する前に、顧客組織内のセキュリティ対策が取られている証拠を提出させ、当社のセキュリティ責任者の承認を得る。又第三者は不正アクセス、不正使用から当社のシステム保護することを書面にて誓約する。
(10) 顧客のセキュリティポリシー合意:顧客は当社の重要情報が開示される前に、機密保持契約と情報セキュリティ管理責任者に承認されたセキュリティポリシーを遵守することを、契約しなければならない。
(11) 顧客による情報収集:当社の情報システム及びネットワークシステムを使用する外注等顧客が、当社の重要情報を入手した場合、その都度当社へ、報告しなければならない。
(12) 顧客のセキュリティ責任:第三者の当社に於けるセキュリティ責任を、基本契約に明記する。
(13) 顧客からの情報の返却:第三者との契約が終了した場合、そのプロジェクトで渡された当社の情報や生成された情報及びコピーは、そのプロジェクトマネージャーに返却しなければならない。
(14) 情報セキュリティポリシー準拠:全ての顧客は、当社の情報セキュリティ要求事項及び責任について、社員と同様の対象とする。

【関連文書】「守秘義務に関する覚書等」

第三者との契約に於けるセキュリティ
【要求事項】
 組織の情報若しくは情報処理施設が関係するアクセス・処理・通信管理に関わる第三者との契約、又は情報処理施設に製品・サービスを追加する第三者との契約は、関連する全てのセキュリティ要求事項を取り上げる事。

【実施管理策】
リスクを評価したうえ、次にポリシーを定める。

(1) 第三者契約条件:第三者が当社の情報システムにアクセスする場合は、情報セキュリティ管理責任者及び法務部門の責任者とで、セキュリティ上の契約条件を決定し、事前に当事者間で契約を締結する。
(2) 第三者への情報転送:ソフトウェアや関連文書又は内部情報を当社以外へ、経営陣の事前承認無しに転売又は転送してはならない。
(3) 組織名称の使用:第三者は事前の経営陣による承認無しに、当社の名称を広告や商財に使用してはならない。
(4) 契約終了時の情報の取扱い:もし契約が中止、終了したら、当社に関する情報はできるだけ速やかに破壊、返却しなければならない。
(5) 個人情報の保護:個人情報保護ポリシーの観点から、当社のポリシー実施を阻害するようであれば、第三者を使用して業務を行ってはならない。
(6) 業務委託契約に基づく開示:当社が管理を委託した個人情報や重要な情報は、第三者に対して、業務委託契約の範囲を超えて開示してはならない。
(7) システム構築ベンダー情報の開示:当社の社員は、運用中及び構築中のシステムのベンダーと、システム内容について公表してはならない。
(8) 費用情報の収集:第三者は、当社の情報システム製品及びサービスの費用について、調査してはならない。
(9) 重要情報の取扱い:当社の重要情報を第三者に開示する場合は、どんな制限があり、どのように取り扱うか又は取り扱ってはいけないかが、明確にされなければならない。
(10) 第三者からの機密情報:コンサルタントや、契約社員等第三者からその機密情報を受け取る場合、サインする前に法務部門による法的適合性の確認を得る必要がある。
(11) 第三者とのネットワーク接続:業務上の必要性から第三者のシステムにネットワーク接続された場合、第三者に対して当社の要求に従ったセキュリティ対策を求め、予告なく査察に立ち入る権利、問題が発見されたら直ちに切断する権利を保有する。
(12) 第三者との合意事項:当社の重要情報を取り扱う第三者との契約条項に、定期的に管理策の実施状況を監査し、取扱いについて指示できる要件を盛り込む。
(13) 第三者組織に対する安全対策:第三者組織に当社へアクセスするユーザIDを付与する前に、第三者組織内のセキュリティ対策が取られている証拠を提出させ、当社のセキュリティ責任者の承認を得る。又第三者は不正アクセス、不正使用から当社のシステム保護することを書面にて誓約する。
(14) 第三者のセキュリティポリシー合意:第三者は当社の重要情報が開示される前に、機密保持契約と情報セキュリティ管理責任者に承認されたセキュリティポリシー抄本を遵守することを、契約しなければならない。
(15) 第三者による情報収集:当社の情報システム及びネットワークシステムを使用する外注等第三者が、当社の重要情報を入手した場合、その都度当社へ、報告しなければならない。
(16) 第三者のセキュリティ責任:第三者の当社に於けるセキュリティ責任を、基本契約に明記する。
(17) 第三者からの情報の返却:第三者との契約が終了した場合、そのプロジェクトで渡された当社の情報や生成された情報及びコピーは、そのプロジェクトマネージャーに返却しなければならない。
(18) 情報セキュリティポリシー準拠:全ての第三者は、当社の情報セキュリティ要求事項及び責任について、社員と同様の対象になる。
【関連文書】「業務委託契約書等」

資産の管理

渋谷修二 (2009年9月14日 17:01) | コメント(0) | トラックバック(0)
第3章 資産の管理

 資産に対する責任
【管理目的】組織の資産の適切な保護を維持するため。
【管理方針】情報資産を適切に保護する為の枠組みを定め維持する。

 資産目録
【要求事項】
 すべての資産を明確に識別し、また、重要な資産すべての目録を作成し維持すること。
【実施管理策】
 情報資産の日々の追加、変更、削除に関する手順
 (1) 新しい情報資産を獲得したら、獲得部門の責任者は情報セキュリティ管理責任者に資産台帳の登録を申請する。
 (2) 新しい資産の関連業務フローをリスクアセスメント手順書に従いメンテナンスする。
 (3) 情報セキュリティ管理責任者は台帳登録する資産の管理項目を決定する。
 (4) 情報セキュリティ管理責任者は、適当な時期に、各部門に対して情報資産の棚卸の実施を指示しなければならない。
 (5) 情報セキュリティ管理責任者は、棚卸の結果を評価し、資産台帳に反映しなければならない。
 (6) 資産が廃棄、移動及び取り扱いの変更によって資産に変更が生じたら、その部門責任者は、情報セキュリティ管理責任者に申請しなければならない。
 (7) 情報セキュリティ管理責任者は、変更を承認する。
 (8) 資産を変更したら、関連する業務フロー、リスクアセスメント及び関連する管理策等一連の見直しを実施する。

 資産台帳の管理項目

img002.jpg

 公開レベルは以下の4通りに分類する。
 (1) 機密:社長及び、経営陣(執行役員含む)又は特定の資産に関与する者のみが利用、閲覧できる情報資産。
 (2) 部外秘:社長、経営陣、情報セキュリティ対象業務に携わる部署及び、情報セキュリティ委員会に属する従業員、社員のみが利用、閲覧できる情報資産。及び、記録文書。
 (3) 社外秘:社内の全ての従業員、社員が利用閲覧できる情報資産。
 (4) 公開:世間一般に認知されている情報及び、セキュリティ対策の必要の無い情報資産。
  ・個人情報:個人情報は公開ではなく、それぞれに極秘、部外秘、社外秘の分類が併記される。

  ・オーナー:資産保有者を定義する。

  ・管理責任者:資産管理責任者を定義する。

  ・取り扱い手順:資産に対する取り扱い手順を定義する。資産台帳には当て順コードを示し、別紙そのコードに応じた詳細手順を記述する。

  ・資産価値:資産に対する、資産オーナーが定めて機密性、完全性、可用性それぞれの価値を記述する。
    機密性価値の定義:情報の信頼性。情報がアクセス権限(公開レベル)を超えてアクセス又は漏洩した場合、業務上問題となったり、製品サービスの信頼性が低下する度合を機密性価値の高さとして表す。
    完全性価値の定義:情報の品質。情報が改ざんされたり、正しくなかったりしたときの、業務上問題となったり、製品サービスの品質が低下する度合を完全性価値の高さで表す。
    可用性価値の定義:情報の生産性。情報アクセスが滞ったり、アクセスできないときの業務上問題となったり、製品サービスの生産性に影響を与える度合を可用性価値の高さで表す。

   2:高い  1:中位  0:低い

  ・保管期限:保管期限又は分類維持期間
  ・更新日
  ・備考
【関連文書】「情報資産管理台帳」(リスクアセスメントツールより)

 資産の管理責任者(オーナー)
【要求事項】
 情報および情報処理施設と関連する資産のすべてについて、組織の中に、その管理責任者(オーナー)を指定すること。
【実施管理策】
 (1) オーナー
 情報のオーナーは、次のものとする。
  ① 情報生成したもの
  ② 情報を顧客などから受領した責任者
 情報処理施設、設備などのオーナー
  ① 組織全体に関わる設備は情報システム部門責任者がオーナーとなる。
  ② 部門毎の機器は、部門責任者がオーナーとなる。
 オーナーの責任
  ① 資産分類レベル(アクセス権限)の設定
  ② 資産価値評価
  ③ 脅威、脆弱性評価
 (2) 管理責任者
 情報の管理責任者は、次のものとする。
  (ア) 情報の管理を委託されたもの
  (イ) 情報を実質的に取り扱うもの
 情報処理施設、設備などの管理責任者
  (ア) 実際に設備等を使用するもの
  (イ) 設備等のメンテナンス等を行うもの

【関連文書】「情報資産管理台帳」(リスクアセスメントツールより)

 資産利用の許容範囲
【要求事項】
 情報および情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施しなければならない。
【実施管理策】
 (1) 利用の許容範囲は、資産台帳に項目を設けて、資産毎(必要な資産)記述する。
 (2) 社外持ち出しの資産を定める。
 (3) 取り扱えるのが、正社員に限るものを定める。
 (4) 業務以外の使用に関する定め。
 (5) メール利用について制限を定める。
 (6) ホームページ閲覧について制限を定める。
 (7) 携帯電話の利用について制限を定める。

【関連文書】「情報資産管理台帳」(リスクアセスメントツールより)

 情報の分類
【管理目的】情報資産の適切なレベルでの保護を実施するため。
【管理方針】情報のアクセスを保護する為、情報の分類を実施する。

 分類の指針
【要求事項】
 情報は、組織に対しての価値、法的要求事項、取扱いに慎重を要する度合い及び重要性の観点から分類すること。
【実施管理策】
 (1) 公開レベル: 当社の情報を次の4つに分類する。機密い、
  ① 極秘:社長及び、経営陣(執行役員含む)又は特定の資産に関与する者のみが利用、閲覧できる情報資産。
  ② 部外秘:社長、経営陣、情報セキュリティ対象業務に携わる部署及び、情報セキュリティ委員会に属する従業員、社員のみが利用、閲覧できる情報資産。及び、記録文書。
  ③ 社外秘:社内の全ての従業員、社員が利用閲覧できる情報資産。
  ④ 公開:世間一般に認知されている情報及び、セキュリティ対策の必要の無い情報資産。
 (2) 資産形態の分類:

img003.jpg

 (3) 保管場所:資産形態、公開レベル及び資産価値を勘案した,適切な保管場所を定めること。
 (4) 個人情報の識別:情報に個人データが含まれる場合、識別する。
 (5) 資産価値分類
  ① 機密性価値の定義:情報の信頼性。情報がアクセス権限(公開レベル)を超えてアクセス又は漏洩した場合、業務上問題となったり、製品サービスの信頼性が低下する度合を機密性価値の高さとして表す。
  ② 完全性価値の定義:情報の品質。情報が改ざんされたり、正しくなかったりしたときの、業務上問題となったり、製品サービスの品質が低下する度合を完全性価値の高さで表す。
  ③ 可用性価値の定義:情報の生産性。情報アクセスが滞ったり、アクセスできないときの業務上問題となったり、製品サービスの生産性に影響を与える度合を可用性価値の高さで表す。
 (6) 企業秘密の指定との整合:当社の情報に対する企業秘密の指定は、情報セキュリティで定めた公開レベルと、運用上矛盾しない様に注意する。
 (7) 間違った分類の防止:情報の分類を間違うことが無いように、情報資産のオーナーは現在の分類状況を確実に把握し、分類を確実にしなければならない。
 (8) 情報資産分類の割り当て:情報資産オーナーは情報資産に対して、適切な分類を与える責任がある。
 (9) 複数の分類レベルが付けられた情報資産:もし情報資産に複数の分類が与えられると考えられた場合、最も厳しい分類に統一する。
 (10) 機密情報に書き換えられたメディア:書き換え可能な、C、DVD、USBメモリー等が機密情報に書き換えられた場合、確実に再分類されなければならない。
 (11) コンピュータ記憶媒体の分類:複数の分類レベル持つ情報が格納されたコンピュータ記憶媒体に対する分類は、最も重要な分類を反映したものでなければならない。
 (12) 分類レベルを下げた日付:機密情報等の分類を下げた場合、その日付を記録しなければならない。
 (13) 分類レベル変更の実施:情報資産オーナーは、分類レベルを下げた場合、資産台帳の記載を変更し、情報資産管理者に通知する。
 (14) 分類レベル変更の延期:情報資産オーナーは、分類レベルを下げる場合、資産台帳の記載の変更、情報資産管理者への通知が完了するまで、その実施を延期する。
 (15) 分類レベルのレビュー:情報資産オーナーは少なくとも年1回、割り当てられた資産全てについて、分類レベルをレビューしなければならない。
 (16) 重要情報のレベル変更:重要情報のレベル変更は、速やかに実施しなければならない。
 (17) 不可欠さの識別:情報資産オーナーはビジネス継続上、不可欠である情報資産、ソフトウェアを決定しなければならない。

 情報のラベル付け及び取り扱い
【要求事項】
 情報に対するラベル付け及び取扱いに関する適切な一連の手順は、組織が採用した分類体系に従って策定し、実施すること。
【実施管理策】
 情報資産ラベル
 資産台帳に登録された情報資産については、次の通り情報資産番号が付けられるとともに、以下のカテゴリーの情報資産には、各ラベルが付けられることとする。
 ① パソコン(ハード)、什器備品などの器物については、情報資産ラベル(シール)が貼られる。
 ② データファイルなどについては、ファイル名の最初に資産番号がふられる。

 (1) 情報資産番号の採番手順
 資産台帳に登録された情報資産については、次の手順で資産番号が採番される。
 ISMS情報資産番号は、以下のように示すこととする。

img004.jpg

 (2) 情報資産ラベル(シールの形式)
 資産台帳に登録された器物の情報資産については、下記の情報資産ラベル(シール等)が貼られる。

img005.jpg

 (3) ファイルサーバ内の分類
 ファイルサーバ内は次の区画に分類し、アクセス制御を実施する。
 開発:開発用ファイルを格納する。
 営業:営業部門の共有区画
 事務:事務用共有区画
 経営:経営者用の区画

 (4) ファイル命名規則
 業務に使用するファイルは次の規則により命名する。
[部門コード][氏名コード][年月][プロジェクトコード][バージョン]

 資産取り扱い手順

 資産台帳に登録された資産は次の取り扱いに関する手順を定めなければならない。これは別紙資産取り扱い手順一覧にまとめられ、資産台帳の取り扱い手順コードで参照される。

 (1) 取り扱い手順の分類
  ① 電話での会話:情報内容の社内外での電話、社外での会話を禁止する。
  ② 複製
  ③ FAX
  ④ 持ち出し
  ⑤ 廃棄方法
 (2) 取り扱いの対応
  ① 禁止:上記行為が一切禁止される。もし行う場合は、オーナーによるリスクアセスメントに基づく基準の変更を要する。
  ② 承認:上記行為がオ?ナー又はその代行者の承認により行える。
  ③ 可:上記行為はアクセス権限者に許可される。
【関連文書】「情報資産取扱手順一覧」(リスクアセスメントツールより)

人的資源のセキュリティ

渋谷修二 (2009年9月14日 17:28) | コメント(0) | トラックバック(0)
第4章 人的資源のセキュリティ

 雇用前
【管理目的】従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は施設の不正使用のリスクを低減するため。
【管理方針】情報資産の従業員による、誤用、不正使用を防止する為の枠組みを確立維持する。

 役割及び責任
【要求事項】
 従業員、契約相手及び第三者の利用者のセキュリティの役割及び責任は、組織の情報セキュリティ基本方針に従って定義し、文書化すること。
【実施管理策】
 (1) 職務定義:従業員の職務定義に、重要情報にアクセスする責任を明確に含める。
 (2) 遵守評価:全従業員に対する、セキュリティポリシー遵守の状況を評価しなければならない。

img006.jpg

 選考
【要求事項】
 従業員、契約相手及び第三者の利用者のすべての候補者についての経歴などの確認は、関連のある法令、規則及び倫理に従って行うこと。また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行われること。
【実施管理策】
 (1) 内定者の信用チェック:全ての採用内定者に対して、信用調査と身元調査が行われることを通知しなければなれない。もし開示に応じない場合は、採用が取り消される。
 (2) 内定者個人情報:採用予定内定者の個人情報は、採用決定に関する業務以外に収集してはならない。
 (3) 採用内定者の生活習慣情報等:採用予定者に対して、業務上絶対必要でない限り、生活習慣、政治、宗教上の質問をしてはならない。
 (4) 採用予定者への情報公開:採用予定者に、採用の機密保持契約を締結するまでは、情報システムの詳細、ネットワーク構造、アドレス、セキュリティソフトの詳細等を公開してはならない。
 (5) 自己都合退職者の再雇用:正社員、コンサルタント、契約社員等が自己都合により退職したものは、経営陣の書面による許可が無い限り、再雇用してはならない。
 (6) 新入社員の試用期間:全ての新入社員、再雇用社員及び職務怠慢社員は、6ヶ月間の試用期間を置き、評価後に雇用、解雇を決定する。
 (7) 社員に対する保険:特別に重要なシステムに従事する従業員には最低1億円の身元保証保険を掛ける。
 (8) 重要プロジェクトの任命:最低2年間の優秀な業績を示したもののみを、重要プロジェクトの要員として任命できる。
 (9) 前科:重要な情報を取り扱う業務に、前科のある者を求人してはならない。
 (10) コンピュータ関連責任者:前科のある者を、コンピュータ関連部署の責任者にしてはならない。
 (11) 身元調査:情報システム部門の責任ある立場に従事する全従業員は、犯罪歴、訴訟歴、信用調査、運転免許歴、前職歴等の身元調査を行う。
 (12) うそ発見器:当社の全従業員は、情報システム部門の責任ある立場に着任する際、うそ発見器による検査を受けなければならない。
 (13) 個人情報のアクセス:個人情報を取り扱う業務に従事する従業員は、事前に身元調査を受けなければならない。
 (14) 重要な製品情報:マーケティング、設計、製造部門において、重要な製品情報にアクセスする全従業員は、事前に人事部門による、身元調査を受けなければならない。
 (15) 従業員の指紋採取:身元調査を実施する上で、犯罪歴等にアクセスする従業員は、事前に指紋を採取すること。
 (16) 誠実さと精神安定テスト:情報システム部門の責任ある立場に従事する全従業員は、人事部門による誠実さと精神安定のテストを受けなければならない。
 (17) 非正社員の身元調査:重要情報にアクセスする派遣社員、コンサルタント等、非正社員も正社員同様の身元調査を実施する。
 (18) 外国人:当社の情報システム業務に外国人を従事させてはならない。
 (19) 元ハッカーや更正した犯罪者:元ハッカーや更正した犯罪者を情報セキュリティ関連や法務部門の仕事に従事させてはならない。
 (20) 顕著な富:ある社員が急に裕福になったら、経営陣は慎重にその富の源泉を調べる必要がある。

 雇用条件
【要求事項】
 従業員、契約相手及び第三者の利用者は、契約上の義務の一部として、情報セキュリティに関する、これらの者の責任及び組織の責任を記載した雇用契約書に同意し、署名しなければならない。
【実施管理策】
 (1) 知的所有権:当社の社員は、会社での特許、著作権、発明等知的財産の占有権を会社に対して与えなければならない。
 (2) 退職時の処理:社員及び契約社員が退職する際の退職金等は、仕事に使用していたハード、ソフト、機密情報等を全て返却されなければ支払われない。
 (3) 社員の出張:同一目的地への飛行機による出張は、3人以上の幹部社員、5人以上の従業員、2人以上の技術者は、同じフライトに搭乗してはならない。
 (4) 内部告発:当社は、様々な場所へ予告なく現れ、従業員のセキュリティポリシー遵守状況を会社へ報告する、内部告発者を使用する。
 (5) 競合情報の収集:マーケット情報等競合情報を収集する従業員は、嘘や思い込みで誤った情報を当社に伝えてはならない。
 (6) 社員情報記録の配布:年に1回、個人の社員情報記録について記載の間違いが無いか、本人にコピーを配布しなければならない。
 (7) 労働安全衛生情報:経営者は労働安全衛生情報を公表しなければならない。
 (8) 作業場所の危険物:経営陣は作業現場にある危険を従業員に伝え、リスクを減らす管理策を施し、その使用法を訓練しなければならない。
 (9) 従業員自社株取引:従業員は自社株式を会計4半期末や、決算公表時期に売買してはならない。
 (10) 性的、民族的、人種的いやがらせ:従業員は性的、民族的、人種的嫌がらせをしてはならない。
 (11) 組織の敷地外での知的所有権:当社の従業員が、会社の利益の為に会社の敷地外で作成した、プログラムや書類の知的所有権は、当社に帰属する。
 (12) 行動規範:全従業員は、当社の行動規範をよく読み、理解し、振る舞わなければならない。
 (13) 承認基準:全従業員は当社の承認基準を良く理解しなければならない。
 (14) 利益に反する行動:全従業員は当社の利益に反する行動を取ってはならない。
 (15) 個人的関係:当社の従業員は、個人的に親密又は親戚関係にある企業と、取引をしてはいけない。
 (16) 競合相手への転職:全従業員は競合相手への転職が決まったら、すぐに当社の経営陣に報告しなければならない。そして、従業員としての特権やアクセス権をすぐに取り消さなければならない。
 (17) 従業員の退職:全従業員は、退職を決意したら直ちに当社に通知しなければならない。人事部門は直ちにしかるべき措置を取らなければならない。
 (18) 解雇した第三者契約者:当社が解雇した第三者契約者が、再度当社に勤務しないように、第三者契約会社に通知する。
 (19) 情報システム部門の解雇:情報システム部門に勤務していた従業員が解雇された場合、厳重に退職手続きを行う。
 (20) 解雇従業員の同伴:全てのケースで解雇され社員の行動は、敷地の外に出ていく迄同伴監視される。
 (21) 退職者の保管情報の返還:契約社員を含めた従業員が当社を退職する時、個人が保管していた全情報を返還しなければならない。
 (22) 退職時の資産の返還:契約社員を含めた従業員が当社を退職する時、会社から預かった資産(ノートパソコン、入退室カード、ドキュメント類等の全て)を返却しなければならない。
 (23) 連休の取得:経営陣はセキュリティ監査の為に、従業員が少なくとも5日以上の連休を取るようにしなければならい。
 (24) 副業:従業員は副業をしてはならない。
 (25) 副業の開示:従業員は、もし副業を行っている場合、経営陣に対してその内容を即時報告しなければならない。
 (26) 顧客としての従業員:情報システム部門の責任ある立場のものは、当社の顧客であってはならない。
 (27) 個人の事情の報告:従業員は、個人的事情の変化を直属の上司に報告しなければならない。
 (28) 従業員の転籍:転籍を通告された従業員は、処遇に不満を持って当社の資産にダメージを与えさせない為、速やかに影響の少ない部門に異動させなければならない。
 (29) 不満の解決:経営陣は従業員の不満を解決する手順を決め、適切な人材を任命する。
 (30) 内密のカウンセリング:従業員は、個人的な問題も含め、内密にカウンセリングを受けられる。
 (31) 薬と酒:専門医の指示を除いて、従業員は仕事場での薬と酒の使用は禁止される。
 (32) IDバッジを外す:従業員は当社の施設を出たら、直ちにIDバッジを外さなければならない。
 (33) IDバッジの管理:従業員は当社の敷地外で、IDバッジを安全に保管しなければならない。

 雇用期間中
【管理目的】従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織の情報セキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため。
【管理方針】情報資産の従業員による、誤用、不正使用を防止する為の十分な教育と違反の懲戒を公正に実施する。

 経営陣の責任
【要求事項】
 経営陣は、組織の確立された方針及び手順に従ったセキュリティの適用を従業員、契約相手及び第三者の利用者に要求すること。
【実施管理策】
 (1) セキュリティ基本方針の周知を図る。
 (2) 従業員及び関係する第三者に対する、教育訓練を実施する。
 (3) セキュリティ実施状況を監視する。
 (4) 違反に対する懲戒を公正に実施する。

 情報セキュリティの意識向上、教育及び訓練
【要求事項】
 組織のすべての従業員並びに、関連するならば、契約相手及び第三者の利用者は、職務に関連する組織の方針及び手順についての適切な意識向上のための教育・訓練を受け、また定めに従ってそれを更新すること。
【実施管理策】
 (1) ポリシー理解度テスト:ユーザは当社の情報にアクセスする前に、セキュリティポリシーを読み、理解度テストに合格しなければならない。
 (2) ポリシー、手順書の周知:個人情報に関するものを含め、セキュリティポリシー及び手順は、社員及び認可された外部の人間にのみ周知する。
 (3) リモートアクセス訓練:当社の従業員は、リモートアクセスの使用を開始する前に、その訓練を受けなければならない。
 (4) インターネット利用訓練:従業員は当社の施設を使用してインターネットを利用する前に、所属部門長の許可を得てインターネット利用に関するポリシーを読み、訓練を終えなければならない。
 (5) 情報セキュリティポリシー読本:全ての当社の新入社員は、配属前に情報セキュリティポリシーに関し遵守すべきことが要約された読本を配布される。
 (6) 情報セキュリティ訓練:従業員は、情報セキュリティについて十分な訓練を受けなければならない。
 (7) 基礎的な職務訓練:従業員は情報セキュリティ訓練を受ける前に、新しい仕事に対する基礎訓練を完了していなければならない。
 (8) 情報セキュリティポリシーの変更:従業員はセキュリティポリシーの変更について、確実に受け取れなければならない。
 (9) 更新訓練:情報セキュリティ部門は、くり返し情報セキュリティ訓練を実施し、従業員にセキュリティ責任を自覚させ続けなければならない。
 (10) 訓練時間:経営陣は従業員がセキュリティポリシー、手順及び関連する事項を勉強する十分な時間を割り当てなければならない。
 (11) セキュリティポリシー合意書:従業員はセキュリティポリシー、手順を理解し、それに従う合意書に署名しなければならない。
 (12) 情報セキュリティ講習会:従業員は3ヶ月に一度、情報セキュリティ講習会に参加しなければならない。
 (13) コンピュータシステム利用許可条件:従業員は初めてコンピュータシステムの利用を開始する前に、情報セキュリティ訓練を終えなければならない。
 (14) 業務システムの利用訓練:従業員は初めて業務システムの利用を開始する前に、そのシステム操作訓練を受けなければならない。
 (15) 情報セキュリティ合意書の更新:従業員及び情報セキュリティに関係する人は、毎年情報セキュリティ合意書の署名を更新しなければならない。
 (16) 技術スタッフの訓練:技術スタッフに対して、職務を遂行する為に十分な訓練を継続しなければならない。
 (17) 情報セキュリティの責任:日々の情報セキュリティに関する責任は、情報セキュリティ部門だけでは無く、全従業員の責任でなければならない。

【関連文書】「教育訓練年間計画書」「教育訓練実施報告書」

 懲戒手続
【要求事項】
 セキュリティ違反を犯した従業員に対する正式な懲戒手続を備えること。
【実施管理策】
 (1) 不服従の結果:セキュリティポリシー、スタンダード、手順に対する服従は、解雇を含めた懲罰の対象である。
 (2) 違反の結果:1回目のセキュリティポリシー、スタンダード及び手順違反は警告をし、2回目は人事ファイルに記録され、3回目は5日間の無給謹慎、4回目は訴訟を検討する。
 (3) ストックオプションの無効:ストックオプションの権利を持つ社員が機密漏洩を行ったら、その権利を無効にする。
 (4) 解雇:会社の資産を盗難、あからさまな不服従、重罪の有罪判決を受けた等、特段の経営陣による特赦が無い限り、これらを犯した従業員は解雇される。
 (5) 解雇した従業員の不正使用:PCが解雇された従業員の脅迫により使用されていることが判り次第、直ちにネットワークから切断し、ハードディスクをフォーマットしソフトを再インストールしなければならない。

【関連文書】「就業規則(外部文書)」

 雇用の終了又は変更
【管理目的】従業員、契約相手及び第三者の利用者の組織からの離脱又は雇用の変更を所定の方法で行うことを確実にするため。
【管理方針】従業員の雇用終了後、情報資産の保護の為の手続きを確立,維持する。
 雇用の終了又は変更に関する責任
【要求事項】
 雇用の終了又は変更に関する責任は、明確に定義し、割り当てること。
【実施管理策】
 (1) 情報セキュリティに影響のある雇用の終了又は変更は、それが判明したら即座に人事部長は情報セキュリティ管理責任者に報告しなければならない。
 (2) 情報セキュリティ管理責任者は、雇用の終了又は変更が実施されたら直ちに、以下7.2及び7.3に述べる管理策を実施しなければならない。

 資産の返却
【要求事項】
 すべての従業員、契約相手及び第三者の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産すべてを返却すること。
【実施管理策】
 (1) 情報セキュリティ管理責任者は、該当する返却資産を特定しなければならない。
 (2) セキュリティ管理責任者は返却された資産の使用状況について精査しなければならない。

 アクセス権の削除
【要求事項】
 すべての従業員、契約相手及び第三者の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正すること。
【実施管理策】
 情報セキュリティ管理責任者は、該当するアクセスの記録、事象の記録を識別し、適切に保存しなければならない。
 情報セキュリティ管理責任者は、雇用の終了又は変更の実施後速やかに全てのアクセス権限を削除し泣ければならない。

物理的及び環境的セキュリティ

渋谷修二 (2009年10月 5日 12:19) | コメント(0) | トラックバック(0)
第5章 物理的及び環境的セキュリティ

 セキュリティを保つべき領域
【管理目的】組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため。
【管理方針】情報資産を保護するための施設、部屋等のセキュリティ管理策を維持する。

 物理的セキュリティ境界
【要求事項】
 情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界(例えば、壁、カード制御による入口、有人の受付)を用いること。

【実施管理策】
 (1) 第三者アクセスからの保護:当社のオフィス、コンピュ−タ施設及びその他重要な情報資産がある場所は、ガードマン、受け付け担当等のスタッフによって、守られなければならない。
 (2) 物理的セキュリティ計画:当社の全てのコンピュータ施設は、物理的セキュリティ計画が立案され、毎年設備担当管理者によってレビューされなければならない。
 (3) コンピュータ施設の場所:サーバや通信設備は、ビルの1階で水や火を扱う場所から離れ、外壁から離れた窓の無い内壁に囲まれた場所に設置する。
 (4) コンピュータ施設の防火:コンピュ−タ施設を囲う防火壁は、耐火性で最低1時間の火災に耐えるものである。又そこに設置するドアや換気ダクトは火災の際、自動遮蔽式でなえければならない。
 (5) コンピュータ施設のドアの強さ:コンピュータ施設に付けるドアは、無理に押し入ることができない、十分な強度がなければならない。
 (6) コンピュ−タ施設のドアの開閉:コンピュータ施設のドアは、開けたら直ちに自動的に閉じるものでなければならない。又開いたままの時に作動するアラームが確実に動作するか定期的に検査しなければならない。
 (7) コンピュータ施設の第2ドア:コンピュータ施設の入口のドアには第2ドアを、入退室管理システムとともに設置する。

 物理的入退室管理
【要求事項】
 セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護すること。
【実施管理策】
 (1) 重要情報に対するアクセス制御:重要情報を含む全てのオフィス、コンピュータ室、作業場所は、物理的なアクセス制御を施さなければならない。
 (2) オフィスの施錠:オフィスを無人にする場合は、必ず施錠すること。
 (3) IDバッジ:全ての従業員は、安全が保たれた施設内では、IDバッジを衣服の上に着用しなければならない。IDバッジは写真と情報が明瞭に見えなければならない。
 (4) 仮IDバッジ:従業員がIDバッジを忘れた場合、1日限りのIDバッジを適用しなければならない。IDの発行には免許証等写真付きの証明手段によって行われる。
 (5) バッジによるアクセス制御:従業員はアクセス制御された入口で、各自のバッジのアクセス権限が確認されなければ、入る事が許可されない。
 (6) 同時アクセスの禁止:従業員はセキュリティで制限されたエリアに入る入口等を通過する際、同時に見知らぬ他人が通過することが無い様に注意しなければならない。
 (7) データセンターの2重扉:データセンターの人が通行する入口は、インターロック式の2重扉を備え、不審者のすり抜けを防ぐ。
 (8) 物理的不正アクセスの試みの禁止:従業員は組織の認可されていない施設の、物理的不正アクセスを試みてはならない。
 (9) 持ち物検査:組織の施設を出る全ての人は、守衛によりバッグ類の中を調べられなければならない。
 (10) アクセス制御記録の維持:施設等のセキュリティ部門は、直近の物理的アクセス記録を最低3か月間は保持しなければならない。
 (11) 退職社員のアクセス権限の失効:社員が退職してオフィスを去る時、その社員が使用していた物理的アクセス権限を全て失効させるか、変更しなければならない。
 (12) 退職社員の重要施設へのアクセス権限の無効:退職社員の重要施設へのアクセス権限は直ちに無効にしなければならない。
 (13) 管理職の物理的アクセス権限監査:管理職の物理的アクセス権限は常に更新され、アクセス権限を持つ他の委任された管理職によって、定期的にレビューされなければならない。
 (14) IDバッジ付与状況報告:各部門に於けるIDバッジ付与状況を部門長に対して毎月報告し、レビューを受けなければならない。
 (15) 外来者の認証:組織のセキュリティ制限領域に入ろうとする外来者は、写真付きの証明を提示し、入場記録にサインしなければならない。
 (16) 来訪者への同伴:オフィスを含め組織の施設への外来者は、認可された社員が必ず同伴しなければならない。これには顧客、元社員、社員の家族、保守契約社員、宅配業者、警察官等制限が無い。
 (17) 時間外の来訪者に対する同伴:通常業務時間外の組織の施設、オフィスへの来訪者に対しては、認可された部門のマネージャが同伴しなければならない。
 (18) 第三者の監視:認可された契約社員やコンサルタント等、社員で無い者が重要な情報資産のある場所にいる時は、常に監視しなければならない。
 (19) IDバッジを付けていない場合:正しいIDバッジを付けていない人物を発見したら、直ちにその旨を質問し、受付へ同行させなければならない。
 (20) 同伴者のいない外来者:従業員は組織のセキュリティ領域内を同伴者無しでいる外来者を発見したら、直ちに質問し受付や守衛所へ同行させなければならない。
 (21) データセンターやコンピュータルームへの来訪者:機器のメンテナンス等以外、明らかにそこに用事がないと思われる外来者を、データセンターやコンピュータルームへ入室させてはならない。
 (22) コンピュータ及び通信システムへの物理的アクセス:サーバや通信システムが収められたビル等は、物理的セキュリティ規定に従い、外部からの不正アクセス対策を講じなければならない。
 (23) 重要情報を取り扱う場所:重要な情報を取り扱う場合、不正アクセスや情報に損傷を与えない物理的に保護された場所で行わなければならない。
 (24) コンピュータルームへのアクセス:プログラマーやコンピュータユーザ等以外、業務上不要な者はコンピュータルームへの立ち入りを禁止する。
 (25) コンピュータルームスタッフのアクセス:コンピュータルームの運用管理者は、4半期毎に、コンピュータルームにアクセスするスタッフのリストをレビュー、更新しなければならない。
 (26) メディア保管場所へのアクセス:重要な磁気メディア、書類の保管場所は、一般従業員のアクセスを制限する。
 (27) コンピュータ施設の見学:一般へ、主要なコンピュータや通信施設の見学を実施する場合、従業員が同伴する。

 オフィス、部屋及び施設のセキュリティ
【要求事項】
 オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用すること。
【実施管理策】
 (1) 不正な監視装置、盗聴装置等の捜索:通信システム部門マネージャは、重要施設内に不正な盗聴装置や録音装置等が無いか、定期的に捜索をする。
 (2) サーバや通信機器の保護:サーバや主要な通信機器は鍵の架かる部屋に保護する。
 (3) コンピュータルームのドアが開放されている時:コンピュータルームのドアが開放状態にある時は、施設保安部門の要員によって、監視しなければならない。
 (4) 機密情報保管エリア内の機器:組織の機密情報保管エリア内には、プリンター、コピー、FAXを設置してはならない。
 (5) コンピュータ及び通信システムセンターの掲示:コンピュータ及び通信システムセンターの建物、部屋を示す掲示をしてはならない。

 外部及び環境の脅威からの保護
【要求事項】
 火災、洪水、地震、爆発、暴力行為、及びその他の自然災害又は人的災害による被害からの物理的な保護を設計し、適用すること。
【実施管理策】
 (1) 重要な情報資産が格納された部屋には火災に対する監視及び消火設備を備える事。
 (2) 情報のバックアップは、別な建物に保管する等、災害の影響を受けない事。
 (3) 重要な情報資産が格納された施設、部屋はそれと判る表示をしない事。

 セキュリティが保たれた領域での作業
【要求事項】
 セキュリティを保つべき領域での作業に関する物理的な保護及び指針を設計し、適用すること。
【実施管理策】
 (1) コンピュータセンターの人員配置:組織の主要なコンピュータセンターは、1年365日、1日24時間、技術スタッフを常駐させなければならない。
 (2) 携帯電話の使用:マシン室内での携帯電話の使用は禁止する。
 (3) 制限エリア内での作業:重要な情報がある制限エリア内では一人きりで作業をしてはならない。
 (4) 制限エリア内での作業時間:認可された従業員の、重要情報が存在する制限エリア内での作業は、認可された時間内に限られる。
 (5) 廃棄処分となった情報機器の格納:廃棄処分となった情報機器の格納場所は施錠し、できればリモートで監視できる様にする。
 (6) 通信機器エリア:主要な通信機器(電話交換機、ルータ、ハブ、通信関連サーバ等)が収まる部屋は常に施錠される。もし外来者入室する場合は認可された技術スタッフが同伴し行動を監視する。
 (7) 録音又はビデオ機器:組織の制限エリア内でカメラ、録音機、ビデオの使用を禁止する。

 一般の人の立ち寄り場所及び受け渡し場所
【要求事項】
 一般の人が立ち寄る場所(例えば、荷物などの受渡し場所)及び、敷地内の、許可されていない者が立ち入ることもある場所を管理し、また、可能ならば、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離すこと。
【実施管理策】
 (1) コンピュータルームへの配送:コンピュータルームは、そこへの物品の受け渡しの為に安全な受け渡しエリアを設けなければならない。
 
 装置のセキュリティ
【管理目的】 資産の損失、損傷又は劣化、及び業務活動に対する妨害を防止するため。
【管理方針】IT機器及び設備を誤用、不正及び災害等から保護する管理策を維持する。

 装置の設置及び保護
【要求事項】
 装置は、環境上の脅威及び危険からのリスク並びに認可されていないアクセスの可能性を軽減する様に設置又は保護する事。
【実施管理策】
 (1) 喫煙、飲食ポリシー:従業員、来客は、コンピュータルーム内のフリーアクセスフロア上での喫煙、飲食を禁止する。
 (2) 業務用システム機器の配置:組織の業務システム用のサーバ、ルータ、ファイヤーウォール、ネットワーク機器等は、物理的に保護されたデータセンター内に設置する。
 (3) コンピュータセンターの住所の公開:組織のコンピュータセンターの住所は、明らかな理由が無い限り公開してはならない。
 (4) コンピュータセンター環境管理:組織の各コンピュータセンター現地管理者は、火災感知、消火設備、電源供給、温湿度装置等、コンピュータの環境に関する装置類を適切に保守しなければならない。
 (5) 静電気対策:静電気放電から,PCやワークステーションを守る為に、情報システム部門により認可された方法を用いなければならない。
 (6) コンピュータの分散配置:コンピュータを地理的に分散させて配置する場合、運用上の不都合、セキュリティ上の不都合が無いことを確認しなければならない。
 (7) バックアップセンターの配置:組織のデータセンターは、地理的に離れた3か所に分けて設置しなければならず、それらは同じ電力配電所、通信交換局を共有してはならない。
 (8) 私物コンピュータの持ち込み:従業員は事前に部門長の認可無しに、私物であるコンピュータ、周辺機器、ソフトウェアを組織ないに持ち込んではならない。
 (9) ワークステーションの施錠:組織内の全てのワークステーションは施錠される。鍵のコピーは部門管理者によって配布された物を使用しなければならない。
 (10) 装置ラックの背面扉:コンピュータセンター内の機器ラックの背面扉は、認可された技術スタッフ、修理、保守点検の用以外は鍵をかけておく。
 (11) 電子商取引や金融システムのサーバ:インターネットを利用した商取引や、金融システムのサーバは物理的に隔離し、安全に配慮しなければならない。
 (12) 第三者との隔離:組織の社員が管理するコンピュータ及び通信機器は、第三者が管理する機器とは物理的に隔離しなければならない。
 (13) データセンターのロケーション:新たにデータセンターの設置を検討する場合、自然災害、人的な事故、暴動等の問題を考慮して場所を決定すること。
 (14) コンピュータセンターの構造:コンピュータセンターを新築、改築する場合、耐火、対水害、暴動その他地域に特有のリスク考慮した構造を持たなければならない。
 (15) 洪水予防:コンピュータセンターの洪水によるダメージを最小限にする計画を、情報セキュリティ部門が策定しなくてはならない。
 (16) コンピュータセンターの警報:コンピュータセンターは、火災、水害、侵入に対する自動警報装置を備えなければならない。

 支援ユーティリティ(電源)
【要求事項】
 装置は、支援ユーティリティの不具合による、停電、その他の故障から保護すること。
【実施管理策】
 (1) 電源供給装置:全てのPC及びワークステーションは、情報セキュリティ部門により認可された、無停電装置、電源フィルター装置又はサージ電流遮断装置等から電源供給を受けなければならない。
 (2) 供給施設の多重性:新設するコンピュータセンター、通信センターは、2か所以上の電力配電所、通信交換局からのサービスを受けられる場所とする。

 ケーブル配線のセキュリティ
【要求事項】
 データを伝送する又は情報サービスを支援する通信ケーブル及び電源ケーブルの配線は、傍受又は損傷から保護すること。
【実施管理策】
 電源及び通信ケーブル:電力及び通信ケーブルの敷設及び保守は、登録された業者が行う。この業者は業界の最新安全基準に従う。

 装置の保守
【要求事項】
 装置についての継続的な可用性及び完全性の維持を可能とするために、装置を正しく保守する事。
【実施管理策】
 (1) 製品登録:全ての情報システム製品(ハード、ソフト)は購入時、又は登録がされていない事が判明次第、直ちに適切なベンダーへ登録をしなければならない。
 (2) 予防保守:全てのコンピュータ及び通信機器は、予防保守を実施しなければならない。
 (3) 装置の保守:業務システム用の情報機器は、ベンダーの定める保守仕様に従って保守をしなければならない。又保守、修理の対応は認可された業者が行う。
 (4) ハード、ソフトの維持:ハード、ソフトは組織で保存している古いメディア類を読み出す事ができる様に、使用しなくなっても維持しなくてはならない。
 (5) コンピュータの構成変更:組織によって与えられたコンピュータの構成を、部門管理者の了解無しに変更及び追加をしてはならない。

 構外にある装置のセキュリティ
【要求事項】
 構外にある装置に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用すること。
【実施管理策】
 敷地外使用の承認:経営陣は敷地外での情報機器使用について、全て認可を判断しなければならない。

 装置の安全な処分又は再使用
【要求事項】
 記憶媒体を内蔵した装置は、処分する前に、取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、又は問題が起きないように上書きしていることを確実にするために、すべてを点検すること。
【実施管理策】
 (1) 機器の譲渡:情報機器を他社等へ譲渡する場合、重要情報を全て取り除く事を確実にしなければならない。
 (2) 情報及び機器の廃棄:部門責任者は、不要になった情報や機器の廃棄について、情報セキュリティ部門が定めた手順で確実に行う責任がある。これはCD-ROM等消去できないメディアの情報やソフトについても同様である。

 資産の移動
【要求事項】
 装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出さないこと。
【実施管理策】
 (1) 荷物検査:ノートパソコンや携帯電話等情報機器は、適切な検査をパスしなければ敷地外へ持ち出す事はできない。
 (2) メディアの持ち出し:全ての情報メディアは組織から持ち出す場合、正式な認可手順に従い建物の守衛所で記録する。
 (3) 装置の持ち出し、返却を記録する。この記録は3年間以上保存する。
【関連文書】「持ち出し返却記録簿」

通信及び運用管理

渋谷修二 (2009年10月29日 19:01) | コメント(0) | トラックバック(0)
第6章 通信及び運用管理

 運用手順及び責任
【管理目的】情報処理設備の正確、かつ、セキュリティを保った運用を確実にするため。
【管理方針】IT運用を正しく行う為、運用の手順等の整備、維持を行う。

 操作手順
【要求事項】操作手順は、文書化し維持していくこと。また、その手順は、必要とするすべての利用者に対して利用可能とすること。

【実施管理策】
 (1) ユーザープロセス、セッションおよびファイル:エンドユーザは、当社のシステム管理者が緊急時にはユーザーへの通告無しに、以下の措置を取ることをあらかじめ諒解しておくこと。
 (2) ユーザープロセスがシステムリソースを過度に消費する、あるいは著しいレスポンスの低下がみられる場合、プロセスの優先順位を変更する。もしくは、プロセスを停止する。
 (3) ユーザーのセッションや接続がセキュリティポリシー違反に該当する、もしくはシステムリソースを過度に消費している場合、それらのセッションや接続を切断する。
 (4) ユーザーのディスクファイルがディスク容量を過度に消費している場合、移動や圧縮処置をとる。
 (5) 重要なアプリケーションの復旧ログ:重要度の高いビジネスアプリケーションについては、システム活動を15分以内に再開することを目的とした復旧ログを維持管理しなければならない。
 (6) プロダクションアプリケーション文書:アプリケーションをプロダクション環境に移行する際には、事前にプロダクションアプリケーション文書を作成し、決められた情報オーナーの承認を受けなければならない。
 (7) プロダクションアプリケーション文書には、アプリケーションを実行するのに必要なシステムリソース、関連するファイル、セキュリティの機能、ジョブやプロセスを監視し、管理するための仕様、アウトプットの処理方法を記述する必要がある。
 (8) システムの可用性:経営と技術スタッフは共有コンピュータへのユーザーアクセスに関して、月次就労時間の95%以上の可用性を保証する必要がある。
 (9) コンピュータの災害復旧計画:経営は洪水・地震・竜巻等の災害による深刻な損害に備え、災害復旧計画を策定しなければならない。なお、定期的に計画を更新するとともにテストを実施する必要がある。
 (10) 主要なテクニカルジョブ:経営は、当社の主要なテクニカルジョブとその担当者のリストを1年に1度作成する必要がある。
 (11) 相互監視運用:当社のビジネスに影響度の高い情報システムに関する基盤技術サービスに関して、常時2人以上のスタッフを供給できる体制を確保しなければならない。
 (12) コンタクト情報:情報システム部門の技術スタッフは、外出時には必ずページャーを携帯すること。上長もしくは所属グループの秘書にページャーの番号を通知し、就労時間外や旅行中であっても常時連絡の取れる体制を確保しなければならない。
 (13) プロダクションの変更:当社のプロダクションデータやプロダクションプログラムの変更は、認可された要員以外には許可されない。なお、変更の手順を確立しておくこと。
 (14) プロダクショントランザクション処理の権限付与:ビジネスレコードを更新するトランザクション処理は、当社の経営が認可したものに限られる。
 (15) ビジネスレコードの修正:当社のビジネスレコードにエラーがあることが検知された場合、スタッフは、既定の管理手順に従って速やかに修正しなければならない。
 (16) システムの専門家:重要度の高いコンピュータやコミュニケーションに関わる専門家は、常時2名以上配備しなければならない。
 (17) コンピュータおよびコミュニケーションサービスに対する請求:コンピュータ利用者はコンピュータおよび通信費の詳細を随時レビューしなければならない。それには、組織内の返金明細も含まれる。その際、請求が妥当か、重大なミスや無認可の使用が無いないかどうかを見落としてはならない。
【関連文書】「各操作手順書」

 変更管理
【要求事項】情報処理設備及びシステムの変更について管理する事。

【実施管理策】
 (1) ベンダーが供給する特権ユーザーID:当社においてマルチユーザーコンピュータOSを導入する際には、技術スタッフは事前にすべての特権ユーザーID("administrator"、"auditor"、あるいは"installer"等)を無効化するか、改名しなければならない。
 (2) ソフトウェアの削除:OS標準付属のモジュールやユーティリティが明らかに不要であるか、基本のシステムソフトウェアの運用に不必要である場合、プロダクション環境での実運用に入る前にそれらを削除するか、無効化しなければならない。
 (3) プロダクションOSの変更:プロダクションOSに拡張、修正、書き換えを施す際には、事前に情報セキュリティ部門マネジャーの書面による承認を取得しておかなければならない。
 (4) プロダクションOS変更の見直し:技術スタッフは、プロダクションOS変更の見直しや脆弱性の検査を定期的に実施しなければならない。
 (5) ソフトウェアのバージョン:技術スタッフは、当社のOS、データベース、ファイアウォール、関連ソフトウェア、ビジネスアプリケーションソフトウェアのバージョンは、安定した最新のリリースレベルのものに維持管理しなければならない。
 (6) 復旧手順:プロダクションシステムソフトウェアとプロダクションアプリケーションソフトウェアの復旧手順を含む適切な変更管理手順が策定されなければならない。その手順は、変更前の最終稼動状態に速やかに復旧できるものでなければならない。
 (7) OSのバージョン:当社が採用するOSは、安定性が保証された最新のバージョンを使用しなければならない。
【関連文書】「システム運用/仕様変更申請書」「運用変更管理台帳」

 職務の分割
【要求事項】職務及び責任範囲は、組織の資産に対する、認可されていない又は意図しない変更又は誤用の危険性を低減するために、分割すること。

【実施管理策】
 (1) ジョブローテーション:コンピュータ関連の重大な責任を担う役職にいるスタッフは、18ヶ月ごとに他のポジションへの配置換えが必要である。
 (2) 職務の分離:当社の機密性、完全性、可用性の高い重要な情報を扱うコンピュータベースのプロセスにおいて、職務の分離もしくは代替の管理策を講じる必要がある。この管理策は、重要な情報資産に対する個人レベルの排他的な管理を目的とする。
 (3) 作業責任の分担:機密性、完全性、可用性の高い重要な情報を扱う仕事には、少なくとも2人以上のスタッフを配備することが望ましい。これは、仕事の開始から完了の手続きと作業の結果を承認する役割など情報処理活動における作業分担を目的とする。
 (4) コンピュータによる分析の見直し:専任者が単独でスプレッドシート等のアプリケーションを使ってリサーチして導き出されたビジネスの決定のうち、1億円を超えるものは、実際にアクションを起こす前に他のマネジャーが詳細の見直しを行わなければならない。

 開発施設及び運用施設の分離
【要求事項】開発施設、試験施設、及び運用施設は、運用システムへの認可されていないアクセス又は変更によるリスクを低減するために、分離すること。

【実施管理策】
 (1) プロダクション及び開発の分離:開発中のビジネスアプリケーションソフトウェアは、プロダクションアプリケーションソフトウェアから厳密に分離されていなければならない。
 (2) そのためには、物理的なコンピュータシステムの分離、およびディレクトリやライブラリに対するアクセス制御の強化を考慮すること。
 (3) 情報技術職の分離:プロダクションアプリケーションソースコードの開発と保守、プロダクションアプリケーションのステージングと運用、さらにプロダクションアプリケーションのデータ処理は、それぞれを個別のスタッフで遂行すべきである。
 (4) プログラミングとテストの分離:開発中のプロダクションビジネスアプリケーションソフトウェアと、テスト中のプロダクションビジネスアプリケーションソフトウェアは厳密に分離されなければならない。 
 (5) そのためには、物理的なコンピュータシステムの分離、およびディレクトリやライブラリに対するアクセス制御の強化を考慮すること。
 (6) ソフトウェアのテスト:ビジネスアプリケーションソフトウェアの開発に関わった人員は、公式のソフトウェアテストおよび日々の運用に関わってはならない。

 第三者が提供するサービスの管理
【管理目的】第三者の提供するサービスに関する合意に沿った、情報セキュリティ及びサービスの適切なレベルを確保し、維持するため。

【管理方針】第三者が提供するITサービスのリスクを識別し、適切な管理策を施し、維持する。

 第三者が提供するサービス
【要求事項】第三者が提供するサービスに関する合意に含まれる、セキュリティ管理策、サービスの定義、及び提供サービスレベルが、第三者によって実施、運用及び維持されることを確実にすること。

【実施管理策】
 (1) 外部委託におけるリスクと要求:情報処理設備の管理を外部に委託する際には、事前にあらゆるリスクを想定し、リスク軽減策を確立したうえで、サービスの契約内容に外部契約者への要求事項を盛り込む必要がある。

 第三者が提供するサービスの監視及びレビュー
【要求事項】第三者が提供するサービス、報告及び記録は、常に監視し、レビューしなければならない。また、監査も定期的に実施しなければならない。

【実施管理策】
 (1) 第三者サービスに対する契約事項に、監視及びレビュー要件を盛り込む事。
【関連文書】(各契約文書)

 第三者が提供するサービスの変更に対する管理
【要求事項】関連する業務システム及び業務プロセスの重要性、並びにリスクの再評価を考慮して、サービス提供の変更(現行の情報セキュリティ方針、手順、及び管理策の保守・改善を含む)を管理すること。

【実施管理策】
 (1) 第三者サービスが変更される場合、直ちに変更に伴うリスクを評価し、適切な管理策を見出さなければならない。

 システムの計画作成及び受け入れ
【管理目的】システム故障のリスクを最小限に抑えること。

【管理方針】ITシステムのライフサイクルを管理し、適正な運用を実施する。

 容量・能力の管理
【要求事項】要求されたシステム性能を満たすことを確実にするために、資源の利用を監視・調整し、また、将来必要とする容量・能力を予測すること。

【実施管理策】
 (1) マルチユーザーシステムの実装:イントラネットサーバ、電子掲示板、LAN,モデム接続、その他の情報通信システムを既存の内部ネットワークへ接続する際には、事前に情報セキュリティ部門長の承認を得なければならない。
 (2) システムの相互接続:二つ以上のコンピュータシステム間でリアルタイム接続を確立してはならない。ただし、情報セキュリティ部門がセキュリティの脅威が無いことを認めた場合を除く。
【関連文書】「機器構成管理台帳」

 システムの受け入れ
【要求事項】新しい情報システム、改訂版及び更新版の受け入れ基準を確立し、その受け入れ前に適切な試験を実施すること。

【実施管理策】
 (1) システムの設定:サーバー、ホストマシン、ファイアウォール、その他のマルチユーザーコンピュータの設定は、情報セキュリティ部門が策定するセキュリティ要求事項に準拠したものでなければならない。
 (2) プロダクションシステムに関する文書:ビジネス活動を実現するためのソフトウェアやハードウェアの開発要員は、配備の前にシステムの文書化を完了しなければならない。
 (3) 新技術の評価:アプリケーションソフト、ハードウェア、ネットワークの新しい技術を使用するためには事前に情報セキュリティ管理者の評価と承認を得なければならない。
 (4) プロダクションシステムの変更管理:新規のビジネスアプリケーションシステムをプロダクションへ移行するか、ビジネスアプリケーションシステムへ大きな変更を加えるためには、情報セキュリティ部門のマネジャーによる書面による承認を得なければならない。
 (5) プロダクションアプリケーションの受け入れ:マルチユーザーコンピュータ上で新規のプログラムの使用の認可を得るには、コンピュータ運用部門、関わりのあるユーザー部門と情報技術監査部門からの署名付きの受け入れ許可が必要である。
 (6) エンドユーザによるシステム開発:エンドユーザの開発による非常に重要な情報を取り扱うソフトウェアをプロダクションプロセスにおいて使用するためには、適切な対策が講じてあることをセキュリティ部門マネジャーから承認されなければならない。
 (7) ソフトウェアの変更に対する不測の事態対策:新しいプロダクションソフトウェアの実装、もしくは、大幅なソフトウェアの変更が一億円以上の損失を引き起こす可能性があると考えられる場合には、経営は、影響を被るおそれのあるユーザーに対してサービスの継続を保証するかたちでのソフトウェア変更に関する不測の事態対策を策定しなければならない。
 (8) 情報セキュリティの影響分析:機密情報のコンピュータへの移行、新規あるいは大きな変更をもたらす方法での機密情報の取リ扱いに関して、潜在的なセキュリティの影響度を評価するためにリスクアセスメントを実施する必要がある。
 (9) セキュリティ影響記述書:新規のビジネスアプリケーションシステムがプロダクションで使用されるか、既存のアプリケーションシステムに大きな変更が加えられる、または、補強される場合、事前に、既定の手順に従って簡潔なセキュリティ影響記述書が提出されなければならない。
 (10) プライバシーへの影響からの見直し:システムの開発や補強のプロジェクトが個人のプライバシーに実質的に影響を与える可能性があれば、独立した委員会によるレビューを受けなければならない。その委員会は、個人がプロジェクトによって結果的にリスクや不利益を被るかどうかを評価し、必要であれば、プロジェクトの修正や中止を求める。
 (11) 情報セキュリティ管理策に対するユーザーの支持:すべての情報セキュリティ管理策はユーザーに受け入れられ、なおかつ支持されていることが明らかでなければならない。そのために、経営は管理策の有効性を説明する努力を尽くすこと。
 (12) システム設定のテンプレート:当社の標準のコンピュータは、情報セキュリティ部門から提供される3つのセキュリティテンプレートのうちの何れかに従って設定され、カスタマイズしなければならない。
【関連文書】「運用システム管理台帳」

 悪意のあるコード及びモバイルコードからの保護
【管理目的】ソフトウェア及び情報の完全性を保護するため。

【管理方針】ウィルスやワーム等の不正ソフトの対策を徹底し、情報セキュリティを確実にする。

 悪意のあるコードに対する管理策
【要求事項】悪意のあるコードから保護するために、検出、予防及び回復のための管理策、並びに利用者に適切に意識させるための手順を実施すること。

【実施管理策】
 (1) ネットワークアクセス:必要とされているソフトウェアパッチを適用していないシステム、あるいはウィルスに感染しているシステムは、当社のネットワークから切断されなければならない。
 (2) コンピュータウィルスの駆除:ウィルスに感染した疑いのある場合は、直ちにコンピュータの電源を落とし、接続中のすべてのネットワーク接続から切り離し、社内ヘルプディスクへ連絡しなければならない。ウィルスの被害を最小化するため、エンドユーザは独力でウィルス駆除を試みてはならない。
 (3) システム管理者によるウィルスの駆除:エンドユーザは、システム管理者とコミュニケーションをとっていない限り、ウィルスの駆除を試行してはならない。
 (4) ソフトウェアのダウンロード:スタッフは、当社以外のシステムから、ソフトウェアをダウンロードしてはならない。
 (5) ソフトウェアの走査:信頼のおける外部の個人または組織からソフトウェアを入手した場合で無い限り、不正コードの走査を実施し、情報セキュリティ部門あるいは情報セキュリティコーディネーターターのセキュリティ責任者による承認を得なければならない。
 (6) ウィルスのテスト:外部からソフトウェアやファイルを入手した場合は、当社の情報システムで使用する前に、必ず不正なソフトウェアの有無を検査しなければならない。検査は、スタンドアロンマシンか業務で使用していないマシンで行う。
 (7) 第三者へのソフトウェアの配布:第三者へ配布するソフトウェアや実行形式ファイルは、事前にウィルスが無いことを保証されていなければならない。
 (8) アンチウィルスソフトウェアの導入:当社のすべてのファイアウォール、FTPサーバー、メールサーバー、イントラネットネットサーバー、およびデスクトップマシンにアンチウィルスソフトウェアを導入し、有効化しておかなければならない。
 (9) 複数のウィルス検知ソフトウェア:電子メールやその他のファイルが当社のネットワークに到達する拠点において、少なくとも2つ以上のウィルス検知ソフトウェアを使用しなければならない。
 (10) ウィルスフリーを示すステッカー:外部から入手したフロッピーディスクには、専任の管理者による検査と承認を受けて得られるウィルスフリーであることを保証するステッカーを貼り付けること。その後、当社のパーソナルコンピュータあるいはLAN(ローカルエリアネットワーク)上のサーバー上でフロッピーの使用が許可される。
 (11) ダウンロードしたソフトウェアのスキャン:当社以外のソースからダウンロードしたソフトウェアを解凍する前に、認可されたウィルス検出ソフトウェアによってソフトウェアを検査しなければならない。その際、ユーザーはすべてのサーバーからログオフするなど、すべてのネットワーク接続を切断しておくこと。
 (12) システムの完全性チェック:当社の全コンピュータおよびサーバーにおいて、構成設定ファイル、システムソフトウェア、アプリケーションソフトウェア、およびその他のシステムリソースに対する変更を検知するために完全性検査ソフトウェアを少なくとも一日一回は継続して運用しなければならない。
 (13) ウィルスチェックプログラム:すべてのLAN(ローカルエリアネットワーク)上のサーバーとネットワーク接続のあるパーソナルコンピュータにおいて、情報セキュリティ部門に認可されたウィルスチェックプログラムを絶えず有効化しておかなければならない。
 (14) 最新のウィルスソフト:当社の情報をコンピュータ上で調査し、処理を行い、保存する仕事に従事するすべてのスタッフは、情報セキュリティ部門が承認した最新バージョンのウィルス検出ソフトウェアを導入し、定期的に実行しなければならない。
 (15) ウィルスチェックのためのファイルの解凍:外部から入手したファイルは、認可されたウィルス検査を受ける前にすべて解凍されなければならない。
 (16) ソフトウェアの書き込み禁止:ウィルスによるソフトウェアの書き換えを防ぐために、パーソナルコンピュータやワークステーションで実行しているソフトウェアを書き込み禁止状態にしておくこと。ただし、インストール中であるか、再構成されているか、運用上自身を書き変えるソフトウェアを除く。
 (17) バックアップファイルのウィルススキャン:バックアップ記録媒体から当社のプロダクションへファイルを復旧する際には、最新バージョンのウィルス検出ソフトウェアを使用してウィルス検査を実施しなければならない。
 (18) ウィルスへの関与:スタッフは、当社のコンピュータやネットワークを複製したり、損傷を与えたり、負荷を与えるようなコンピュータコードの作成、加工、コンパイル、コピー、収集、配布、増殖、実行や試行に意図的に関わってはならない。
 (19) ユーザーのソフトウェア導入:ユーザーが、パーソナルコンピュータやネットワークサーバーなどのマシンにソフトウェアをインストールするには、情報セキュリティコーディネーターの事前認可が必要である。
 (20) 外部プログラムのロード:外部で開発されたコンピュータプログラムをパーソナルコンピュータ、ワークステーション、ネットワークサーバー、あるいは社内ネットワークに接続されたコンピュータに読み込ませるためには、あらかじめ情報システム部門の認可を受けておかねばならない。
 (21) プッシュ技術によるソフトウェアのアップデート:バッググラウンドプッシュ技術を利用してソフトウェアの自動アップデートを行う場合は、情報セキュリティ部門によって関連するソフトウェアがテストされた場合にのみ許可される。
 (22) インターネットミラーサイトからのソフトウェアダウンロード:デジタル署名など、認証ツールを装備した信頼のおける供給元からでない限り、インターネットミラーサイトから直接ソフトウェアをダウンロードしてはいけない。
 (23) インターネット経由のソフトウェアダウンロード:エンドユーザは、いかなる状況であっても、インターネットからソフトウェアをダウンロードしてはいけない。
 (24) ダウンロードした情報:インターネットや他の公共ネットワークなどの当社以外の拠点を経由してダウンロードしたソフトウェアやファイルは、他のプログラムに組み込んで、実行される前にウィルス検出ソフトウェアを使用してウィルス検査を行うこと。

 モバイルコード(ダウンロードされるプログラム)に対する管理策
【要求事項】モバイルコードの利用が認可された場合は、認可されたモバイルコードが、明確に定義されたセキュリティ方針に従って動作することを確実にする環境設定を行うこと。また、認可されていないモバイルコードを実行できないようにすること。

【実施管理策】
 (1) インターネットを介してダウンロードされるプログラムは、情報セキュリティ管理者によって、事前に承認されなければならない。
 (2) ダウンロードしたら、実行前に必ず検査をしなければならない。この検査プログラムは最新の状態に保たなければならない。
【関連文書】「ダウンロード可能ソフト管理台帳」

 バックアップ
【管理目的】情報及び情報処理設備の完全性及び可用性を維持するため。
【管理方針】重要な情報は確実にバックアップを行い、情報の完全性、可用性及び事業継続を確実にする。

 情報のバックアップ
【要求事項】情報及びソフトウェアのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査すること。

【実施管理策】
 (1) ソフトウェアのマスタコピー:すべてのパーソナルコンピュータソフトウェアは、使用前に必ず複製をとること。そのようなマスタコピーは安全なセキュリティ保護を受けた場所に保管されるとともに、日常業務で使用してはならない。
 (2) データのバックアップ:当社のシステム上の重要なビジネス情報およびソフトウェアは月次ベースで定期的にバックアップされなければならない。
 (3) バックアップ媒体:ユーザーは、重要なファイルのバックアップをとるためには、各自データ記憶媒体を用意すること。バックアップを目的として、当社の共有コンピュータに接続されたハードドライブやデータ記憶媒体を使用してはいけない。
 (4) バックアップ媒体の暗号化:機密性、完全性、可用性の高い情報をバックアップコンピュータ媒体に記録し、当社のオフィス外の拠点で保管する場合は、必ず暗号化されなければならない。
 (5) オンサイトにおけるバックアップファイル:プロダクションコンピュータを運用しているサイトでは、少なくとも一世代以上のオフラインデータ記憶媒体によるバックアップファイルが維持管理されなければならない。
 (6) 複数のバックアップコピー:当社の重要な情報を記録した最終の完全バックアップを二つ以上作成し、常にオフサイトに保管しなければならない。
 (7) バックアッププロセス:エンドユーザーファイルの差分バックアップは、毎営業日に管理者によって午後6時から行われること。ただし、金曜日は、すべてのファイルのフルバックアップが実施されなければならない。
 (8) 自動バックアップ:LAN(ローカルエリアネットワーク)に接続しているユーザーは、自動バックアップが実行されるよう、夜間もコンピュータの電源をつけたままにしておくこと。
 (9) バックアップされた情報のレビュー:当社のシステムに保存されているすべてのファイルとメッセージは、磁気テープ、ディスクなどの磁気記憶媒体に定期的にバックアップされなければならない。また、システム管理者もしくは担当の経営が、問題なく復旧できることを後日確認する必要がある。
 (10) 重要なバックアップファイル:重要データのバックアップをデータのリストア目的で使用してはならない。ただし、他の記憶媒体に同一データの別のバックアップコピーがある場合を除く。
 (11) バッチ処理に先行するバックアップ:バッチ処理に関連するすべてのマスターファイルとマスターデータベースのバックアップが先行して完了しない限りは、プロダクションバッチ処理を開始してはいけない。
 (12) バックアップ用記憶媒体:重要なビジネスの情報やソフトウェアのバックアップは、災害対策とアクセスコントロール対策が講じられているオリジナルの施設から十分に離れたサイトに保管しなければならない。
 (13) バックアップ媒体の保管場所:コンピュータおよびネットワークのバックアップ記憶媒体は、バックアップ処理を行うマシンから隔離された別の防火区域に保管しなければならない。
 (14) バックアップ用記憶媒体ユニット:火災警報による自動閉鎖機能がない場合、耐火性のバックアップ媒体保管室、保管庫、あるいはキャビネットなどのバックアップ媒体を保管している領域を、完全に閉鎖しておかなければならない。
 (15) ウェブサイトと商取引サイトの記録保管:ウェブサイトと商取引サイトのファイルの各バージョンは、それぞれ物理的に離れた場所に記録保管されなければならない。
 (16) 重要な情報のバックアップ:技術スタッフは、少なくとも4ヶ月に1度、重要度の高いビジネス情報やソフトウェアのバックアップを磁気記録媒体に保管しなければならない。なお、少なくとも1年間は、媒体を保管しなければならない。
 (17) アーカイブされた磁気記憶媒体のディレクトリ:バックアップデータをオフサイトに保管する際には、情報が更新された最終日付や情報の所在などの固有の情報がカレントディレクトリに反映されるようにしなければならない。
 (18) 記憶媒体:機密性、完全性、可用性の高い重要な情報を6ヶ月以上保管する場合、保管媒体は品質の劣化が無いものでなければならない。
 (19) 記憶媒体のテスト:技術スタッフは、コンピュータ記録媒体に長期間に渡って保管されている重要なビジネス情報やソフトウェアのテストを少なくとも年に1度、行わなければならない。
 (20) 記憶媒体の品質:機密性、完全性、可用性の高い重要な情報を保管するために使用される媒体は高品質のものでなければならない。また、定期的に信頼性のテストを実施しなければならない。
 (21) 記憶媒体の保護:機密性、完全性、可用性の高い重要な情報を長期間保管する際、品質の劣化によるデータの損失が起きないよう保管手順を整備する必要がある。
 (22) オフサイトに保管されたペーパーフォーム:オフサイトに保管してあるペーパーフォームと当社のプリンター、ファックス等の機器との互換性テストが、少なくとも3ヶ月に1度実施されなければならない。

 ネットワークセキュリティ管理
【管理目的】ネットワークにおける情報の保護、及びネットワークを支える基盤の保護を確実にするため。

【管理方針】ネットワークに関する機器,設備、ソフトウェア、設定情報及びサービス業者の管理を実施し、ネットワーク利用のセキュリティを確実にする。

 ネットワーク管理策
【要求事項】ネットワークを脅威から保護するために、また、処理中の情報を含め、ネットワークを用いた業務用システム及び業務用ソフトウェアのセキュリティを維持するために、ネットワークを適切に管理し、制御すること。

【実施管理策】
 (1) ホストの信頼関係:情報セキュリティ部門の管理者による書面での承認が無い限り、技術スタッフは当社の内部ネットワークに接続しているコンピュータ間でホストの信頼関係を構築してはいけない。
 (2) セキュリティ設定:当社の社内ネットワークに接続するすべてのホストの構成と設定パラメータは、社内セキュリティ基準と規程に準拠しなければならない。
 (3) 外部接続ネットワークインターフェース:当社のシステム設計および開発担当は、情報セキュリティ部門マネジャーの認可を受けた外部接続ネットワークインターフェースとプロトコルに限って使用できるものとする。
 (4) リモート接続による調査:当社では、社内ネットワークに接続しているパーソナルコンピュータのネットワーク活動状況について定期的なモニタリングが実施されなければならない。そのような調査には、ウィルススキャン、ソフトウェアのライセンス検査も含まれる。
 (5) インターネットのトラフィック制御:当社では、従業員が訪問したウェブサイトの情報やインターネット送受信のトラフィックはすべてモニタリングされる。それらのトラフィックに対してフィルタリング、ブロッキングによる制御は実施されない。
 (6) クッキーとウェブバグ:当社のウェブサイトまたは商取引サイトにおいてクッキーやウェブバグを使用するためには、収集する個人情報を情報セキュリティ管理委員会に提出し、その認可を受けなければならない。
 (7) 情報伝達における機密保持:機密性の高い情報を公共の通信網を通じて提供する際には、競合相手によって利用されることを避けるために、公共の利用可能性を損なわない程度での情報の完全性に対する修正を施さなければならない。
 (8) ネットワークサービス停止の回避:経営は、当社の通信ネットワークの構築において、一点の障害が全体のサービスの停止を引き起こすことの無い設計がなされていることを確認する責任がある。
 (9) 複数のキャリア:経営は、当社の通信ネットワーク上の重要性の高い通信網については、物理的に異なる経路を通じて複数の長距離キャリアに転送されるよう冗長的な設計がなされていることを確実にする責任がある。
 (10) インターネットドメインの登録:当社のすべてのオフィシャルサイトのドメイン名登録における支払い、文書管理業務は、規定の公衆通信管理マネジャーによって適切なタイミングと方法で管理されなければならない、
 (11) 完全性検査ツール:インターネット接続のあるプロダクションシステムには完全性検査ツールを導入しなければならない。
完全性検査ツールとは、一日単位で重要なファイルの中のハッシュまたはデジタル署名と、オフラインシステム上で維持しているハッシュまたはデジタル署名とを比較し、変更や改ざんの有無を確認するツールである。
 (12) メッセージ保護サービス:当社コンピュータネットワーキングサービスとして、ネットワークメッセージ保護サービスを提供しない。
 (13) 内部ネットワークアドレス:当社ネットワークシステムの内部システムアドレス、構成情報、およびシステム設計情報に対して、社外のユーザーやシステムがアクセスできないよう接続を制限しなければならない。
 (14) ネットワークドメイン:技術スタッフは、全国あるいは組織の境界にまたがる広範囲のネットワークは、独立した論理ドメインに分割されなければならに。それぞれのドメインは、適切なセキュリティ境界とアクセス制御機構によって保護される必要がある。
 (15) 不正侵入検知システム:インターネット接続のあるすべてのマルチユーザーコンピュータにおいて、情報セキュリティ部門が承認した不正侵入検知システムを運用しなければならない。
 (16) ホストベースの侵入検知システム:外部とのネットワーク接続を持つメールサーバー、ウェブサーバ、アプリケーションサーバ、データベースサーバー、ファイアウォール上では、情報セキュリティ部門が認可したホストベースの侵入検知システムを、継続的に運用しなければならない。
 (17) パーソナルコンピュータとワークステーションファイアウォール:ダイアルアップ、デジタル・サブスクライバ・ライン(DSL)、総合デジタル通信網(ISDN)、ケーブルモデムなどを利用してインターネットと接続しているパーソナルコンピュータとワークステーションには、認証済のファイアウォールを各自インストールし、継続的に有効化しなければならない。
 (18) ファイアウォールへの管理者アクセス:当社のインターネット接続のあるファイアウォールは、認可された管理者がサービス停止攻撃(DDOS)の最中に接続を確立することを許可するためにバックチャネルアクセスを設けなければならない。
 (19) ファイアウォールによるインターネット商用サーバーの保護:課金サーバー、データベースサーバー、WEBサーバーなどのすべてのインターネット商用サーバーは、DMZに配備されたファイアウォールによって保護されなければならない。
 (20) 公共向けインターネットサーバ:公共向けインターネットサーバは、ルータやファイアウォールによって一般からのトラフィックを制限した、当社の内部ネットワークと分離したサブネット上に設置しなければならない。
 (21) ダイアルアップ接続:当社の内部ネットワークやコンピュータシステムに接続する内向きのダイアルアップ回線は、情報セキュリティ部門から認可を受けた追加のアクセス制御ポイントを経由させねばならない。
 (22) リアルタイム外部ネットワーク接続:当社の内部ネットワークやマルチユーザーコンピュータシステムに接続する内向きのリアルタイム外部接続は、追加のアクセス制御ポイントを経由させねばならない。
 (23) ファイアウォールの設定:インターネットに接続するファイアウォール上では、インターネットサービスに関するすべてのデフォルト設定を無効にすること。情報セキュリティ管理マネジャーが個別に書面で認可したサービスに限って、有効とすることができる。
 (24) ファイアウォール用コンピュータ:内部ネットワークを保護するために用いられるファイアウォールは、他の利用目的を持たない専用のコンピュータで実行すること。
 (25) ファイアウォールの設定変更:ファイアウォールの設定規則と許可するサービスの設定規則は、情報セキュリティ部門の許可無しには変更できない。
 (26) インターネット接続:当社の内部ネットワークと外部ネットワーク(インターネット等の一般がアクセス可能なネットワーク)との接続には、認可されたファイアウォールと必要なアクセス制御を配備しなければならない。
 (27) 共有ディレクトリシステム:インターネット接続があるか、インターネット経由で直接到達可能なコンピュータ上の共有ディレクトリシステムは、情報セキュリティ部門の認可を得なければ使用できない。
 (28) 外部組織とのネットワーク接続:インターネットなどの公共ネットワークを介して、当社のシステムやコンピュータと外部の組織との直接の接続を確立するためには、情報セキュリティ部門マネジャーの承認が必要である。
 (29) 通信ラインの変更:遠距離通信管理部門の部門長の承認を得ない限り、いかなるキャリアのボイス回線やデータ回線であろうとも、スタッフとベンダーとの間で導入の契約を取り交わし、導入を実際に行うことは許可されない。
 (30) ネットワークの接続設定:すべての社内ネットワークは、認可されていないコンピュータへの接続を防御、あるいは検出するための設定を施されなければならない。
 (31) 外部ネットワーク接続の資産目録:情報セキュリティ部門は、外部ネットワーク接続(電話回線ネットワーク、EDIネットワーク、エクストラネットおよびインターネット等)における最新の資産目録を維持管理しなければならない。
 (32) 一般ネットワークサービスの提供:ネットワークサービスを加入者に供給するために一般ネットワークを利用する際には、当社の法務部門が事前に法的責任の範囲と内容を評価しなければならない。また、トップマネジメントはそれらのリスクを受容することを表明する必要がある。
 (33) コンピュータに関するアクセス番号:当社のコンピュータや情報システムにアクセスするための情報(ダイアルアップモデムの電話番号等)は機密情報である。また、そのような情報を、インターネット、電話帳、名刺に掲示し、第三者に提供する必要があれば、情報セキュリティ部門長の事前の許諾を得なければならない。
 (34) ダイアルアップ番号の変更:当社のダイアルアップ接続の電話番号は、少なくとも年に1回は変更されなければならない。
 (35) ダイアルアウト接続:当社のオフィスからダイアルアウト接続を行っているユーザーは、外向けのコールを確立する前に本人であることを証明するとともに、専用の外向けモデムプールを利用しなければならない。
 (36) ケーブルモデム:ファイアウォールと仮想プライベートネットワーク(VPN)を利用しない限り、当社のビジネスの通信にケーブルモデムを使用してはならない。
 (37) ダイアルアップコールモデムの設定:当社のダイアルアップモデムの呼び出し音は、4回まで鳴らす事。
 (38) TELNET接続におけるパスワード:当社のインターネットを経由したTELNET接続においては、旧来の固定パスワードによる接続を確立してはならない。その接続にあたっては、ダイナミックなパスワードか、認可されたユーザー認証技術が使用されなければならない。
 (39) 動的コンテンツのスクリーニング:動的コンテンツ等の内向きのアプレットは、ファイアウォールを使って自動的に削除しなければならない。
 (40) インターネットアクセス:当社内のコンピュータを使用してインターネットにアクセスするには、ファイアウォールを介した経路制御が施されなければならない。
 (41) インターネットへの直接接続:社内のプロダクション情報システムを直接インターネットに接続してはいけない。ただし、インターネットビジネス活動に必要な商取引サーバー、データベースサーバー、中継役のコンピュータを除く。
 (42) 一般ユーザーが変更するディレクトリ:当社においてインターネット接続があるコンピュータ上の一般ユーザーが変更するディレクトリは、毎日必ずレビューするとともに消去されなければならない。
 (43) 無線ネットワーク:当社の伝送手段として無線ネットワークを使用する場合は、常に暗号化されなければいけない。
 (44) 無線ネットワークゲートウェイ:当社の無線ネットワークゲートウェイは、遠隔装置との通信をフィルタリングするためにファイアウォール機能を設定しなければならない。
 (45) 外部ネットワーク境界上のシステム:当社の外部ネットワーク境界上のすべてのシステムは、ベンダーが提供する最新バージョンのOS上で稼動しなければならない。
 (46) ロールバック攻撃の回避:当社のプロダクションシステムにおけるネットワークセキュリティ対策は、バージョンの下位互換性を利用したロールバック攻撃に対する回避策が施されていなければならない。
 (47) 重要な音声・データネットワークの装置:公衆回線システム、イントラネット、LAN(ローカルエリアネットワーク)、WAN(ワイドエリアネットワーク)など当社のビジネスに重要な装置は、物理的なアクセス制御、閉回路テレビ(CCTV)、環境のモニタリングシステムなどの情報セキュリティ部門が指定する対策が施された専用室に集中設置されなければならない。
 (48) イントラネット接続におけるセキュリティ基準:当社の社内イントラネットに、コンピュータシステムとネットワークセグメントを接続するためには、情報セキュリティ管理部門によって規定されたセキュリティ基準に準拠しなければならない。その基準には、少なくとも以下の事項を含む必要がある。
 (49) 認可されたファイアウォールがあること。
 (50) 認可されたユーザー認証システムがあること。
 (51) 認可されたユーザー権限管理システムがあること。
 (52) 変更管理手順が確立されていること。
 (53) システムの運用管理責任が明文化されていること

 ネットワークサービスのセキュリティ
【要求事項】組織が自ら提供するか外部委託しているかに関わらず、すべてのネットワークサービスについて、セキュリティ特性、サービスレベル及び管理上の要求事項を特定し、いかなるネットワークサービス合意書にもこれらを盛り込むこと。

【実施管理策】
 (1) 当社に於けるネットワークサービスは、メール、WEB閲覧、グルプウェアサービス(スケジュール、掲示板、ファイル共有等)等を指す。
 (2) これらサービスのセキュリティは、個々を情報資産として捉え、リスクアセスメントの実施によって固有の管理策を見出す。
 (3) 見出した管理策は本項に追記する。
 
 媒体の取扱い
【管理目的】資産の認可されていない開示、改ざん、除去、又は破壊、並びにビジネス活動の中断を防止するため。

【管理方針】重要情報の格納媒体の管理を徹底し、漏洩等の事故を防ぐ。

 取り外し可能な付属媒体の管理
【要求事項】取り外し可能な媒体の管理のための手順は、備えること。

【実施管理策】
 (1) フロッピーディスク:当社で使用されるフロッピーディスクは、情報技術部門によって認可され、配布されたフォーマット済のものに限る。
 (2) 機密分類の混同:スタッフは、機密扱いされていないフロッピーディスクや他の取り外し可能な磁気記憶媒体に、機密情報を保存してはならない。
 (3) 機密情報の削除:ディスクやテープ、あるいは他の再利用可能な磁気記憶媒体に記録された当社の機密情報を削除する際には、上書き処理の反復など、データをヌル化するためのオペレーションが実施されなければならない。

 媒体の処分
【要求事項】媒体が不要になった場合は、正式な手順を用いて、セキュリティを保ち、かつ安全に処分すること。

【実施管理策】
 (1) 機密情報の廃棄:磁気記憶媒体に保存されている機密情報を破棄する際には、シュレッダーなどの情報セキュリティ部門が認可した手段によって廃棄処理が行われなければならない。
 (2) ハードコピーの廃棄:スタッフは、機密情報または個人情報のハードコピーを廃棄する際には、シュレッダーを使用するか、焼却しなければならない。
 (3) 縦縞裁断シュレッダー:当社において、ストリップシュレッダーを使用してはいけない。
 (4) 安全な情報の廃棄:極秘情報の廃棄は、直ちに実施されなければならない。また、廃棄が決定した機密情報は、当社内の施錠可能な廃棄専用容器に一時保管されなければならず、ごみ箱、リサイクルボックスなど一般がアクセスできる場所に廃棄してはならない。
 (5) 情報の廃棄:廃棄専用容器内のものはすべて、認可された手順に従って廃棄されること。再利用の勧告にとらわれる必要は無い。
 (6) 機密情報の廃棄手順:不要になった機密情報や重要な当社の情報は、情報セキュリティ部門が認可した手順に従って慎重に廃棄されなければならない。
 (7) 情報の廃棄に携わるスタッフ:機密情報の廃棄処理は、当社の社員か保証契約を交わした廃棄サービス会社の要員によって実施されなければならない。
 (8) 機密情報の廃棄ボックス:不要になった機密情報および個人情報は、認可された当社社員か廃棄サービスの請負業者が回収するまで、専用の施錠可能な金属性のボックスに保管されなければならない。
 (9) 機密情報を扱う資材:機密情報を取り扱うにあたって使われた、次のような機密情報とみなすべき資材は、機密情報の廃棄処理に準じて処理されなければならない。
    ①カーボン紙
    ②写真のネガ
    ③感熱ファックス転写フィルム
    ④異常終了したコンピュータのハードコピー
    ⑤許可されないコピー

 情報の取扱手順
【要求事項】情報の取扱い及び保管についての手順は、その情報を認可されていない開示又は誤用から保護するために、確立すること。

【実施管理策】
 (1) アクセスフォーム:レターヘッドステーショナリー、無地の小切手等の当社の固有のフォームへのアクセスは、それらのフォームを業務上必要とする要員に限られる。
 (2) 未承諾広告の配信:スタッフは、ファックス、電子メール、自動ダイアル音声システム等の電子コミュニケーションシステムを使用して、未承諾広告を配信してはならない。
 (3) 情報システム管理策の開示:スタッフは、情報セキュリティ管理部門の許諾を得ない限り、当社外のいかなる人員にも、使用中あるいは導入中の情報システム管理策を開示してはならない。
 (4) 機密情報の移動:当社の施設内の機密情報を、情報オーナーの事前承認なしに移動してはいけない。
 (5) 機密情報の持ち出し:エンドユーザは、いかなる状況であっても、情報セキュリティ管理部門の認可を得ない限り、機密情報を社外に持ち出してはならない。
 (6) 機密情報の移動ログ:当社の施設から機密情報を移動する際には、移動日、関連する情報、情報処理に携わる人員の記録をとらなければならない。
 (7) 磁気記憶媒体のリリース:情報セキュリティ部門が規定した消磁処理か上書き処理が施されない限り、機密情報を記録したコンピュータの磁気記憶媒体をデータ処理手続き要員に受け渡してはならない。
 (8) 機密情報が取り扱われる領域:機密情報が取り扱われる当社やその他の場所には、動作可能なシュレッダーを設置しなければならない。
 (9) 重要なプロダクションデータのマスタコピー:重要なプロダクションデータのマスタコピーは、複数のプロダクションサーバーに保管されなければならない。いっぽう、デスクトップマシンには保管すべきではない。
 (10) 情報修正の開示:当社が発行した情報に何らかの方法で修正が施された際には、情報の受け取り手がその情報を基に判断を下す前に、修正の理由について通知しなければならない。
 (11) 個人情報の取り扱い:スタッフは、氏名、アドレスなどの個人情報を取り扱う際は、取り扱い方法を厳重に定め、従わなければならない。
 (12) 機密データの転送:コミュニケーションネットワークを経由して当社の機密データを転送する際には、必ず暗号化しなければならない。
 (13) 機密データの輸送:コンピュータで読み込みのできる磁気記憶媒体で機密データを輸送する場合は、データを暗号化しなければならない。
 (14) 機密情報の暗号化:コンピュータ上の機密情報が使われていない時には、暗号化しなければならない。
 (15) 磁気記憶装置の暗号化:ハードディスクに保存されているデータを暗号化する際には、ユーザーに透過的な処理で実施される必要がある。
 (16) 機密情報のダウンロード:当社の機密情報ならびに個人情報を別のコンピュータに移す場合、担当スタッフは、移動元のコンピュータに対するアクセスコントロールと同等のアクセスコントロールが移動先に施されていることを事前に確認しなければならない。
 (17) 機密情報のダウンロードに関する許諾:ビジネスの必要性が明確であり、情報オーナーからの許諾を得ない限り、マルチユーザーシステム上の当社の機密情報をパーソナルコンピュータあるいはワークステーションへダウンロードすることを禁止する。
 (18) 長距離通話への応答:当社の社員は、通常の通話料を超えると思われるか、応答通話量の負担がかかる場合、電話やページャーの呼び出しに応答通話をしてはならない。
 (19) 異例な通話オペレーション要求:社外からの通話依頼など異例な要求があった場合は、断固として、かつ丁重に要求を拒否しなければならない。なお、通信管理部門のマネジャーにそれらの要求の詳細を報告する必要がある。
 (20) 私的な電話の使用:就労時間外でなければ、当社の電話を私的な目的で使用してはならない。その際の通話時間は、妥当なものであること。
 (21) 私的な遠距離電話:当社の電話を私的な長距離通話に使用してはならない。ただし、通話時間が許容範囲内であり、上司への報告が行われ、会社への支払いがなされる場合はその限りでない。
 (22) インターネットによる情報交換:経営によって認可されたビジネスの目的以外で、当社のソフトウェア、文書、その他の様式の内部情報を外部の組織に販売、送信を行うことを禁止する。
 (23) 銀行の口座番号:当社の支払い口座の番号は機密情報であり、いかなる形式でも第三者に対して開示してはならない。
 (24) 機密情報のセキュリティ:暗号化されていない機密情報を格納したすべての情報記録媒体は、使用されない時には、物理的にセキュリティが確保されていなければならない。

 システム文書のセキュリティ
【要求事項】システム文書は、認可されていないアクセスから保護すること。
【実施管理策】
 (1) システムに関する文書のリリース:当社の情報システムに関する文書を第三者にリリースするためには、事前に情報セキュリティ部門マネジャーのレビューを受けなければならない。
 (2) 文書の機密性:当社のコンピュータに関連する文書は機密である。また、退職するスタッフは、その情報の持ち出しを行ってはならない。
 情報の交換
【管理目的】組織内部で交換した及び外部と交換した、情報及びソフトウェアのセキュリティを維持するため。

【管理方針】重要な情報の交換は、気密性、完全性及び可用性の維持の為、確実に管理する。

 情報交換の方針及び手順
【要求事項】あらゆる形式の通信設備を利用した情報交換を保護するために、正式な交換方針、手順及び管理策を備えること。

【実施管理策】
 (1) 情報交換に関する方針を策定し、定期的に見直す。

 情報交換に関する合意
【要求事項】組織と外部組織との間の情報及びソフトウェアの交換について、両者間での合意が成立すること。

【実施管理策】
 (1) 第三者へのソフトウェア配布:当社が開発したソフトウェアを第三者(見込み客、既存顧客、ビジネスパートナーなど)へ提供する際には、オブジェクトコード形式で配布しなければならない。
 (2) 第三者に対するソフトウェア使用規約:当社が開発したソフトウェアを第三者(見込み顧客、既存顧客、ビジネスパートナーなど)へ提供する際には、事前に第三者とソフトウェア使用規約を交わしておく必要がある。ソフトウェア使用規約には、プログラムの逆アセンブル、リバースエンジニア、修正の禁止、ならびに、当社の正式な認可を得ない限り、規定外の使用はできないという事項が含まれる。
 (3) ソフトウェアやデータの交換に関する合意書:当社と第三者において社内用ソフトウェアや内部情報を交換する際には、事前に取り決めの内容が文書化されていなければならない。合意書には、交換の条件、情報やソフトウェアの取り扱いや保護の方法について規定すること。
 (4) 磁気記憶媒体の返却:外部から情報提供を受けた磁気媒体の返却を求められた場合には、すべの情報のコピーを破棄した旨の保証を書面にして提示しなければならない。
 (5) オンライン契約における書面の交換:当社会社が作成したオンライン契約の受け入れを第三者に求める際には、郵便もしくは急送便を利用した手書きの署名付き書面を第三者に依頼すること。
 (6) 外部の個人、組織に対する認証:当社の内部情報の公開、契約、公衆ネットワークを介したプロダクトの受注にあたっては、デジタル署名、信用状、第三者への身元照会、電話による会話などを通じて個人または組織の本人確認の手順を実施しなければならない。

 配送中の媒体のセキュリティ
【要求事項】情報を格納した媒体は、組織の物理的境界を越えた配送の途中における、認可されていないアクセス、不正使用又は破損から保護すること。

【実施管理策】
 (1) 第三者による機密情報の配信:急送便、郵便サービス、通信電話会社、インターネットサービスプロバイダなどの第三者を介した機密情報の配信の際には必ず情報を暗号化しなければならない。
 (2) 機密情報の持ち歩き:機密情報を持って外出する場合、管理責任者による承認が必要である。
 (3) 海外への機密情報の持ち出し:スタッフが機密情報を持って海外に行く場合、第三者が不正にアクセスできない形式で保管するか、あるいは常時スタッフが携帯しておかなければならない。
 (4) 海外への機密情報の持ち出し許可:機密情報を海外に持ち出す場合、セキュリティマネジャーの許可が必要である。
 (5) 機密情報のハードコピーの持ち出し:機密情報のハードコピーを当社から持ち出す場合は常に、鍵付きのブリーフケース、またはコンテナに保管しなければならない。たとえ、施錠されているとしても、ホテルの部屋、または車内にブリーフケースを放置してはいけない。
 (6) 機密情報の書き換え:当社で使用したコンピュータ磁気記憶媒体を第三者へ渡すべきではない。渡す必要性が生じた場合は、消磁、あるいは繰り返し上書きをして、以前の内容が残っていないことを確認する。

 電子的メッセージ通信
【要求事項】電子的メッセージ通信に含まれた情報は、適切に保護すること。

【実施管理策】
 (1) 第三者の電子メールのレビュー:スタッフは、第三者に与えた電子メールアカウントへ送られたメッセージを、送信側あるいは受信側のいずれかが許可を得て、レビューしなければならない。
 (2) 電子メールの機密情報:暗号化していない機密情報を電子メールで送信するには、経営の許可が必要である。
 (3) 電子メールアドレス:エンドユーザは、会社の電子メールアドレス以外のアドレスをビジネス目的のために使用してはいけない。
 (4) 送信者の連絡先情報:当社の情報システムから送信するメールには、送信者の氏名、役職名、所属部署名、電話番号を記述する必要がある。
 (5) 電子マーケティング情報のソース:電子メールで送信するマーケティング情報には、返信アドレスを記載すること。また、受信拒否が行えるように、送信リストから受信者を除外する手順を明記する必要がある。
 (6) 外部への電子メール転送:当社のネットワーク以外のアドレスに重要度の高い情報を転送するには、事前に情報オーナーまたは発信者の合意が必要である。
 (7) 不適当な電子メール:ユーザーは、いやがらせ、あるいは職場環境を攻撃する要因となる電子メールメッセージを、作成、送信、あるいは転送してはいけない。
 (8) 電子メールの処理:電子メールおよびメッセージログを記録、保持、および破棄するための管理手続きを確立しなければならない。
 (9) 電子メールの保存:ビジネス取引の完結に関する情報、重要度の高いリファレンス情報、あるいは経営が決定した事を示す証拠となる情報を含んでいるメッセージは保存しておくこと。
 (10) 電子メールメッセージの保管:重要な情報を含む電子メールメッセージはワープロ文書、データベースなどのファイル形式で定期的に文書化する必要がある。
 (11) 電子メールメッセージの破棄:電子メールログを、年に1度、アーカイブ処理をした後で破棄する必要がある。
 (12) 電子メールのプライバシー:電子メールはプライバシー情報であり、送信者と受取人の間の個人的で直接的な通信手段として扱わなければならない。
 (13) 顧客向け電子メールの暗号化:特定の顧客情報を含む電子メールは、暗号化しなければならない。
 (14) 電子メールの暗号化:クレジットカード番号、パスワード、調査情報、および開発情報を含む機密情報を電子メールで送信する場合、暗号化する必要がある。
 (15) 電子メールの監視:情報サービス部門と人事部門の責任者が委任および承認したスタッフ以外は、いかなる理由があっても電子メールシステムを監視してはいけない。
 (16) 電子メールの修正:ヘッダまたはボディ部分を含む電子メールメッセージ内のいかなる情報をも、修正、偽造、削除してはならない。
 (17) 電子メールメッセージの内容:電子メールメッセージの中で、従業員、顧客、または競合先に対する中傷的、猥褻、冒涜的な発言をしてはならない。
 (18) メッセージ内容の制限:中傷的、攻撃的、性的と捉えられるメッセージ、あるいは性別、出身地、性的嗜好、宗教的、政治的な信仰などを理由に個人、団体を攻撃するメッセージを、送信あるいは転送してはいけない。
 (19) 電子メールの内容監視:ユーザーは、決められたキーワードやファイルの種別などキーを用いて自動で電子メールの内容を検査するツールが運用されていることを理解した上で、メールのやりとりを業務に限定しなければならない。
 (20) 受信拒否への対応:顧客、見込み客、または従業員を含む受信者からメールの受信拒否を受けた場合、直ちに送信を停止しなければならない。
 (21) バルクメール:受信者が苦情を訴える要因となる可能性がある広告あるいは宣伝のバルクメールを、送信してはいけない。
 (22) 不要なメールの対応:ユーザーが不要なメールを受信した場合、そのメッセージをメール管理者に転送する必要がある。また、メール送信者に対して、ユーザーが直接的な対応をしてはいけない。
 (23) バルクメールの送信:エンドユーザは、大量のバルクメールを送信してはいけない。
 (24) 電子メール走査およびフッタ:メールサーバー上で受信した電子メールのウィルス走査を行う事。また、各メッセージに走査済みであるというフッタを追加する事。
 (25) 送信メールのフッタ:当社から送信する電子メールのすべてに、メッセージフッタを自動的に追加しなければならない。メッセージフッタは、必ずしも当社の公認の文言である必要はないが、重要な情報であること示す、あるいは指定した受信者以外の閲覧を禁止する内容を含むものでなければならない。
 (26) 電子メールの監視:経営は、エンドユーザに対して、以下の事を通知する必要がある。
 (27) 電子メールシステムは、ビジネス目的の為にだけ使用する。
 (28) 電子メールシステムで送信する全てのメッセージは、当社の記   録である。
 (29) 会社側は、ユーザーへの通告なしに、メッセージに対するアクセスおよび 内容を公表する権利がある。
 (30) メール管理者は、セキュリティまたはポリシーに違反しているスタッフの電子メールを監視しレビューする権利がある。
 (31) 電子メールのアーカイブとレビュー:当社のメールサーバーを介して送信する電子メールは、送受信者以外のスタッフによってアーカイブおよびレビューを行う必要がある。
 (32) 営業部門の電子メール:営業は、上長がレビューおよび承認したメールメッセージ以外を顧客に対して送信してはいけない。
 (33) 電子メールのアーカイブ:経営による承認、委任、任命に関する内容、あるいは管理責任についての情報などを含む当社の公式メッセージは、コピーをとり、文書管理部門で保管する必要がある。
 (34) 電子メールシステムの使用法:スタッフは、当社の電子メールシステムをビジネス目的を主として使用する事。また、通常のビジネス活動時に個人的なメール使用をしてはいけない。また、営利を目的とした外部ビジネス活動のため。
 (35) 電子メールの配信:メーリングリストに登録された利用者へのオプトインメールの配布にあたっては、必ず利用者の明確な許諾を受けなければならない。
 (36) 電子メールの署名:電子メールなどのメッセージ送信者のサインに、スキャンした手書きの署名を使用してはいけない。
 (37) 電子メールの添付ファイル:信頼できる相手から受信したメール、あるいはウィルス検知ソフトで検査し安全が保証されたメール以外の添付ファイルを開封してはいけない。
 (38) 外部ソースからの添付ファイル:外部ソースから実行プログラムなどのテキスト化されていないメッセージを受けとるには、電子メール以外の手段をとること。
 (39) 送信者不明の添付ファイル:信頼できるビジネスメールであるという確認ができない電子メールの添付ファイルを開封してはいけない。

 業務情報システム
【要求事項】業務用情報システムの相互接続と関連がある情報を保護するために、個別方針及び手順を策定し実施すること。

【実施管理策】
 (1) ファックスログ:スタッフは、送受信したファックスのログを1年間保持する必要がある。また、電話番号、ページ枚数をログの内容に含む事。
 (2) ソフトウェアのアップグレード:ユーザーは、ワークステーションやパーソナルコンピュータに、新規のプログラムやアップグレードプラグラムを導入してはならない。必ず、システム管理者の指示に従うこと。
 (3) エンドユーザのアプリケーションプログラム:認可されたライセンス管理ソフトウェアを使用して、サードパーティソフトウェアの不正コピー、エンドユーザが開発したアプリケーションプログラムを管理する必要がある。
 (4) 重要性の高いビジネスロジック:重要性の高いビジネスロジックを含むプロダクションアプリケーションを運用するためには、物理的アクセス制御、論理的アクセス制御、変更管理対策、障害対策を備えたマルチユーザーサーバーを使用する必要がある。
 (5) 個人情報および機密情報の送付:個人情報および機密情報を郵送する際には、不透明の封筒に封印のうえ、親展扱いで送ること。
 (6) 機密情報のファックス送信通知:機密情報をファックスで送信する場合、受取人に送信時刻を通知し、権限を持つ人員が受け取り先で待機することに同意を得る必要がある。送信内容を閲覧する権限を持たない人員がファックスにアクセスできないように物理的に入室が規制されている場合はこの限りで無い。
 (7) 機密情報のファックス送信:受信者が以下のいずれかの条件を満たしていない場合、機密情報をファックス送信してはいけない。機密情報を扱う権限を有するスタッフが待機中である。情報の漏洩を防止するために、パスワード保護されたファックス用のメールボックスを備えている。
 (8) 仲介者による機密情報のファックス送信:ホテルの従業員、レンタルメールボックスのスタッフなど、信用のおけない仲介者を通じて機密情報をファックス送信することを禁止する。
 (9) 機密情報のファックス送信票:機密情報をファックスで送信する場合、まず、カバーシートのみを送付して受信者の受領確認をとる必要がある。その後、セカンドコールで機密情報をファックスするものとする。
 (10) 暗号化していない機密情報のファックス送信:暗号化していない機密情報をファックス送信できるのは、以下の場合に限る。緊急を要する場合。他の選択肢がない、およびより高いセキュリティの送信方法が利用不可である場合。この場合、事前に受信者との口頭による送信確認が必要.
 (11) 機密情報のファックス送信の物理的セキュリティ:送信先のファックス機器がロックされた部屋(情報を受信することを認可された人がキーを持っている)にない場合、機密情報をファックス送信してはいけない。
 (12) 暗号化した機密情報のファックス送信:機密情報をファックス送信するには、情報セキュリティ部門が承認した方法を使用して送信の暗号化を行う必要がある。情報セキュリティ部門は、暗号化する方法を確立しておく事。
 (13) 短縮ダイアルによる機密情報のファックス送信:機密情報をファックス送信する場合、短縮設定した番号を使用するのではなく、送信先の番号を直接入力する必要がある。
 (14) 機密情報のファックス送信パスワード:機密情報をファックス送信する前に、パスワード認証機能のある受信機を設置する必要がある。
 (15) ファックス送信票:当社から送信する全てのファックスに、法務部門が承認した文言で作成したファックス送信票を付ける必要がある。法務部門は、ファックス送信票の文言を策定しておく事。
 (16) スピーカーフォンによる機密情報:スピーカーフォンを使用して機密情報の討議を行うには、会議に参加している全員が、会議室の近くに討議内容を立聞きするようなスタッフがいない事を確認する必要がある。
 (17) ディスクレスワークステーション:研究開発部門の技術スタッフが、新製品開発プロジェクトおよび開発工程に着手する場合、他部門から隔離されたネットワークに接続しているディスクレスワークステーションを使用する事。
 (18) 時間に対する依存性が高い機密情報:時間に対する依存性が高い機密情報は、電子メール、ボイスメール、電話、あるいは他の電子化されたシステムを使って処理してはならない。
 (19) 機密情報の保管:個人情報や機密情報をパーソナルコンピュータまたはワークステーションのハードドライブに保存する際には、情報セキュリティ部門マネジャーが認可した十分な情報セキュリティ管理策が講じられていなければならない.
 (20) 機密情報の記録:スタッフは、次の条件をすべて満たさない限り、音声の録音媒体に機密情報を記録してはならない。適切な機密分類をデータの先頭部分と最終部分に記録する。媒体にデータの機密分類のラベル付けを行う。媒体がデータの機密分類にしたがって保護され、かつ、直ちにデータの消去が可能である。
 (21) リソースの逼迫:特権を持たないユーザーは、共有コンピュータ上でシステム遅延を招く、あるいは他のユーザーへのサービスの供給を妨げるような作業をしてはならない.
 (22) 携帯用コンピュータのバックアップ:携帯用コンピュータを使用しているスタッフは、外出前に全ての重要な情報のバックアップを行うこと。また、バックアップ媒体は、キャリアケース以外の場所に保管する必要がある。
 (23) 機密性、完全性、可用性の高い重要な情報のバックアップ:スタッフは、重要なファイルのバックアップ運用がなされていない場合、重要な変更があった時点で最終バックアップを二つ以上コピーする責任を担う。
 (24) バックアップの見直し:部門長や委任を受けた管理担当者は、パーソナルコンピュータ、ワークステーション等の小規模システム上に格納されている機密性、完全性、可用性の高い重要データが適切にバックアップされているかどうかを確認する必要がある。
 (25) 住所変更の確認:顧客が住所またはメールアドレス変更を申請してきた場合、以下の通知を旧アドレス宛に送ること。新住所がシステム上で有効にするには、1ヶ月間要する。新メールアドレスをシステム上で有効にするには営業日の2日間を要する。
 (26) 重要なメッセージの行番号:機密性の高い、あるいは特に重要なビジネスに関する自由書式のテキストメッセージには、行番号を振る必要がある。
 (27) 言論の自由の行使:いわゆる"言論の自由"を行使するために、当社のコンピュータおよび通信システムを利用してはならない。
 (28) データ監査:経営は、エンドユーザがパブリックフォーラム用に当社のコンピュータあるいはネットワークを使用する事を許可してはいけない。また、経営は、パブリックフォーラム上に掲示されたいかなる情報も監査できる権利を持つ。
 (29) 攻撃的要素の削除:経営は、攻撃的あるいは監査の可能性がある要素を含む情報システム上のフォーラムを削除できる権利を持つ。
 (30) コンテンツ監視の責任:当社は、情報システム内に保管され、流通する情報コンテンツを監視する義務を負わない。しかし、メッセージ、ファイル、データベース、グラフィック等の情報システムデータを削除する権利を有する。
 (31) デバイスの同期:PDA(personal digital assistant)やパーソナルコンピュータなどのデバイス間で自動的にデータ交換を行うシステムを使用するには、情報セキュリティ部門の評価と承認が必要である。
 (32) コレクトコールや第三者への課金通話:当社のボイスメールシステムの管理者は、ボイスメール通信回線上でコレクトコールや第三者への課金通話ができないように電話会社と調整を図る必要がある。
 (33) 一般の情報提供サービス:PBXシステムの管理者は、PBXシステムを使った一般の情報提供サービスへの接続を禁止する設定を施すこと。
 (34) 通話エリア:当社のPBXを通して接続する番号は、通常のビジネス目的の範囲内だけに制限する必要がある。
 (35) 音声メールメッセージの保管:1ヶ月を過ぎたボイスメールは削除する。従って、ユーザーは少なくとも1日1度、ボイスメールメッセージを確認することが望ましい.
 (36) クレジットカードコール:スタッフは、PBXシステムを通してクレジットカードコールをしてはいけない。クレジットカードコールは、公衆電話あるいは他の直通ラインを使用するものとする。
 (37) 内部システムへの直接アクセス機能(DISA)の無効化:PBXシステム上の内部システムへの直接アクセス機能(DISA)は無効化しなければならない。ただし、不正利用検知システムや電話通信部門マネジャーが認可した利用制限システムが実装されている場合を除く。
 (38) 記録の変更依頼:電話による当社の記録の変更依頼を受理するには、認可された手続きに従って、依頼者の本人認証を行う必要がある。
 (39) カンファレンスブリッジの停止:カンファレンスブリッジは、必要な時に限り使用可能とする。使用しない場合は、必ず停止すること。
 (40) 個人のプロバイダアカウント:当社のビジネスや企業利益に関わりの無いトピックについて、パブリックインターネットフォーラム上に発言する際には、個人所有のプロバイダアカウントや電子メールアカウントを利用しなければならない。
 (41) 電子メールおよび音声メールのブロードキャスト(一斉同報型通信):電子メールシステムおよびボイスメールシステムのブロードキャスト機能は、トップマネジメント、あるいはトップマネジメントが認可したスタッフだけが使用できる。
 (42) 音声メールのグループ化:電子メールまたはボイスメールを10以上の受信グループへ一斉送信する場合、部門マネジャーの承認が必要である。
 (43) モバイルコードの実行:モバイルコードに関する以下のインターネットアクセスを禁止する。モバイルコードを使用すること。モバイルコードをマシン上で実行すること。モバイルコードをマシン上に保存すること。
 (44) イントラネットへの掲載:当社のイントラネット上に情報を掲載する際には、コンテンツを管理している部門マネジャーおよび情報オーナーによる承認が必要である。
 (45) イントラネットのコンテンツ所有権:当社のイントラネット上のコンテンツはすべて当社が所有権を保有する。ただし、情報サービス部門責任者の事前の承認が受け、ウェブ上で明確に所有権に関する記載がある場合を除く。
 (46) イントラネット情報の妥当性:イントラネット上に情報を掲載するには、以下の事項を確実なものとしなければならない。不正コードがデータ、プログラム中に混入していないこと。情報が正確であり、時宜を得たものであること。当社のビジネスに関連があること。関連する情報は、すべて違法でないこと。
 (47) イントラネットコンテンツのレビューとテスト:当社のイントラネットに新規のコンテンツを掲載するか、コンテンツの変更を行う際には、ステージング環境において、規定の担当者によるコンテンツのレビューとオペレーションのテストが必要である。もしくは、情報セキュリティマネジャーの書式による認可が必要である。
 (48) インターネットコンテンツの転載:インターネットからダウンロードしたコンテンツを当社のイントラネット上に掲載するには、ウィルス除去、目視検査などの規定の選別手続きを受ける必要がある。
 (49) イントラネット上の動的コンテンツ:情報システム部門が検証し、承認した動的コンテンツのアプレットに限り、イントラネット上のサイトで使用が許可される。
 (50) イントラネットウェブページのレビュー:ユーザーが開発したウェブページを当社のイントラネットに掲載するには、情報セキュリティ部門が策定した認可手続きに従って、セキュリティおよび運用のテストを実施しなければならない。
 (51) イントラネットの情報オーナー:当社のイントラネットに掲載されている情報に対して、オーナーを任命する必要がある。また、情報の掲載ページに、オーナーのコンタクト情報を明記すること。
 (52) 情報オーナーのデジタル署名:イントラネット上の情報に管理責任を持つ情報オーナーは、掲載を認可する最終版のすべてのページにデジタル署名を貼付すること。
 (53) イントラネットデータの見直し:情報セキュリティ部門は、機密情報が含まれていない事を確認するために、当社のイントラネット上で掲載している情報の見直しを、年に四回、行う必要がある。
 (54) イントラネットサーバの承認:イントラネットサーバを社内のネットワークに接続するには、情報システム部門のネットワークサービスマネジャーによる承認が必要である。
 (55) イントラネットを介したプロダクションシステムへのアクセス:イントラネットを介して、ユーザー認証に基づくアクセス制御機能があるプロダクション情報システムへリアルタイム接続するには、情報セキュリティ管理者による承認が必要である。
 (56) イントラネット情報の転送:イントラネット上の情報を第三者に転送するには、当社の経営の承認が必要である。
 (57) イントラネットからインターネットへのウェブ接続:イントラネットからインターネットへのWEB接続が発生することの通告があるか、もしくは、インターネットへの接続があることをユーザーが了解していることの確認をとらない限り、イントラネットからインターネットへの直接接続を設けてはならない。
 (58) イントラネットスタイルガイド:イントラネットサイトを開発する技術スタッフは、イントラネットスタイルガイドを遵守しなければならない。また、イントラネット実施要件で策定しているリソースを使用する必要がある。
 (59) コンピュータ機器の移動:エンドユーザがコンピュータ機器の移動あるいは配置換えをするには、部門マネジャーの承認が必要である。
 (60) ディスプレイの配置:機密性、あるいは可用性の高いデータを扱うコンピュータ端末のディスプレイは、公共の場所あるいは通路などにいる人が容易に見る事ができない場所に配置する必要がある。
 (61) 電磁放射の保護:機密情報を扱う当社システムは、電磁放射制御についてのミリタリースタンダードに準じたハードウェアを使用しなければならない。また、ミリタリースタンダードに準じた電磁放射をブロックする資材で、あるいはワイヤーメッシュで囲まれたロック付きの部屋に設置しなければならない。

 電子商取引サービス
【管理目的】電子商取引サービスのセキュリティ、及びそれらサービスのセキュリティを保った利用を確実にするため。

【管理方針】電子商取引における取引の完全性、システムの可用性及び顧客情報の機密性を確実にする為の管理を維持する。

 電子商取引
【要求事項】公衆ネットワークを経由する電子商取引に含まれる情報は、不正行為、契約紛争、認可されていない開示及び改ざんから保護すること。

【実施管理策】
 (1) クッキーファイルへの応答:ハードドライブ内にあるクッキーファイルを使用して、ユーザーが訪れたインターネット経路などの個人的な情報内容を調べてはいけない。
 (2) コンテンツ評価およびプライバシー保護:当社は、業界標準のウェブコンテンツ評価基準、ウェブサイトのプライバシー保護基準、インターネット取引セキュリティ基準を遵守すること。
 (3) マーケティングコミュニケーションのオプトアウト:マーケティングコミュニケーションにおいて、見込み客または顧客がいつでも自由にメール購読を中止できるように、メッセージの末尾などに購読解除の方法を明記すること。
 (4) メーリングリスト:当社のメーリングリストに第三者をユーザー登録する際には、その第三者から事前に登録のリクエストを受領しなければならない。
 (5) ウェブサーバと商取引サーバーの保管:重要なビジネス情報を保管するために、ウェブサーバと商取引サーバーを使用してはいけない。
 (6) 費用計算:顧客及び従業員に対する当社の費用計算は、正確であることを客観的に明確にする十分な情報を提供しなければならない。
 (7) 顧客情報の変更確認:顧客が当社に登録した自身の顧客情報を変更した場合、当社は、直ちに電子メール、手紙などの書面を用いて直ちに変更の確認をとらなければならない。
 (8) エラーの調査:スタッフは、顧客が見つけた当社のレコードエラーを2週間以内に調査、修正、あるいは解決しなければならない。また、変更した点、変更しなかった理由、あるいは変更予定日を記述した詳細書を顧客に送付しなければならない。
 (9) インターネット商取引サーバーのセキュリティ:当社のインターネット商取引サーバーは、いずれも個別のデジタル証明書を実装し、かつ、サーバー間通信を暗号化しなければならない。ただし、顧客向けコミュニケーションサーバーは、この限りではない。
 (10) 新規あるいは拡張したサービス:新規の、または拡張したサービスを顧客に提供する際には必ず、顧客からの同意が必要である。
 (11) 電子システムによる契約:経営あるいは技術スタッフが、第三者と電子データ交換および他の電子ビジネスシステムの導入契約を結ぶ場合、実際の交換に先立って、書面による契約を行う必要がある。
 (12) 国際間のインターネットビジネス:インターネットを通して外国の組織団体からサービスあるいは物品を購入するには、購入部門による承認が必要である。
 (13) 協業におけるネットワーク利用規約:協業パートナーに対して当社の業務用ネットワークの使用を許可するにあたって、ネットワークの利用条件について定めた協業規約に関する事前の承認を当社法務顧問から得ること。
 (14) 電子メール規約:当社を代表して契約を結ぶ権限のある人員以外の、あるいは法律上当社の代表である事を認可されている人員以外の者が電子メールを送信する際には、メッセージの末尾に、当社の契約、立場あるいは方針とは無関係であることを示す通知をしなければならない。
 (15) コンピュータ化した処理の受諾:EDI(電子データ交換)システムにおいて、トレーディングプロファイルと一致していない自動実行処理データを、受諾あるいは実行してはいけない。
 (16) 電子申請および電子受理:電子申請および電子受理による契約は、受理後二週間以内に、書面によって公式のものとしなければならない。
 (17) テレマーケティングの記録:スタッフは、セールスの電話は不要であるとの通知を受けた取引見込み客の記録を整備する必要がある。
 (18) 支払情報の暗号化:支払情報(預金番号あるいはクレジットカード番号など)をインターネット接続が可能なコンピュータに保存する場合、暗号化する必要がある。
 (19) 支払情報の確認:顧客が口座番号あるいはクレジットカード番号などの支払情報を確認してきた場合、スタッフは、番号の下数桁のみを伝えること。
 (20) 支払データの暗号化:口座番号あるいはクレジットカード番号などの支払情報をコンピュータ内に保存する場合、営業業務で使わない場合、公衆ネットワークを通して伝送する場合、あるいはディスクやテープに保管する場合には、暗号化する必要がある。
 (21) 休止しているクレジットカード:技術スタッフは、1年以上使用されていないクレジットカード番号を、インターネット取引システムから直ちに削除しなければならない。
 (22) 不正行為に関連した顧客情報:不正行為が確認された顧客口座は直ちに閉めなければいけない。
 (23) 別チャネルによる確認:インターネットなどの電子システムを通して開始した住所変更や商品購入などのトランザクション処理は必ず、別の通信チャネルを使用して、迅速に処理の正確性の確認を行う。
 (24) アカウントの収支決算と調整:有料のインターネット商取引システムにおけるアカウント課金レコードは、日次ベースで収支決算と調整がなされなければならない。
 (25) 支払いトークンへの課金:クレジットカード等の支払いトークンを課金する際には、利用者の本人認証となり得る別な情報(社会保険番号の下4桁など)の提供を受けてからでなければならない。

 オンライン取引
【要求事項】オンライン取引に含まれる情報は、不完全な通信、誤った通信経路設定、認可されていないメッセージの変更、認可されていない開示、認可されていない複製又は再生を未然に防止するために、保護すること。

【実施管理策】
 (1) 取引の相手が十分に信用できるかを確かめる事。
 (2) 取引内容の暗号化等、必要な安全管理策を明示知る事。
 (3) 取引に試用するパスワードの管理は特に厳重に行う事。

 公開されている情報
【要求事項】認可されていない変更を防止するために、公開されているシステム上で利用可能な情報の完全性を保護すること。

【実施管理策】
 (1) 組織名の使用:エンドユーザが、公的書類に当社の名前を記載するには、経営あるいは広報部門の承認が必要である。
 (2) インターネット広告:当社が他の組織のサイトにインターネット広告を出したり、ページのリンク関係を持つ場合は、当社のプライバシーポリシーとの整合性を検討する必要がある。
 (3) インターネットクッキーとウェブバグ:当社のウェブサイトおよび商取引サイトへ訪れるビジターに対して、それぞれのソース上、あるいはサイト上のクッキーおよびウェブバグの使用目的を明確に通知する必要がある。
 (4) パブリックイメージの提示:一般もしくは第三者に対して当社の資産に関する情報を公開する際には、公開すべき範囲内で、控えめかつ安全なイメージを提示しなければならない。
 (5) 取引上の機密情報:経営は、当社の法務部門が策定した全ての取引上の機密情報をイントラネット上で簡潔に開示し、スタッフに機密性、重要性を認識させる。
 (6) インターネット電話:当社の機密情報を非暗号通信する場合に、インターネット電話を使用してはいけない。
 (7) インターネットアクセスのできるワークステーション:インターネットに接続されたワークステーションは、ユーザーが作成したファイル、あるいはワークステーション内に駐在しているソフトウェアが作成したテンポラリーファイルは、毎日、自動的に削除しなければならない。
 (8) 身分の偽り:電子通信を行う上で、身元の隠蔽、不正、すり替をしてはいけない。
 (9) 情報のチェック:経営や運用に関わる重要な情報は、外部ソースや現状調査結果と定期的に比較を行い、更新されなければならない。
 (10) メッセージの掲載拒否:当社のサイト上に誹謗中傷、毀誉褒貶、またはプライバシーを侵害する内容のメッセージが記載された場合の対応策として、サイト上に掲載拒否あるいは削除勧告を要求する文章を掲示する事。
 (11) 犯罪者やテロリストからのメッセージ:犯罪者あるいはテロリストからのメッセージを、当社の情報システムからパブリックチャネル上に公開してはいけない。
 (12) 電子システムによるパブリックコメント:電子メール、電子掲示板(BBS)、あるいは他の電子システムに記入した非公認のコメントを、公式ステートメント、あるいは当社のオフィシャルポジションとして掲載してはいけない。
 (13) コンテンツラベル:当社の商取引およびウェブサイト上に記載する情報は、コンテンツラベルについての基準を満たしているものでなければならない。
 (14) インターネットによるグループ討論:エンドユーザは、当社のIDを使って、インターネット上のグループ討論、あるいは他のパブリックフォーラムに参加してはいけない。
 (15) 外部へのインターネット通信:外部へのインターネット通信は、当社の評判およびパブリックイメージに良い影響をもたらすものでなければならない。
 (16) インターネットの条件:当社の技術スタッフは、インターネット上で取引する顧客に対して、取引条件の要約を提示する必要がある。また、取引を完了するために、顧客による取引条件の明確な合意が必要である。
 (17) 電子メール機能:エンドユーザは、インターネットブラウザの電子メール機能を、ビジネス用通信のために使用してはいけない。
 (18) インターネットのニュースソース:ニュース配信、メーリングリスト、プッシュデータなどから受信する情報は、当社のビジネスに関連性の高い受信義務のあるものでなければならない。
 (19) インターネット情報の修正:インターネットを介して当社のシステムに接続しているユーザーは、当社の情報を直接修正してはいけない。
 (20) 個人的なメッセージの否認:インターネット討論、電子掲示板(BBS)、あるいは他のパブリック情報システム上に、広報部門の事前承認がないメッセージを掲示する場合、当社とは関係がないことを明確にしたコメントをメッセージに付ける事。
 (21) アプリケーションを含むインターネットでの情報開示:ディスカッショングループ、チャットルーム、その他のインターネットサービスと契約を結ぶ際には、当社の製品とサービスに関する公式のサポートを提供するために経営に承認された個人に限って、当社とのアフィリエーションを表示することができる。
 (22) 製品およびサービスのリプリゼンテーション:当社の製品およびサービスの宣伝、販売促進、あるいは販売提供などを、インターネットのパブリックフォーラム上(ニュースグループ、メーリングリスト、チャットなど)で行うには、広報部門あるいは販売部門の承認が必要である。
 (23) 連絡情報の公開:電子掲示板(BBS)、チャット、あるいは他のパブリックフォーラム上で、本当の名前、住所、あるいは電話番号を公開してはいけない。
 (24) 政策提案および製品またはサービスの保証:広報部門(あるいは法務部)の許可なしに、インターネット(チャット、ニュースグループなど)上で、エンドユーザが、当社との関連性を示すための政策提案および製品またはサービスの保証を行ってはならない。
 (25) インターネット上の取引機密:インターネット取引の機密公開について事前説明を受けた特定のスタッフだけが、当社のビジネスに関連性のあるグループ討論、チャット、および他のパブリックフォーラムに参加できる。
 (26) セキュリティに関する問い合わせ:インターネット上のニュースグループ、あるいは他のパブリックフォーラム上で、当社×のコンピュータあるいはネットワークのセキュリティに関する問い合わせをしてはいけない。
 (27) 機密情報のインターネット送信:非暗号形式の機密性の高い、著作権がある、あるいは非公開の情報は、インターネット送信してはいけない。
 (28) 不適当な公的参加:インターネット上のグループ討論、電子掲示板(BBS)、あるいは他のパブリックフォーラムに送信した電子メールが、当社のビジネス利権、あるいは企業方針と一致していない場合、情報セキュリティ管理者あるいは人材開発部門の管理者は電子メールを削除する事ができる。
 (29) 類似した名前のウェブサイト:当社の法務部門は、ウェブ検索エンジンを使用して、会社が認可した、あるいはスポンサーになっているサイトと類似した名前の仮装サイトがないかどうかを定期的に確認する事。
 (30) インターネット上の情報源:当社のソフトウェア、内部メモ、およびプレスリリースなどを含む情報源をパブリックアクセスが可能なインターネットシステム上に掲載するには、広報部門の承認が必要である。
 (31) インターネットビジネスの整備:新しい、あるいは様々なビジネスチャネルを展開するためにインターネット接続を使用するには、情報技術部の責任者および代表顧問弁護士による承認が必要である。
 (32) パブリックネットワークへの掲示:電子掲示板(BBS)、メーリングリスト、オンラインニュースグループ、あるいは他のパブリックフォーラムに記入するコメントおよび質問の内容は、以下のような情報のリリースを回避した構成にする事。・機密プロジェクト・未発表のソフトウェア製品・調査および開発段階のプロジェクト・当社の機密事項
 (33) ダウンロードファイルの転送:インターネットからファイルをダウンロードする場合、当社のネットワークに接続していないコンピュータを使用する事。また、ダウンロードファイルを他のコンピュータに転送するには、会社が認可したウィルス検出パッケージでウィルスチェックを行う必要がある。
 (34) インターネット情報の信頼性:安全性が確認されるまで、インターネットから取得した全ての情報の危険性を疑う必要がある。
 (35) ソフトウェアのアップロード:エンドユーザが、第三者のライセンスソフトウェア、あるいは当社が開発したソフトウェアをインターネット経由でアップロードするには、ユーザマネジャーによる権限付与が必要である。
 (36) 不要な情報の取り扱い:当社のウェブサイトにコメントや提案を受け入れる仕組みを設ける場合、次のような責務の否認を明文化する必要がある。「弊社に寄せられたアイデアのうち、採用に至らなかったものは必ずしも機密として弊社内にとどめる責務は負いません。また、ご寄託いただいたアイデアに支払いの義務を負うものではありません。」
 (37) プロダクションシステムにおけるインターネット情報:見込み客、顧客、サプライヤー、ビジネスパートナー、あるいは政府機関による情報以外、インターネットを介して取得した無償情報を信用してはいけない。
 (38) 非公式ウェブページ:当社の製品またはサービスを取り扱う、非公式ウェブページのスポンサーと取引する場合、広報部門責任者の署名付き契約書が必要である。
 (39) パーソナルウェブページ:当社のシステムを使用しているユーザーは、ウェブページ作成に関して以下の内容を含む承諾書に署名する必要がある。・サイト上に記載した全てのコンテンツにおいて、個人が責任を負うこと。・当社は、ユーザーのアクセス権限を随時削除することができる。
 (40) ウェブページ管理委員会:ウェブページの更新を行うには、当社の広報部門が設置したウェブページ管理委員会による承認が必要である。ウェブページ管理委員会は、ページの更新内容が事業目的と一致していて洗練されたものである事、および適切なセキュリティ対策によって保護されている事を確認しなければならない。
 (41) ウェブページ設計:技術スタッフは、会社あるいはウェブページ管理委員会が策定した以下の基準に準拠したウェブページを設計する事。・レイアウト基準・ナビゲーション基準・法的言語基準・その他、ウェブページ管理委員会が提示する必要条件
 (42) ホットリンクの使用:ユーザーのセッションを当社のウェブサイトから外部へ転送するホットリンクを使用するには、ウェブページ管理委員会の承認が必要である。
 (43) ホットリンクの責任回避:ユーザーのセッションを当社のウェブサイトから第三者のサイトへ転送するホットリンクを使用する場合、法務部門が承認した免責の明文化が必要である。
 (44) ウェブページのレビュー:マーケティング部門のエンドユーザは、以下の確認をするために、当社のウェブサイトを毎日チェックする必要がある。・ページが稼動中であるかどうか。・無許可の変更がされてないか。・無許可のリンクがはられていないか。
 (45) コンテンツの改ざん:技術スタッフは、許可のないコンテンツの変更を自動検出・即時修正できるウェブサイトを設計し、実装しなければならない。
 (46) ウェブページの破損:破損したウェブサーバを復旧するには、サービス、ウェブページ、システムソフトウェアおよびシステム構成ファイルの変更内容を全てチェックする必要がある。
 (47) 顧客の財務情報の保存:顧客の財務情報を、ウェブサーバ、インターネット商取引サーバー、インターネットデータベースサーバ、あるいは直接インターネットに接続しているシステム内に保存してはいけない。
 (48) ドメイン名:当社のドメイン名登録は、安全性の確保および変更制御についての手順を管理しているレジストラ(ドメイン名登録機関)が行う。
 (49) インターネットサーバのコマンドレスポンス:情報の問い合わせに対する応答の際、インストール済みのソフトウェア情報を露呈しないように、インターネットサーバを制限する必要がある。
 (50) ウェブサイト上のHTML:当社のウェブサイト上で使用するHTMLコードを、インターネット接続したプロダクションサーバー上で実行するには、事前にスクラバー(scrubber)あるいは擬似ルーチンを通して実行する必要がある。
 (51) ウェブ上の機密情報:当社の機密情報をインターネットサーバ、あるいはイントラネットサーバ上に置いてはいけない。
 (52) イントラネット上の機密情報:イントラネット上のアプリケーションにアクセスして機密情報を処理するには、VPN(Virtual Private Network)を使用する事。 
 (53) セキュリティに関する連絡:エンドユーザは、当社のウェブサイトページの冒頭部分に、情報セキュリティ部門の連絡情報を掲示する事。
 (54) パブリックリサーチ:当社が世論調査、分析研究などの公共消費に関するリサーチを実施する場合は、調査報告書においてスポンサーが誰かということと考えられる利害の衝突について言及する必要がある。

 監視
【管理目的】認可されていない情報処理活動を検知するため。
【管理方針】ITシステムの監視を実施し、重要なセキュリティログを確実にする。

 監査ログ取得
【要求事項】利用者の活動、例外処理、及び情報セキュリティ事象を記録した監査ログを取得すること、また、将来の調査及びアクセス制御の監視を補うために、合意された期間、保持すること。
【実施管理策】
 (1) 取得すべきログを特定する。
 (2) ログは、その保存方法、期間等を適切さに基づき定める。

 システム使用状況の監視
【要求事項】情報処理設備の使用状況を監視する手順を確立すること、及び監視活動の結果を定めに従ってレビューすること。
【実施管理策】
 (1) システムの監視の為の運用ログを取得する。
 (2) ログは定期的にレビューする事。

 ログ情報の保護
【要求事項】ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護すること。
【実施管理策】
 (1) ログは適切にバックアップする事
 (2) ログファイルへのアクセスは制御される事。

 実務管理者及び運用管理者の作業ログ
【要求事項】システムの実務管理者及び運用担当者の作業は、記録すること。
【実施管理策】
 (1) 実務管理者及び運用管理者の作業ログを識別する。
 (2) ログは少なくとも6ヶ月事情の適切な期間、保持する。

 障害のログ取得
【要求事項】障害のログを取得し、分析し、また、障害に対する適切な処置を講じること。

【実施管理策】
 (1) 障害ログを識別する。
 (2) ログは適切な期間、保持する。

 クロックの同期
【要求事項】組織又はセキュリティ領域内の関連するすべての情報処理システム内のクロックは、合意された正確な時刻源と同期させること。
【実施管理策】ログの取得を行うコンピュータの時計は同期されなければならない。

アクセス制御

渋谷修二 (2009年11月24日 12:47) | コメント(0) | トラックバック(0)
第7章 アクセス制御

 アクセス制御に関する業務上の要求事項
【管理目的】情報へのアクセスを制御するため
【管理方針】情報へのアクセスを、情報資産の分類、取扱及び利用の許容範囲に従った制御を行い、不正アクセスを防ぐ。

 アクセス制御方針
【要求事項】アクセス制御方針は、アクセスについての業務上及びセキュリティ要求事項に基づいて確立し文書化し、レビューしなければならない。
【実施管理策】
 (1) ハッキング行為:従業員は組織の設備を使って、いかなるハッキング行為を行ってはならない。ハッキングとは次の様な行為を言う。不正に他のシステムに侵入し、データを損傷、改ざん、業務の妨害、パスワードの入手、暗号キーの入手等その他アクセス制御の仕組みを犯す行為である。
 (2) ソフトウェアの規制:組織のアプリケーション共有環境において、ユーザがアプリケーションにアクセスする場合、事前にアクセス制御メカニズムによって認証されなければならない。
 (3) スタンドアロンシステムのアクセス制御:スタンドアロンシステムに於いて重要情報を取り扱う場合には、パスワードによる認証を行い、利用するアプリケーションは現行バージョンのものを使用しなければならない。
 (4) 重要情報の閲覧制限:重要情報の閲覧が許可されている従業員は、その許可レベルを守らなければならない。
 (5) 重要情報の書き換え制限:重要情報の書き換えが許可されている従業員には、その許可レベルを守らなければならない。
 (6) ファイルのデフォルトアクセス制限:ネットワーク上のファイルは、デフォルトでアクセス制限を設定しなければならない。
 (7) アクセス制御の機能不全:アクセス制御が機能不全に陥ったら、エンドユーザからのアクセス要求は拒否しなければならない。
 (8) アクセス制御データベースの集中管理:アクセス制御データベースは、情報セキュリティ管理部門によって、集中管理されなければならない。
 (9) コマンドラインインタープリタソフトの使用禁止:組織内のシステムにコマンドラインインタープリタ型のソフトウェアをインストールしてはならない。
 (10) アクセス制御の回避行為:プログラマー及び技術スタッフは、システムのアクセス制御を回避するような仕組みをインストールしてはならない。
 (11) 顧客の為の例外:アクセス制御規則は顧客の要求であっても、経営陣の承認か法的な要求以外、例外を認めてはならない。
 (12) 情報収集制限:ネットワーク上にある重要情報に対するアクセスを、ある一人からの連続したアクセスを制限し、一度に大量のデータが開示される事を防ぐ。
 (13) 第三者情報の公開:従業員は、第三者から委託された重要情報について、情報主体の合意又は非開示契約の合意した相手以外、公開してはならない。
 (14) 組織情報の開示:組織の情報や業務活動についての問い合わせは、自社の経営陣を除いて、広報部門を通して行う。
 (15) 顧客業務情報の開示:従業員は当社の顧客情報を、他人に公開してはならない。
 (16) マーケティング情報の開示:従業員は組織のマーケティング情報(価格、売上高、販売方針、販売計画、市場占有率等)を競合相手に開示してはならない。
 (17) 公衆への情報リリース:組織の情報を広報する場合、特定の担当者からのみ、行われ、外部からの問い合わせ先も同一とする。
 (18) 訴訟事案の開示:第三者から訴訟についての開示要求に、行政関係者以外応じてはならない。
 (19) 組織情報の開示:マスコミや第三者からの組織情報の要求は、経営陣の許可を得なければ開示してはならない。
 (20) 予想収益情報又は新製品情報:従業員は予想収益や新製品に関する情報を開示してはならない。
 (21) 外部からの開示要求対応:第三者からのセールス、マーケティング、広報以外の組織情報の要求は、オーナーと組織内の委員会に於いて最低5日間の評価期間を置いて決定される。
 (22) 重大な問題情報:組織の重大な問題情報は、特定の任命者に報告されねばならない。
 (23) 求人広告:求人広告類の出稿は、人事部門の了解を得なければならない。
 (24) 公衆への情報リリース:全てのリリースする情報は、経営陣により法的及び文書化プロセスをレビューする。
 (25) 公衆への発表資料:公衆への発表資料(スピーチ、プレゼンテーション、技術資料等)を配布する前に、直属の上司の承認を得る。
 (26) 情報開示の承認:全ての情報開示及びネットワークでの送信は、法務部門責任者の承認を得なければならない。
 (27) 組織の重要情報の所在場所:組織の重要情報の所在場所は、公開する明らかな理由が無い限り、秘密にしなければならない。
 (28) ハッキング行為:従業員は組織のコンピュータ、ネットワークを使用してハッキング行為をしてはならない。
 (29) 成熟したセキュリティ製品の使用:セキュリティ製品の使用は、リリースしてから最低1年を経過した、成熟した製品を使用しなければならない。
 (30) セキュリティツールの開発:情報システム部門は、セキュリティに関するツール、暗号アルゴリズム等を開発してはならない。
 (31) セキュリティ対策の使いやすさ:全てのコンピュータ及び通信システムのセキュリティ対策は使いやすいものでなければならない。
 (32) 情報システム担当者の権限付与:情報システム担当者のアクセス権限は、情報セキュリティ責任者の書面による承認をもって与える。
 (33) セキュリティシステムの独立性:コンピュータシステムは各々独立したセキュリティ機能を有し、共有してはならない。
 (34) アクセスの承認:組織の情報は常に情報オーナーによって、必要最小限の者にアクセスを認可されなければならない。

 利用者のアクセス管理
【管理目的】情報システムへのアクセス権が、適切に認可され、割り当てられ、維持されていることを確実にする為。
【管理方針】施設、部屋等への入退室や、書類情報へのアクセスを含め、情報へのアクセスの為のユーザを管理する枠組みを持ち、管理する。

 利用者登録
【要求事項】すべての情報システム及びサービスへのアクセスを許可及び無効とするために、利用者の登録・登録削除についての正式な手順を備えること。

【実施管理策】
 (1) 匿名IDの禁止:IDは連続した数字で、番号とユ−ザ名とが明確に関係付け、匿名のIDを作成してはならない。
 (2) ユーザID規定:ユーザIDは規定に従って割り当てなければならない。規定にはIDと名前、一般的に許可される事、肩書き、役割が記述される。
 (3) 単一のIDとパスワード:ユーザには1個だけのIDと個人で定めるパスワードを与え、それでコンピュータ及びネットワークにアクセスすること。
 (4) 非従業員のIDの期限:非従業員に与えるIDの有効期限は、明確に定めなければならない。特に定めが無い場合の期限は30日間とする。
 (5) ID権限の停止:従業員のID権限は、その任務の必要が無くなり次第直ちに停止しなければならない。
 (6) ユーザIDの期限:全ての共有コンピュータ用のIDには有効期限を定める。有効期限の終了後2週間はIDと関連するファイルは保持されることとする。
 (7) 固有のユーザID:ユーザIDは個人に固有に割り当て、グループIDや共有を禁止する。
 (8) 一般ユーザIDの禁止:ユーザIDは個人毎に割り当てるのみで、業務にIDを割り当て複数人で共有させてはならない。
 (9) IDの再使用:IDが退職等で使用を停止した場合、再使用をしてはならない。
 (10) ユーザID名前規則:ユーザIDの名前付けはIT部門が定めた名前規定に従う。
 (11) 複数のユーザID:従業員は最低2セットのユーザID、パスワードを持たなければならない。1つはインターネットアクセス用で、もう一つは内部ネットワークアクセス用である。
 (12) システムアクセスの権限変更:システムアクセスに対する権限の変更は、そのユーザの直属の上司による認可に従い、許可される。
 (13) 休眠IDの権限停止:30日間に渡り活動の無いIDは、その権限を停止する。
 (14) ユーザID契約:従業員にユーザIDを与える前に、機密保持契約と情報セキュリティ合意契約にサインをしなければならない。
 (15) 組織変更の報告:経営陣は組織変更により、従業員の職務に変更が生じたら、直ちに情報セキュリティ責任者に報告し、管理者はIDの権限に反映させなければならない。
 (16) 職務変更の通知:ユーザは自身の職務の変更について、情報セキュリティ責任者に通知しなければならない。
 (17) 異動者に対するレビュー:従業員が異動する場合、直属の上司はその部下の書類、ファイルをレビューしてセキュリティ上の問題が無いことを確認する。
 (18) 退職社員のファイルの削除:従業員の退職4週間後には、その従業員のディレクトリ、ファイルを完全に削除しなければならない。
 (19) ユーザIDの有効期限:インターネットアクセスに使用するユーザIDは、6か月に1度、再配布される。
 (20) 新しいアカウントの最初の認証:新しいアカウントの最初の認証は、最も確実な方法で認証しなければならない。
【関連文書】「アクセス権限一覧表」「ネットワーク/システム利用申請書」

 特権管理
【要求事項】特権の割り当て及び使用は、制限し、管理すること。

【実施管理策】
 (1) 権限登録:全てのユーザのコンピュータ、ネットワーク、プログラムに対する権限は制限されるべき事項を登録しなければならない。
 (2) 権限の付与制限:全ての従業員のコンピュータ、ネットワーク、プログラムへのアクセス権限は、経営陣の管理による明確な指示がない限り、権限を与えずデフォルト権限を与えない。
 (3) 管理特権:全ての共有コンピュータ、通信システムは、管理特権により特別な管理を行える機能を備えなければならない。
 (4) システム特権付与の条件:システム特権、例えば他人のファイルを検査できる等の権限は、システム又はセキュリティ管理者に与えられるが、その任務を行う担当は正規の教育コースを終了しなければならない。
 (5) 特権の管理責任:特権は業務上必要な数に限って、必要な人以外に与えてはならない。
 (6) システム管理者に与えるID:特権を持つシステム管理者には、最低2個のIDを与えなければならない。一つは特権IDであり、もう一つは通常ユーザとしてのIDである。
 (7) 一般ユーザに特権を与える場合:一般ユーザに特権を与えなければならない場合、直属の上司、情報オーナー、ITマネージャの承認を得なければならない。
 (8) OSコマンドアクセス:エンドユーザはコンピュータで使用できるメニューと機能は限られ、OSのコマンド操作等は許可されない。
 (9) 業務情報の更新:業務情報の更新には、該当する業務部門スタッフが当たらなければならない。たとえ特権があろうとIT管理者、プログラマー等が業務部門担当者の立ち会い無しに行ってはならない。
 (10) ユーザIDデータベース:ユーザIDデータベースは現時点の状況を反映する様に維持管理されなければならない。
 (11) 特権付与手順:特権の付与は定められた手順に従って行われる。
【関連文書】「アクセス権限一覧表」「ネットワーク/システム利用申請書」

 利用者のパスワードの管理
【要求事項】パスワードの割り当ては、正規の管理手続きによって統制すること。

【実施管理策】
 (1) 初期パスワード:初期パスワードは、最初のログインが成功し、そのプロセスが完了するまでに別なパスワードに変更しなければならない。
 (2) リモートユーザの初期パスワード:リモートユーザの初期パスワードの送信は、組織の通信チャネル以外の、第三者認証機関を経由して行わなければならない。
 (3) パスワード変更の確認:全ての固定パスワードが、変更を実施しているかメールにより確認され、詐称や不正使用が行われていないことを確認する。
 (4) メールや郵便によるパスワードの送付:通常のメールや郵便でパスワードを送る場合、IDとパスワードは別送し、郵便の封筒は中身が透けて見えない等の配慮をすること。
 (5) パスワード忘れ:パスワードを忘れたり間違えたりした場合、再度新しいID、パスワードの発行を行い、正しいパスワードを教えることはしない。
 (6) ロックアウト後のパスワード再使用:パスワードは3回のトライで無効にされ、再使用にはヘルプデスクにより、本人が認証された後許可される。
 (7) パスワードのソフトへの埋め込み:パスワードをソフトウェア等に固定的に設定してはならない。
 (8) パスワードの流用発覚後の変更:パスワードの他人による流用が発覚したら、直ちにパスワードを変更しなければならない。
 (9) 特権パスワードの流用発覚後の変更:特権パスワードの他人による流用が発覚したら、直ちにパスワードを変更しなければならない。
 (10) 対面による認証:新しい又は変更パスワードの交付は対面により行う。
 (11) パスワードの開示:セキュリティ管理者は、新しいIDの交付や、パスワード忘れに対して、2種の本人の証拠を持ってパスワードを開示する。
 (12) システム使用に関する確実な認証:全てのユーザはコンピュータシステムや通信システムの使用前に、確実な認証を行わなければならない。

 利用者アクセス権のレビュー
【要求事項】管理者は、正式のプロセスを使用して、利用者のアクセス権を定められた間隔でレビューすること。
【実施管理策】ユーザアクセス権限の再確認:ユーザに与えられた全てのアクセス権限は、直属の上司によって3か月に一度、そのユーザの業務に見合ったものか、見直さなければならない。

 利用者の責任
【管理目的】認可されていない利用者のアクセス、並びに情報及び情報処理設備の損傷又は盗難を防止するため。
【管理方針】ユーザにアクセス管理を徹底させ、アクセスセキュリティを維持する。退社時は全ての情報資産を机上や管理外に放置してはならない。この保管は資産ラベル、資産管理台帳、資産取扱手順に基づき格納する。勤務時間中の離籍については、部外秘以上の情報資産は管理保管しなければならない。退社時のクライアントPCはログオフ及び電源をオフにしなければならない。勤務時間中の離席時のクライアントPCはログオフ及びスクリーンサーバー等を起動し表示を隠さなければならない。

 パスワードの使用
【要求事項】パスワードの選択及び使用に際して、正しいセキュリティ慣行に従うことを、利用者に要求すること。

【実施管理策】
 (1) パスワードの構成:パスワードは簡単に類推できるものや、辞書にある単語、ユーザIDの派生、同じ文字の連続、個人情報、言葉の一部であってはならない。
 (2) パスワードの周期的利用:パスワードはあらかじめ決めたセットを周期的に使い回してはならない。
 (3) パスワードの保存:パスワードは判読可能な形でファイルに格納してはならず、ログオンスクリプト、ソフトウェアマクロ、ファンクションキー等へ埋め込んでもならない。
 (4) 異なるシステムのパスワード:コンピュータシステムのパスワードは、システムが異なる毎に違うパスワードを使用しなければならない。
 (5) パスワードの重複:共有コンピュータ上のパスワードは、他人のパスワードと重複してはならない。
 (6) パスワード漏えいの疑い:ユーザはパスワードが漏えいしたと疑われる時は、直ちにパスワードを変更しなければならない。
 (7) パスワードのメモ:パスワードは、公衆が立ち入る場に書き残したりしてはならない。
 (8) コンピュータ周辺のパスワードのメモ:アクセスするコンピュータの周辺に、パスワードのメモ等を残してはならない。
 (9) 通信ソフトのパスワード:ウェブブラウザ、電子メール等、通信ソフトウェアにパスワードを埋め込んではならない。
 (10) クッキーによる自動ログオン:ユーザは自動ログオンの為のクッキーの登録要求を拒否しなければならない。
 (11) ダイナミックパスワードトークン:ワンタイムパスワード機能等を持つ、ダイナミックパスワードトークン等は、組織のコンピュータにリモートアクセスができるモバイルコンピュータと、同じ書類カバンやスーツケースに格納してはならない。
 (12) ユーザID:ユーザIDはパスワードと同じものを使用してはならない。
 (13) パスワードのメモ方法:パスワードをメモする場合、一見してそれと判らない、ある種の暗号手法を使用してメモしなければならない。
 (14) パスワードの共有:自分のパスワードは、相手が認可されたユーザであっても、共有してはならない。
 (15) 第三者のパスワード使用:ユーザは第三者にユーザID、パスワードを使用させてはならない。
 (16) ユーザの責任:ユーザは自身のIDに関するあらゆる活動の責任を負い、他人に自身のIDの使用を防がなければならない。
 (17) アクセスコードの共有:ユーザID、パスワード等、アクセスコードは他人に使用させてはならない。
 (18) アクセステスト:従業員はアクセス制御に対する、ぜい弱性を試す様なテストを、情報セキュリティ部門の書面による許可が無い限り、行ってはならない。
 (19) システムの弱点に対する攻撃:ユーザはシステムの弱点を攻撃して、情報にダメージを与えたり、他人のリソースにアクセスしたり、認可されていないシステムへのアクセスを行ったりしてはならない。
 (20) ボイスメールシステムのパスワード:ボイスメールシステムのパスワードは、電話番号、オフィス番号、従業員番号等類推しやすいものを流用してはならない。
 (21) 電子メールアカウント:電子メールアカウントは共有してはならず、各自独自のアカウントを持たねばならない。

 無人状態にある利用者装置
【要求事項】利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にすること。

【実施管理策】
 (1) 使用中の離席:重要な情報を処理している最中の、PC、ワークステーション、端末装置から離れてはならない。
 (2) ネットワークからの離席:ネットワークに接続中のPC等からは、ログオフしない限り、離席してはならない。

 クリアデスク・クリアスクリーン
【要求事項】書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用すること。

【実施管理策】
 (1) 勤務時間外のクリアデスク:通常の勤務時間を除き、全従業員は机、オフィスをきれいに片付けなければならない。
 (2) 勤務時間中のクリアデスク:情報は認可された物が使用している以外は適切に保管し、机周りをきれいにしておかなければならない
 (3) 夜勤者への注意:重要情報は、定められたロッカーに保管されるが、夜勤者等が人知れずアクセスできる様に配置してはならない。
 (4) 無人の部屋:重要情報が保管された無人の部屋は、必ず施錠する。
 (5) 重要情報の格納:認可された人がいないか、監視できない状況においては、重要情報は鍵付きのキャビネット、デスク又はその他家具に格納する。
 (6) コンピュータの電源オフ:スタンドアロンの機器を除いて、重要な情報を扱うPC、ワークステーションは、1日の業務が終了、昼休み、セッションを切った時は、電源をオフにする。
 (7) 重要情報を隠す:全従業員は、組織の機密や個人情報を持ち歩く場合等、適切に隠さなければならない。
 (8) 各自ファイルキャビネットの施錠:全従業員の各自管理の重要情報を含むファイルキャビネットは、離席時必ず施錠しなければならない。又その鍵のコピーは部門責任者から支給されたものでなければならない。

 ネットワークのアクセス制御
【管理目的】ネットワークを利用したサービスへの認可されていないアクセスを防止するため。
【管理方針】ネットワークに関するアクセス制御を確実にする。

 ネットワークサービスの使用についての個別方針
【要求事項】利用者には、使用することが特別に認可されたサービスへの直接のアクセスだけを提供すること。

【実施管理策】
 (1) サービスの中断:当社は、セキュリティ危機対応上、いつでもITサービスを予告無く中断する権利を保有する。
 (2) ネットワークコンピュータアクセス制御:業務時間外でも通電しているネットワークに接続されたコンピュータに対するアクセス制御は、情報セキュリティ管理部門により適切に管理されなければならない。
 (3) 外部からのネットワーク接続承認:当社以外から、ネットワークを通して組織のネットワークへの接続は、情報システム部門の承認無しに行ってはならない。
 (4) 通信業者の基準:当社の通信サービスは特定の契約先からのみ供給を受けなければならない。
 (5) 内部ネットワークアクセス:当社の社内サービス用コンピュータは内部ネットワーク以外からアクセスできない様にする。
 (6) インターネットアクセス権限:電子メールの利用を除いて、その他のインターネットの利用については、業務上の必要を証明した上で適切な管理者の書面による承認が必要である。
 (7) インターネットアクセスの制限:インターネットアクセスは調査業務のみに許可される。
 (8) 業務に無関係なウェブサイト:当社の情報システム部門は、定期的に業務に関係ないウェブサイトアクセスが無いかを調査する。
 (9) ウェブサイトの制限:当社の情報システム部門は、定期的に業務に関係が無く、好ましくない又は個人的な趣味のウェブサイトの訪問をフィルタするソフトウェアを使用する。
 (10) 大きなファイルのダウンロード:インターネットのユーザは、ビデオストリーム、オーディオストリーム、画像ファイル等大きなファイルのダウンロードは、直属の上司の了解無しには行ってはならない。
 (11) インターネット上の身分:当社のシステムを使って、又は業務でインターネットを利用する場合、身分を隠したり偽ったりしてはならない。
 (12) 知的財産:従業員はインターネット上の資料を元に、生成または引用する場合、知的所有権について確認の上行わなければならない。又当社の資料をインターネット上に公開する場合、正式に承認された公開情報のみを行う。

 外部から接続する利用者の認証
【要求事項】遠隔利用者のアクセスを管理するために、適切な認証方法を利用すること。

【実施管理策】
 (1) リモートアクセスの為のパスワード:リモートアクセスの為のID、パスワードは空白であってはならない。
 (2) 2つの要素の認証:公衆ネットワークを通したアクセスは、2つの要素を認証し、内少なくとも1つは偽装不可能な要素を認証しなければならない。
 (3) 対話型リモートシステムのアクセス制御:リモートでリアルタイム対話型運用する業務システムは、アクセス制御パッケージを実行させなければならない。
 (4) コンピュータが接続されたネットワークへのアクセス:当社のコンピュータに接続されたネットワークへアクセスする場合、ユーザID及びパスワードによる認証を実施しなければならない。
 (5) リモートでの管理作業:インターネットを経由したリモートからのサーバ管理作業は、暗号化接続(VPN)の上、ワンタイムパスワード認証を実施する。
 (6) 外部からのコマンド、EXEファイル:外部からのコマンドや実行ファイルは、ネットワークログオン中に実行してはならない。
 (7) ダイアルアップユーザ認証:公衆回線ダイアルアップ接続によるコンピュータ接続は、特別のユーザ認証を実施しなければならない。
 (8) ダイアルアップ接続のパスワードの試み:ダイアルアップ接続認証のパスワードの試みは3回以内とする。
 (9) インターネットからの接続:インターネットから組織内LANへ接続する場合、ファイアーウォールにより情報システム部門に承認された認証を実施して行う。

 ネットワークにおける装置の識別
【要求事項】特定の場所及び装置からの接続を認証するための手段として、自動の装置識別を考慮すること。
【実施管理策】ダイアルアップコールの受け入れ:情報システム部門により、認可されたダイアルアップコール以外のコールを受け入れてはならない。

 遠隔診断用及び環境設定用ポートの保護
【要求事項】診断用及び環境設定用ポートへの物理的及び論理的なアクセスは、制御すること。
【実施管理策】診断ポートアクセス:全ての診断ポートへアクセスする際は、キーロック等適切な手順に基づき実施する。

 ネットワーク領域の分割
【要求事項】情報サービス、利用者及び情報システムのグループを分割するための制御を、ネットワークに導入すること。

【実施管理策】
 (1) 持ち込みネットワーク接続:外来者による、持ち込み機器のネットワーク接続は、当社の内部ネットワークへ接続できない様に、サブネットを構成しなければならない。
 (2) 高セキュリティ、高信頼システム:全ての高セキュリティ、高信頼システムは、情報セキュリティ部門により認可された以外は、全て自営の機器で運用しなければならない。

 ネットワークの接続制御
【要求事項】共有ネットワーク、特に、組織の境界を超えて広がっているネットワークについて、アクセス制御方針及び業務用ソフトウェアの要求事項に沿って、利用者のネットワーク接続能力を制限すること。
【実施管理策】
 (1) 組織内部のネットワーク機器のパスワード:当社の全てのネットワーク機器、ルータ、ファイアーウォール、認証サーバ等は固有のパスワードか、アクセス制御機能を持たせなければならない。
 (2) ファイアーウォールを経由しないインターネット接続:ファイアーウォールを経由しない全てのインターネット接続は、組織内部ネットワークに接続していない、スタンドアロン環境下に限って行う。
 (3) 公共の場のネットワークポート:当社のロビー、カフェテリア、会議室等を含めた公共の場に、アクティブなネットワークポートを放置してはならない。
 (4) 空室のネットワーク:空室や使用していない部屋のネットワークは、切断しその部屋のネットワークポートを使用不能にしなければならない。
 (5) JAVAの無効:全てのインターネットユーザのウェブブラウザを、JAVAを無効に設定しなければならない。
【関連文書】「ファイアーウォールの設定ポリシー、プロトコルやポート等の通信制御」

 ネットワークルーティング制御
【要求事項】コンピュータの接続及び情報の流れが業務用ソフトウェアのアクセス制御方針に違反しないことを確実にするために、ルーティング制御の管理策をネットワークに対して実施すること。
【実施管理策】ネットワークの領域分割:当社の情報ネットワークは、外部及び組織内他部門から分離した、安全領域で構成されなければならない。
【関連文書】「ネットワークのルータや、L3スイッチの設定ポリシー、ルーティングテーブルや、アクセスリスト」
 
 オペレーティングシステムのアクセス制御
【管理目的】オペレーティングシステムへの、認可されていないアクセスを防止するため。
【管理方針】システムのOSにおけるアクセス管理を実施する。

 セキュリティに配慮したログオン手順
【要求事項】オペレーティングシステムへのアクセスは、セキュリティに配慮したログオン手順によって制御すること。

【実施管理策】
 (1) パスワードの試み:3回のパスワード入力の失敗の後、システム管理者がリセットするまでID、パスワードを使用停止にする。あるいは3分間の一時停止時間を設ける。又ダイアルアップユーザであれば、接続を切断する。
 (2) パスワードベースの保護:コンピュータ(ワークステーション,PC、ノートパソコン,PDA等)は全て、情報セキュリティ部門により認可されたアクセス制御規則により、OSの起動を管理されなければならない。
 (3) ログオン手順の失敗(1):ログオンの一部の失敗に対して、システムは全体の失敗としてユーザにフィードバックしなければならない。
 (4) ログオン手順の失敗(2):ログオンの一部の失敗に対して、システムはセッションを切断しなければならない。
 (5) ログオンバナー:全てのログオンバナーには次の様な警告メッセージを表示する。「システムは認可されたユーザのみがアクセスできる。」、「不正アクセスには刑事訴追により対応する。」、「システムの使用状況は監視されている。」等。
 (6) ログオンバナーの表示内容:全てのネットワーク接続されたコンピュータのログオンバナーには、組織、OS、システムコンフィグ、その他内部情報が悟られる様な内容を表示してはならない。
 (7) ログオンバナーの作成、承認:全てのネットワーク接続されたコンピュータのログオンバナーは、法務部門の承認により、IT部門が作成しなければならない。
 (8) 最終ログオン日時:ログオン時、全てのユーザに前回のログオン日時を表示して、身に覚えの無いログオンが無かったか注意を促す。
 (9) ログオン回数制限:ユーザは1日に10回以上のログオンは許可されない。

 利用者の識別及び認証
【要求事項】すべての利用者は、各個人の利用ごとに一意な識別子(利用者ID)を保有すること。また、利用者が主張する同一性を検証するために、適切な認証技術を選択すること。

【実施管理策】
 (1) シングルサインオン:ユーザはただ一つのID、パスワードの組を持ち、それで全てのコンピュータ、ファイアーウォール、OS、ネットワーク、アプリケーションの権限を得られなければならない。
 (2) 認証デバイス:ICカード等の認証デバイスを使用する際、必ずパスワード入力を都度要求し、3回以上の失敗に対して、そのデバイスを使用不能にする。
 (3) OSによるユーザ認証:当社のアプリケーションシステム開発者は、ユーザ認証に一貫してOSの機能を使用しなければならない。商用ベースの認証機能拡張を導入する際は情報セキュリティ部門の認可を得なければならない。
 (4) 同時多重ログイン:コンピュータシステムは同じユーザの多重ログインを、情報システム部門の特別な認可無しに許可してはならない。
 (5) 情報処理委託:個人のID及びIDに関連した個人情報の処理を外部に委託してはならない。
 (6) ボイスメール等の認証:ボイスメール等の認証は、コンピュータID、パスワードとは異なっていなければならない。

 パスワード管理システム
【要求事項】パスワードを管理するシステムは、対話式とすること、また、良質なパスワードを確実とするものであること。

【実施管理策】
 (1) 最小パスワード長(1):全てのパスワードは最低10文字とし、パスワード入力時点で自動的にチェックできること。
 (2) 最小パスワード長(2):全てのパスワードは最低10文字とし、最大長はシステムに任せる。
 (3) ネットワークコンピュータのパスワード:全ての当社のネットワークに接続されたコンピュータのパスワードは最低10文字とし、オフラインのコンピュータのパスワードは6文字とする。
 (4) 役割に応じたパスワード長:最低パスワード長は、ボイスメール、ハンド減る度コンピュータ等は6文字、ネットワークに接続されたコンピュータは8文字、管理者や特権ユーザは10文字とする。
 (5) パスワードの再使用:ユーザはかつて明らかに使用した事の有るパスワードは、再使用してはならない。
 (6) パスワード使用文字:全てのユーザはパスワードとして、最低1文字のアルファベットと、最低1文字のアルファベット以外の文字を使用する。
 (7) パスワードの大文字小文字:全てのユーザはパスワードとして、最低1文字の小文字と、最低1文字の大文字を使用する。
 (8) パスワード履歴:全ての共有コンピュータ上のシステムソフトウェアや自社開発の業務システムでは、一つのユーザIDに対して過去13回のパスワード変更履歴を保持しなければならない。
 (9) システムによるパスワード生成:システムによるパスワード生成を利用する場合、システムクロックの下位ビットをソースにするか、その他予測不可能なソースを使用しなければならない。
 (10) システムによるパスワード生成(2):ユーザの為のシステムにより生成されたパスワードは、発音できなければならない。
 (11) システムによるパスワードの発行と保存:システムにより発行されたID及びパスワードは生成したら即座に発行し、そのデータは生成システムが存在するコンピュータには保存しない。
 (12) パスワード記憶装置の消去:パスワード生成に使用した、メモリー領域や記憶メディアは、その使用後1と0の連続で繰り返し上書きし完全に消去する。
 (13) パスワード生成システムの保護:パスワード生成に関するソフトウェアやファイル類は最も厳しい安全対策に基づき管理されなければならない。
 (14) パスワードの表示と印刷:パスワードを表示、印刷する時はマスクし、認可されていない者の覗き見から守らなければならない。
 (15) パスワード変更のマスク:ユーザがパスワードを決定する際、2度入力をさせ、表示をマスクする。
 (16) パスワード変更要求:全てのユーザは、少なくとも90日に1回は自動的にパスワード変更を要求される。
 (17) パスワード変更タイミングの同期:パスワードの変更は、コンピュータ及びネットワークシステム全てを同期して行う。
 (18) パスワードのメモ掲示:パスワードはメモ等にして、PC及びワークステーション本体及び近傍に貼付けてはならない。
 (19) クッキー上のアクセス制御情報:当社のアクセス制御情報をエンドユーザのコンピュータ上のクッキー等に記憶させてはならない。
 (20) パスワードの暗号化:パスワードを一定期間保存する場合や送信する場合、暗号化しなければならない。
 (21) パスワードの検索:コンピュータ及び通信システムは、パスワードが暗号化されているかどうかに関わらず、検索されたりそれらを不正に使用されたりすることを防がなければならない。
 (22) システムアクセス制御パスワード:コンピュータ及び通信システムのアクセス制御は、固有のパスワードによって行わなければならない。
 (23) ベンダーデフォルトパスワード:ベンダーのデフォルトパスワードは、当社の業務に使用する前に変更しなければならない。
 (24) セキュリティの疑い:不正アクセス等のセキュリティ上の疑いがある場合、OS及びセキュリティ関連ソフトウェアを再インストールし、状況をレビューしなければならない。

 システムユーティリティの使用
【要求事項】システム及び業務用ソフトウェアによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理すること。

【実施管理策】
 (1) セキュリティ検査ツールの使用:セキュリティ検査ツールを配布する前に、当社のスタッフはユーザのニーズと正当性を調べなければならない。
 (2) ぜい弱性検査ソフトウェア:ぜい弱性検査ソフトが有効に使用されていないことが判明したら、直ちに取り除かねばならない。
 (3) 強力な情報システムツール:使用を誤ると情報システムに大きなダメージを与えかねない情報システムツールを配布する時は、その正しい使用目的に沿う機能制限が自動的に働く様にしなければならない。
 (4) セキュリティ監視ツール:全ての共有コンピュータは、セキュリティ状態を監視し、セキュリティ問題を収集する機能を持つ、監視ツールを備えなければならない。
 (5) ハード、ソフトの診断:ハード及びソフトの診断作業は厳しく管理され、決められたテスト担当、トラブルシュート担当、開発担当により行われる。
 (6) システムユーティリティの保管場所:業務システムの格納された記憶装置内には、コンパイラー、アセンブラー、テキストエディター、ワープロ等一般的なツールを格納してはならない。
 (7) システムソフトユーティリティの利用:システムソフトユーティリティのアクセスはごく少数の限られたメンバーに制限され、それを使用した際は実行が記録され、コンピュータ運用管理者によりレビューされる。
 (8) 制御を無効にする仕組み:経営陣はセキュリティ制御を無効にする仕組みを、事業継続上の事態にのみ使用することを確実にする。
 (9) 制御無効の使用:経営陣はセキュリティ制御を無効する仕組みの使用基準と承認手順を、明確に定めなければならない。
 (10) ファイル回復:もしエンドユーザが自身のファイルを回復させる際、他人のファイルも回復するようなことが無い様にしなければならない。

 セッションのタイムアウト
【要求事項】一定の使用中断時間の経過したときは、使用が中断しているセッションを遮断すること。
【実施管理策】自動ログオフ:10分間の休止状態が続いた端末、ワークステーション,PC等は、自動的に画面を消し、セッションを切断し、再度作業するにはパスワードを再度入力しなければならない。

 接続時間の制限
【要求事項】リスクの高い業務用ソフトウェアに対して、追加のセキュリティを提供するために、接続時間の制限を設けること。
【実施管理策】接続時間制限:データ及びプログラムにアクセスできる時間を制限する仕組みを導入しなければならない。
 
 業務用ソフトウェア及び情報のアクセス制御
【管理目的】業務用ソフトウェアシステムが保有する情報への認可されていないアクセスを防止するため。
【管理方針】アプリケーションレベルのアクセス制御を実施する。

 情報へのアクセス制御
【要求事項】利用者及び支援要員による情報及び業務用ソフトウェアシステム機能へのアクセスは、既定のアクセス制御方針に従って、制限すること。

【実施管理策】
 (1) カスタマーサービスパスワード:カスタマーサービスに於ける、顧客からの電話問い合わせの際、本人認証に使用するシステムのログインパスワードはディスプレイ上に表示してはならない。
 (2) 秘密のID,パスワード:アプリケーション開発者は、特権を持つ秘密のID,パスワードをプログラムに仕組んではならない。そしてその事実を一般に使用されるシステムドキュメントに公表してはならない。
 (3) コンピュータ上の情報のアクセス制御:コンピュータ上の、重要、クリティカル、ぜい弱な情報は、アクセス制御により不正開示、改ざん、削除、破損が無い様にしなければならない。
 (4) アダルトサイトアクセス:ウエブ上のアダルトサイトのアクセス制限を、情報システム部門は実施しなければならない。
 (5) 共有環境の分離の確立:経営陣は共有コンピュータ上の各ユーザのアクセスを確実に分離し、お互いが干渉しない様にしなければならない。
 (6) ユーザアクセスの保護:ユーザは他人のファイル等を、オーナーの許可を得る事無く、読んだり、変更したり、削除したり、コピーしてはならない。
 (7) デフォルトユーザ権限:経営陣の書面による承認が無い限り、システム管理者は電子メール、ワープロ等如何なる権限も与えてはならない。
 (8) ユーザの得られる権限:エンドユーザのアカウント権限は、業務執行する為のシステムの能力とコマンドの権限のみとする。
 (9) 業務情報のアクセス権限:当社の業務情報を変更できるシステム権限は、業務アプリケーションのみに制限する。
 (10) データベースの更新:データベースの更新は、経営陣の承認により、確立された手順により行われる。
 (11) 共有業務システム:共有教務システムは情報セキュリティ部門により承認された、アクセス制御機能を持たなければならない。
 (12) システムログ及び監査証跡の開示:システムログ及びアプリケーション監査証跡は、組織内部のそれらを調査する等の任務を持った者以外に開示してはならない。
 (13) 開発者による業務情報アクセス:業務アプリケーションの開発エンジニアは、自身が携わる業務以外の業務情報にアクセスしてはならない。
 (14) 第三者の機密情報の取り扱い:たとえ契約に謳われていなくても、第三者の機密情報及び著作権情報は、当社のそれと同様に扱われなければならない。
 (15) 顧客の個人情報へのアクセス:当社の顧客のクレジットカード番号、与信情報等個人情報は、従業員のみが業務遂行の為のみにアクセスできる。
 (16) データウェアハウスのアクセス:当社のデータウェアハウスへのアクセスは、当社の経営陣の承認を要する。
 (17) 機密情報の2次開示の禁止:機密情報の開示の許可を得たものは、その情報を他人に漏らしてはならない。
 (18) 重要情報のアクセス手順:当社の重要、ぜい弱な情報にアクセスする場合は、直属の上司の承認を得た後でなければならない。
 (19) 機密情報のアクセス手順:当社の機密情報へのアクセスの許可は、特定の個人に与えられ、個人の属するグループに与えてはならない。

 取扱に慎重を要するシステムの隔離
【要求事項】取扱いに慎重を要するシステムは、専用の(隔離された)コンピュータ環境を持つこと。

【実施管理策】
 (1) クリティカルアプリケーションサーバ:情報システム部門により過大なコスト負担と認められない限り、クリティカルな業務アプリケーションサーバは、専用機化し他の業務と共用しない。
 (2) 機密情報システムの隔離:機密情報を含む当社のコンピュータは、他のネットワーク、コンピュータと接続してはならない。

 モバイルコンピューティング及びテレワーキング
【管理目的】モバイルコンピューティング及びテレワーキングの設備を用いるときの情報セキュリティを確実にするため。
【管理方針】モバイル環境及びSOHO環境におけるアクセス制御を実施し、リモートアクセスのセキュリティを維持する。

 モバイルコンピューティング及び通信
【要求事項】モバイルコンピューティング・通信設備を用いた場合のリスクから保護するために、正式の方針を備え、適切なセキュリティ対策を採用すること。

【実施管理策】
 (1) ポータブルコンピュータの使用:ポータブルコンピュータの使用については、情報セキュリティ責任者の承認に基づき、必要な制御機能を組み込んだ上、許可される。
 (2) 重要情報のモバイルコンピュータでの扱い:当社の重要情報は、モバイルコンピュータ上で取り扱ってはならない。
 (3) 機密情報が入ったモバイルコンピュータ:従業員は機密情報が格納されたモバイルコンピュータを、例え暗号化されていても、片時も手放してはならない。
 (4) モバイルコンピュータによる機密情報の取り扱い:モバイルコンピュータの利用資格を得るまで、当社の機密情報を取り扱ってはならない。
 (5) 機密情報の入ったモバイルコンピュータ:当社の機密情報が入った、モバイルコンピュータは、ハードディスク内の全てのファイルを暗号化し、ブートの保護を機能させなければならない。
 (6) モバイルコンピュータを飛行機に乗せる場合:当社の機密情報をモバイルコンピュータに格納して飛行機で移動する場合、このコンピュータを空港の荷物検査システムに通してはならない。
 (7) PC上の重要情報:重要情報をPCのハードディスク等に格納する場合、パスワードによるアクセス制御か暗号化を施さなければならない。
 (8) モバイルコンピュータの貸与:当社の重要情報が格納された、モバイルコンピュータは他人に貸与してはならない。
 (9) 代替サイトの保護:代替サイトの当社の機器類は、損傷や誤用から保護しなければならない。
 (10) モバイルコンピュータの点検:当社のモバイルコンピュータは、いつでも使用状況が点検され、従業員は退職したら直ちに返却しなければならない。
 (11) モバイルコンピュータの保管:従業員は当社のモバイルコンピュータを、安全な場所に保管するまで、常に保管を心掛けなければならない。
 (12) 退社の際の注意:モバイルコンピュータユーザは、退社の際、重要情報を暗号化するなど、記憶メディアに物理的保護策を施さなければならない。

 テレワーキング
【要求事項】テレワーキングのための方針、運用計画及び手順を策定し、実施すること。

【実施管理策】
 (1) 遠隔データエントリー作業:当社の全てのデータエントリーオペレーターは、情報システム責任者に認可された設定のシンクライアントを使用し、日々その日に必要なソフトだけをダウンロードして運用する。
 (2) 在宅装置:当社の代替サイトで使用する装置は、例えコンパチブルな機器であっても会社から与えられた機器以外を使用してはならない。
 (3) 在宅勤務の作業環境:在宅勤務サイトの作業環境は、当社のポリシー、スタンダードに準拠しなければならない。
 (4) 在宅勤務のセキュリティ要求:在宅勤務従業員の上司は、作業環境が当社の業務を実施するのに適したものであるかを、承認しなければならない。
 (5) 在宅勤務のセキュリティポリシー遵守:在宅勤務者は当社のリモート接続に関するポリシーを遵守し、かつソフトウェアの知的所有権遵守、規定されたバックアップの実施、重要書類のシュレッダー処理を実施する。
 (6) 在宅オフィスの検査:当社は、在宅オフィスを1日以上の予告の上、検査をしなければならない。
 (7) 鍵付き家具への保管:自宅で勤務するものは、当社の重要情報を鍵付きのロッカー等に適切に保管しなければならない。

アーカイブ

検索

最近のブログ記事

アイテム

  • img006.jpg
  • img005.jpg
  • img004.jpg
  • img003.jpg
  • img002.jpg
  • img001.jpg

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。