序章
いきなりすごいテーマを出しました。通常ISMSの解説を行う場合、構築プロセスに準じて行いますが、このブログの目的はコンサルの持つノウハウを、ISMS構築に携わる方と共有する為に始めるもので、むしろ皆さんが最も知りたいだろうテーマをとりあげました。
これからお伝えする内容は、ISO27001の1333詳細管理策毎のサンプルポリシー集です。対象となる業種や規模は特定せず、様々なポリシーが混在しています。ユーザは詳細管理策毎、リスクアセスメントの結果から、最も適切なポリシーを選択して下さい。これによって詳細管理策の文書化を容易にできます。ただし全体のボッリュームが膨大です。しかしこのブログでは一切端折ること無く10回程度に分けて記述して行きます。
第1章 セキュリティ基本方針
情報セキュリティ基本方針
【管理目的】情報セキュリティのための経営陣の指針及び支持を、事業上の要求事項、関連する法令及び規則に従って規定するため。
【管理方針】セキュリティ基本方針は経営陣が承認し、かつ維持する。また従業員に周知する。
情報セキュリティ基本方針文書
【要求事項】基本方針文書は、経営陣によって承認され、適当な手段で、全従業員に公表し通知する事。
基本方針宣言書
【実施管理策】
基本方針宣言書は、経営陣によって、方針と目標を年度初めにマネジメントシステムの基準として策定し、従業員や利害関係者に周知する。
【方針を作成する上での考慮事項の例】
(1) サービスの維持:顧客に提供する製品やサービスの品質低下、コスト増大、納期遅延等に影響を与える情報及び情報システムの管理方針。顧客契約の達成等
(2) サービスの向上:品質向上、コスト低減、納期短縮に関わる取り組みリスクと、情報及び情報システムの管理方針
(3) サービスの継続:情報及び情報システムのインシデントの影響を最小限にする方針。さらに重大なインシデントに対して、サービスを継続する為の対策方針。また法令遵守等
(4) 管理コストの低減:ISMS管理は費用効果を重視し、管理コストの低減を目指す方針
【目標についての考慮事項】
(1) 顧客の期待に対する達成指標
(2) 事業継続に関する達成指標
(3) インシデント対応の達成指標
(4) 情報セキュリティ対策の効率化の達成指標
【関連文書】「基本方針宣言書」
詳細管理策方針
【実施管理策】
ISO27001付属書Aより選択した管理策についての方針を定める。方針は規格に定められた管理目的ごと及び詳細管理策の求めに従い定める。
【関連文書】
(1) 基本方針規程
(2) 情報セキュリティのための組織規程
(3) 資産の管理規程
(4) 人的資源のセキュリティ規程
(5) 物理的及び環境的セキュリティ規程
(6) 通信及び運用管理規程
(7) アクセス制御規程
(8) 情報システムの取得、開発及び保守規程
(9) 情報セキュリティインシデントの管理規程
(10) 事業継続管理規程
(11) コンプライアンス規程
情報セキュリティ基本方針のレビュー
【要求事項】基本方針は、依然として適切である事を確実にするために、また影響を及ぼす変化があった場合に、見直す事。
【実施管理策】
(1) 定期的な見直し:マネジメントレビューを実施する際、情報セキュリティ責任者は基本方針の見直しを提案すること。
(2) 随時見直し:次の様な事象において見直しを実施する。
① 情報システムの変更
② 重大なセキュリティ事件、事故の対応
③ 組織変更
④ 事業変更
第2章 情報セキュリティのための組織
内部組織
【管理目的】組織内の情報セキュリティを管理するため。
【管理方針】情報セキュリティの為の組織体制を確立し,維持する。
情報セキュリティに対する経営陣の責任
【要求事項】
経営陣は、情報セキュリティの責任に関する明瞭な方向付け、自らの関与の明示、責任の明確な割当及び承認を通して、組織内に於けるセキュリティを積極的に支持する事。
【実施管理策】
経営陣は次の事項を行うこと
(1) ISMSの目標を設定し、それが他の経営マネジメントプロセスと共有されること
(2) 情報セキュリティ基本方針策定し、レビューし、承認すること
(3) 情報セキュリティ基本方針の実施の有効性をレビューする
(4) 情報セキュリティに対する経営の支持を明確に示す
(5) 情報セキュリティに必要なリソースを提供する
(6) 情報セキュリティのための役割及び責任の割当を承認する
(7) 従業員に対する意識向上プログラムを計画、承認する
(8) 情報セキュリティの組織全体に渡る調整を指揮、承認する
情報セキュリティの調整
【要求事項】
情報セキュリティ活動は、組織の中の、関連する役割及び職務機能を持つさまざまな部署の代表が、調整する事。
【実施管理策】
(1) 部門を横断する、情報セキュリティ委員会を組織する。
(2) 委員会のメンバーはその部門を代表する。
(3) 会議は定期的に開催する。
情報セキュリティ委員会は以下を実施すること
(1) 情報セキュリティ基本方針に基づく活動の確実な実行
(2) 情報セキュリティ基本方針に定めの無い事項の扱い方の特定
(3) 情報資産洗い出し方法、資産分類方針、リスクアセスメント方法等の承認
(4) 重要な脅威の変化の特定、並びに情報及び情報処理システムに対する脅威の露呈の特定
(5) 管理策の妥当性のアセスメント実施
(6) 従業員の意識向上プログラムの推進
(7) 情報セキュリティインシデントの監視、レビュー及びインシデントの対応
以下に情報セキュリティマネジメント組織図を以下に記す。
情報セキュリティ責任の割り当て
【要求事項】
個々の資産の保護に対する責任及び特定のセキュリティ手続きの実施に対する責任を、明確に定めること。
【実施管理策】
以下の通り定義する。
ISMSのための主な責任と権限一覧表
社長 基本方針を定める基本方針を全従業員に周知させる個人情報保護方針が一般の人に入手できるようにする監査責任者を任命する情報セキュリティ管理責任者を任命する情報セキュリティ部門責任者を任命する教育責任者を任命する情報セキュリティに関する責任と権限を定め全従業員に周知させる情報セキュリティ管理マニュアル及び各内部規程を承認するISMSの運用状況について情報セキュリティ管理者から報告を受けるISMSの運用状況について見直しを行う
情報セキュリティ管理責任者 ISMSの運用に関して統括するISMSに関する内部規程を維持管理する社長にISMS運用状況について報告する洗い出された情報資産のリスク分析の結果を確認し、資産台帳へ登録する
部門責任者 情報資産の洗い出しとリスク分析を行う管理策の提案を行う
監査責任者 内部監査員を任命する年間監査計画書を作成する監査の実施を指示する監査報告書を作成し社長に報告する監査のフォローアップ(効果の確認)を促進する
内部監査員 ISMS内部監査を実施し、監査責任者に報告する内部監査の基礎知識を有する(参照:ISO19011等)ISMSの概要と内部規程を理解していること
教育責任者 ISMSに関する教育訓練の年間計画を作成する教育を実施し、実施結果の記録を保管する教育実施状況について社長に報告する
情報処理設備の認可手続
【要求事項】
新しい情報処理設備に対する経営陣による認可手続きを確立すること。
【実施管理策】
(1) 次の場合、申請に基づき、認可を得なければならない。
①新たに情報処理システム、機器を導入する場合
②情報処理システム、機器を更新する場合
(2) 情報処理システム、機器の定義
①コンピュータ、ネットワークを使用するシステム
②サーバ、PC、ノート型PC、PDA(高機能携帯電話を含む)等
③ネットワーク機器(スイッチ、ルータ、ファイアウォール、無線LAN等)
④デジタルコピー、FAX、スキャナー等
⑤ソフトウェア(業務ソフト、ウィルス対策、OS等)
【関連文書】「情報処理設備機器導入申請書」
秘密保持契約
【要求事項】
情報保護に対する組織の必要を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューすること。
【実施管理策】
(1) 知的所有権の帰属:当社の従業員が、業務で作成したプログラムや書類の所有権は当社に帰属する。
(2) 機密保持契約の締結:当社の全従業員は、機密保持契約を締結しなければならない。既に業務に従事している従業員については、継続の条件として機密保持契約を締結しなければならない。
(3) 人事異動:社員及び契約社員等の異動があった際、その部門の管理職も含めて、機密保持に関するレビューを行わなければならない。
(4) 前職における機密保持:転職してきた従業員で、以前の組織と正式に機密保持契約を締結した場合には、それを遵守させ、前職の機密を開示するように要求してはならない。
(5) 非競争契約:当社の正社員は、離職後6ヶ月間は当社と競合する事業に就職したり、起業したりしてはならない。
【関連文書】「就業規則(外部規程)」「従業員との秘密保持契約書類」
関係当局との連絡
【要求事項】
関係当局との適切な連絡体制を維持する事。
【連絡体制】
(1) 所轄警察署:
(2) 所轄消防署:
(3) ビル管理会社:
(4) 契約警備会社:
(5) 通信事業者:
(6) インターネットプロバイダー:
専門組織との連絡
【要求事項】
組情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持する事。
【連絡体制】
(1) 法的な専門家:
(2) 技術的な専門家:
(3) 労務、人事の専門家:
(4) セキュリティ技術の専門家:
(5) ウィルス情報提供サイト:
(6) ソフトウェア脆弱性情報提供サイト:
情報セキュリティの独立したレビュー
【要求事項】
情報セキュリティ及びその実施のマネジメントに対する組織の取り組み(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)は、あらかじめ定められた間隔で、又はセキュリティの実施に重大な変化が生じた場合に、独立したレビューを実施する事。
【実施管理策】
(1) 内部監査の体制,手順を整え、定期的に内部監査を実施する。
(2) 経営者が承認した場合、利害関係者による監査を受け入れる。
(3) 外部の審査機関によるISO適合性審査を実施する。
【関連文書】「内部監査に関する手順書」
外部組織
【管理目的】外部組織によってアクセス、処理、通信、又は管理される組織の情報及び情報処理施設のセキュリティを維持するため。
【管理方針】顧客や取引先及びサービス業者のリスクに応じたセキュリティ管理を実施する。管理内容を反映した契約締結を確実にし、維持する。
外部組織に関係したリスクの識別
【要求事項】
外部組織が関わる業務プロセスからの、組織の情報及び情報処理施設に対するリスクを識別し、外部組織にアクセスを許可する前に適切な管理策を実施する事。
【実施管理策】
リスクを評価したうえ、次にポリシーを定める。
(1) 第三者のユーザID:従業員ではない個人、契約社員、コンサルタント等に組織の情報システム及び通信システムのユーザIDを与えてはならない。もし許可するのであれば、書面による部門長又はオーナーの承認が必要である。
(2) 臨時雇用の権限:臨時雇用社員に組織の情報システム及び通信システムのユーザIDを与えてはならない。もし許可するのであれば、書面による部門長又はオーナーによる承認が必要である。
(3) 第三者によるリモートアクセス:ダイアルアップ、インターネット、VPNを経由したリモートアクセスを第三者にさせてはならない。もし必要ならば、該当情報システムのマネージャが、その業務遂行に必要な、個人、時間に限って許可する。
(4) 機器保守要員との秘密保持契約:オフィス機器全ての保守に関わる外部の要員は、その作業に入る前に当社の秘密保持契約に合意しなければならない。
(5) 情報開示:当社の如何なる内部機密情報は、業務上必要であることが証明できるものに限り、当社の経営陣による承認の上、第三者に開示できる。
(6) 第三者との非開示契約:第三者へ機密情報や個人情報を、コピーやデータの形で渡す前に、受け取る第三者は当社の機密保持契約に合意しなければならない。
(7) 機密保持契約:当社の機密情報、個人情報を第三者に開示する場合、開示される第三者は当社の秘密保持契約に合意しなければならない。
(8) 臨時雇用社員及びコンサルタントによる情報アクセス:組織の重要情報は、正社員のみにアクセスが許される。但し緊急時や障害対応時に十分な対応スキルを持つ正社員がいない場合、人事部長又は情報資産オーナーの了解の上、正社員以外のアクセスを許可する。
(9) 電話帳:社内の社員電話帳は、パートナー、コンサルタント、臨時雇い社員等第三者に配布してはならない。必要な場合は所属部門長が個人毎承認の上、行う。
(10) 第三者による情報システムアクセス:第三者が当社の情報システムにアクセスする場合は、事前に情報セキュリティ管理責任者の承認を得る必要がある。
(11) 第三者のセキュリティ責任:第三者が当社のネットワークコンピュータシステムに接続する場合、詳細に第三者のセキュリティ責任を記述した承認を、使用する事前に得る必要がある。
(12) 重要ベンダーの財務状況調査:当社の情報システムに関わる重要なベンダーの財務状況を、情報システム責任者又はその代理により、年1回調査される。
(13) 対策報告:アウトソーシング契約者は、当社との間で合意したセキュリティ対策が有効であるか、独立した視点での報告書を毎年提出する。
(14) ASPのソフトウェア:当社の情報を取り扱う全てのASPは、最適最新バージョンのソースコードを使用し、同時にそれに準じた手順書を提出する。
(15) 重要システムのバックアップ:重要なシステムのバックアップにアウトソーシングを使用する場合、これらの業者は必要な事態に速やかに対応できる能力を備えなければならない。
(16) XSP緊急事態対応計画:XSP等アウトソーシングサービスは、緊急対応計画を整備し、定期的にその計画を第三者によってテストされること。
(17) システム外注計画:システムを外注に委託する場合、その内容を外注先に開示する前に、社内開発へ戻す計画とテストを、情報セキュリティ管理責任者の承認のもと立てる必要がある。
(18) アウトソーシングに於けるファイアウォール、サーバ共有の禁止:当社の重要な情報がアウトソーシング先で他の組織のファイアウォール、サーバと環境を共有することを禁止する。
(19) 外部委託された情報の入手:外部委託された当社の情報に対して、外注先から毎日提出されるか、必要な時は何時でも入手できる様に契約をする必要がある。
(20) アクセス権の付与:外部委託先に、当社の情報及び情報システムへのアクセス権は、外部委託先に委任してはならず、必ず当社の経営陣が決定しなくてはならない。
(21) 外部委託契約の承認:当社の情報処理を外部委託する場合、情報セキュリティ管理責任者の承認を得る。情報セキュリティ管理責任者は外部委託に於けるセキュリティ要求事項を決定し、これに満足しない外部委託先との契約を解除する。
(22) 外部委託先の財務状況:当社の情報処理を請け負う、すべての外部委託業者は4半期毎決算情報を当社へ提出する。
(23) 外国企業への委託:当社の情報処理で、設計、開発、テスト、運用及び保守業務は、外国にある又は外国資本の企業に委託してはならない。
【関連文書】「機密保持契約」「取引先情報セキュリティチェック表」「業務委託契約書」
顧客対応に於けるセキュリティ
【要求事項】
顧客が組織の情報又は資産にアクセスする前に、明確にしたすべてのセキュリティ要求事項に対処する事。
【実施管理策】
リスクを評価したうえ、次にポリシーを定める。
(1) 顧客契約条件:顧客が当社の情報システムにアクセスする場合は、情報セキュリティ管理責任者及び法務部門の責任者とで、セキュリティ上の契約条件を決定し、事前に当事者間で契約を締結する。
(2) 顧客への情報転送:ソフトウェアや関連文書又は内部情報を当社以外へ、経営陣の事前承認無しに転売又は転送してはならない。
(3) 組織名称の使用:顧客は事前の経営陣による承認無しに、当社の名称を広告や商材に使用してはならない。
(4) 契約終了時の情報の取扱い:もし契約が中止、終了したら、当社に関する情報はできるだけ速やかに破壊、返却しなければならない。
(5) 重要情報の取扱い:当社の重要情報を第三者に開示する場合は、どんな制限があり、どのように取り扱うか又は取り扱ってはいけないかが、明確にされなければならない。
(6) 顧客からの機密情報:顧客からその機密情報を受け取る場合、サインする前に法務部門による法的適合性の確認を得る必要がある。
(7) 顧客とのネットワーク接続:業務上の必要性から第三者のシステムにネットワーク接続された場合、第三者に対して当社の要求に従ったセキュリティ対策を求め、予告なく査察に立ち入る権利、問題が発見されたら直ちに切断する権利を保有する。
(8) 顧客との合意事項:当社の重要情報を取り扱う顧客との契約条項に、定期的に管理策の実施状況を監査し、取扱いについて指示できる要件を盛り込む。
(9) 顧客組織に対する安全対策:顧客組織に当社へアクセスするユーザIDを付与する前に、顧客組織内のセキュリティ対策が取られている証拠を提出させ、当社のセキュリティ責任者の承認を得る。又第三者は不正アクセス、不正使用から当社のシステム保護することを書面にて誓約する。
(10) 顧客のセキュリティポリシー合意:顧客は当社の重要情報が開示される前に、機密保持契約と情報セキュリティ管理責任者に承認されたセキュリティポリシーを遵守することを、契約しなければならない。
(11) 顧客による情報収集:当社の情報システム及びネットワークシステムを使用する外注等顧客が、当社の重要情報を入手した場合、その都度当社へ、報告しなければならない。
(12) 顧客のセキュリティ責任:第三者の当社に於けるセキュリティ責任を、基本契約に明記する。
(13) 顧客からの情報の返却:第三者との契約が終了した場合、そのプロジェクトで渡された当社の情報や生成された情報及びコピーは、そのプロジェクトマネージャーに返却しなければならない。
(14) 情報セキュリティポリシー準拠:全ての顧客は、当社の情報セキュリティ要求事項及び責任について、社員と同様の対象とする。
【関連文書】「守秘義務に関する覚書等」
第三者との契約に於けるセキュリティ
【要求事項】
組織の情報若しくは情報処理施設が関係するアクセス・処理・通信管理に関わる第三者との契約、又は情報処理施設に製品・サービスを追加する第三者との契約は、関連する全てのセキュリティ要求事項を取り上げる事。
【実施管理策】
リスクを評価したうえ、次にポリシーを定める。
(1) 第三者契約条件:第三者が当社の情報システムにアクセスする場合は、情報セキュリティ管理責任者及び法務部門の責任者とで、セキュリティ上の契約条件を決定し、事前に当事者間で契約を締結する。
(2) 第三者への情報転送:ソフトウェアや関連文書又は内部情報を当社以外へ、経営陣の事前承認無しに転売又は転送してはならない。
(3) 組織名称の使用:第三者は事前の経営陣による承認無しに、当社の名称を広告や商財に使用してはならない。
(4) 契約終了時の情報の取扱い:もし契約が中止、終了したら、当社に関する情報はできるだけ速やかに破壊、返却しなければならない。
(5) 個人情報の保護:個人情報保護ポリシーの観点から、当社のポリシー実施を阻害するようであれば、第三者を使用して業務を行ってはならない。
(6) 業務委託契約に基づく開示:当社が管理を委託した個人情報や重要な情報は、第三者に対して、業務委託契約の範囲を超えて開示してはならない。
(7) システム構築ベンダー情報の開示:当社の社員は、運用中及び構築中のシステムのベンダーと、システム内容について公表してはならない。
(8) 費用情報の収集:第三者は、当社の情報システム製品及びサービスの費用について、調査してはならない。
(9) 重要情報の取扱い:当社の重要情報を第三者に開示する場合は、どんな制限があり、どのように取り扱うか又は取り扱ってはいけないかが、明確にされなければならない。
(10) 第三者からの機密情報:コンサルタントや、契約社員等第三者からその機密情報を受け取る場合、サインする前に法務部門による法的適合性の確認を得る必要がある。
(11) 第三者とのネットワーク接続:業務上の必要性から第三者のシステムにネットワーク接続された場合、第三者に対して当社の要求に従ったセキュリティ対策を求め、予告なく査察に立ち入る権利、問題が発見されたら直ちに切断する権利を保有する。
(12) 第三者との合意事項:当社の重要情報を取り扱う第三者との契約条項に、定期的に管理策の実施状況を監査し、取扱いについて指示できる要件を盛り込む。
(13) 第三者組織に対する安全対策:第三者組織に当社へアクセスするユーザIDを付与する前に、第三者組織内のセキュリティ対策が取られている証拠を提出させ、当社のセキュリティ責任者の承認を得る。又第三者は不正アクセス、不正使用から当社のシステム保護することを書面にて誓約する。
(14) 第三者のセキュリティポリシー合意:第三者は当社の重要情報が開示される前に、機密保持契約と情報セキュリティ管理責任者に承認されたセキュリティポリシー抄本を遵守することを、契約しなければならない。
(15) 第三者による情報収集:当社の情報システム及びネットワークシステムを使用する外注等第三者が、当社の重要情報を入手した場合、その都度当社へ、報告しなければならない。
(16) 第三者のセキュリティ責任:第三者の当社に於けるセキュリティ責任を、基本契約に明記する。
(17) 第三者からの情報の返却:第三者との契約が終了した場合、そのプロジェクトで渡された当社の情報や生成された情報及びコピーは、そのプロジェクトマネージャーに返却しなければならない。
(18) 情報セキュリティポリシー準拠:全ての第三者は、当社の情報セキュリティ要求事項及び責任について、社員と同様の対象になる。
【関連文書】「業務委託契約書等」
