8.通信及び運用の管理に関する基本原則

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「8.通信及び運用の管理に関する基本原則」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

Ⅲ.情報システム室の職務

8.通信及び運用の管理に関する基本原則

8.1 運用手順及び責任

8.1.1 手順書の作成

情報システム室は、社内ネットワーク及びその責任範囲の情報システムについて、次の手順書を作成する。

  • ネットワーク運用手順書
  • システム運用手順書
  • (必要に応じ)利用者向けの利用手順書

8.1.2 運用変更の管理策

(1)情報システム室は、ネットワークの構成及び運用に対する変更管理手順(変更申請の手順、許可・承認の手順、変更確認手順を含む)を定め、社内ネットワークの変更を管理する。

(2)情報システム室は、その責任範囲の情報システムのハードウェア、システム運用プログラム、アプリケーションプログラム及び運用に対する変更管理手順(変更申請の手順、許可・承認の手順、変更確認手順を含む)を定め、その責任範囲の情報システムの変更を管理する。

8.1.3 職務の分割

(1)情報システム室は、個々の全社ネットワーク管理担当者及びシステム運用担当者が受け持つ仕事を細分化し、1つの業務を1人で完結できないようにネットワーク管理業務を分割する。

(2)情報システム室は、ネットワーク管理業務の分割が困難な場合には、活動の監視、内部監査、ログ収集、その他の手段による監督等の管理策を実施する。

なお、内部監査については、管理部が主管となり実施する。

8.1.4 開発環境(テスト環境を含む)と本番環境との分離

情報システム室は、開発環境(テスト環境を含む)と本番環境との分離について、必要に応じ、次の事項を遵守する。

(1)開発環境(テスト環境を含む)と本番環境の装置の分離
開発環境(テスト環境を含む)と本番環境で使用するハードウェア装置は、原則として、双方で異なるハードウェア装置を使用する。
やむを得ず、同一のハードウェア装置を利用する場合は、分離されたパーティションやディレクトリ等を利用し、開発環境と本番環境とを論理的に分離する。
(2)開発環境(テスト環境を含む)と本番環境の混同の防止
開発環境(テスト環境を含む)と本番環境が混同して利用されることのないように対策を実施する。
(3)テスト担当者の本番環境へのアクセス制限
テスト担当者が開発環境(テスト環境を含む)で利用できるアクセス権限をそのまま本番環境に引き継がない。
テストのためやむを得ず、本番環境上にテスト担当者のアカウントを必要とする場合は、一時的なアカウントを発行し、テスト終了後はすみやかに抹消する。
(4)テストフェーズから運用フェーズへの移行
テストフェーズから運用フェーズへの移行判断基準及び移行手順を定める。
(5)本番環境を用いてのテストを行う際の遵守事項
本番環境固有に発生する障害を解決するなどのため、本番環境そのものを用いてテストを行わなければならない場合は、当該情報システムの業務を主管する組織の部署長及び情報セキュリティ管理責任者の事前承認を得る。
また、本番環境の運用や実データに問題が発生しないよう、十分な事前計画を立て、テスト実施にあたっては、オペレーションの記録を最低1年間は保管する。
スポンサーリンク

8.2 第三者が提供するサービスの管理

8.2.1 第三者が提供するサービス

第三者が提供するサービスを利用する場合においては、当該サービスの契約責任者は、次の事項を遵守する。

(1)利用するサービスの内容に関し、セキュリティの脅威(例:業務委託先側での情報漏えい、データの損傷や消失)を引き起こす危険性がある場合は、リスクアセスメントを実施し、想定されるリスクに対し、適切な管理対策を業務委託先の同意を得て業務委託契約に含める。

(2)要求するサービスレベルを明確にし、必要に応じ、サービス提供者との間でSLA(Service Level Agreement)を締結する。

(3)業務委託契約については、「6.3 第三者との契約におけるセキュリティ要求事項」に従う。

(4)ASP(Application Service Provider)サービスを利用する場合においては、当該サービスの契約責任者は、「9.4 ネットワークのアクセス」に従い、情報システム室に事前申請し、許可を得る。

8.2.2 第三者が提供するサービスの監視及びレビュー

第三者が提供するサービスの契約責任者は、当該サービスが、事前に合意した業務委託契約及びSLAに従って運用されていることを、運用報告書のレビューや監査(例:チェックシートによるアンケート調査)等により定期的に確認する。

8.2.3 第三者が提供するサービスの変更に対する管理

第三者が提供するサービスの内容又は当該サービスの提供者を変更する場合においては、当該サービスの契約責任者は、次の事項を実施する。

(1)変更に伴う情報システムへの影響等についてリスクアセスメントを実施し、必要に応じ、契約内容及びSLAの見直しを行う。

(2)当該サービスの変更管理手順(承認手続き等)を定める。

スポンサーリンク

8.3 情報システムの計画作成及び受入

8.3.1 容量・能力の計画作成(10.3.1)

(1)情報システム室は、その責任範囲にあるネットワーク関連機器の容量・能力を監視する。ネットワークの運用等を外部に委託している場合は、委託先からの月度報告を参考に容量・能力を判断する。

(2)情報システム室は、その責任範囲にあるネットワーク関連機器の容量・能力に不足があると判断した際は、現状の容量・能力の分析結果及び増強計画を作成し、情報セキュリティ管理責任者に提案する。

(3)情報セキュリティ管理責任者は、情報システム室からの提案を参考に、当該ネットワークの増強を検討し、対策を実施する。

(4)情報システム室は、その責任範囲にある情報システムの容量・能力を監視する。情報システムの運用等を外部に委託している場合は、委託先からの月度報告を参考に容量・能力を判断する。

(5)情報システム室は、その責任範囲にある情報システムの容量・能力に不足があると判断した際は、現状の容量・能力の分析結果及び増強計画を作成し、情報セキュリティ管理責任者に提案する。

(6)情報セキュリティ管理責任者は、情報システム室からの提案を参考に、当該情報システムの増強を検討し、対策を実施する。

8.3.2 情報システムの受入

(1)情報システム室は、その責任範囲にあるネットワーク関連機器及びサービスの受入について、次の事項を遵守する。

  • 新規又は更新版のネットワーク機器及び通信サービスを導入する際の要求事項及び基準を明確に定義し、情報セキュリティ管理責任者の承認を得る。
  • 新規又は更新版のネットワーク機器及び通信サービスの受入基準を明確にし、実運用前にテストを実施し、テスト結果を情報セキュリティ管理責任者に報告する。
  • 新規又は更新版のネットワーク機器及び通信サービスの導入手順を確立し、文書化し、情報セキュリティ管理責任者の承認を得る。導入手順には、問題が発生した際の復旧手順を含める。

(2)情報システム室は、その責任範囲にあるネットワーク関連機器及びサービスの受入に際して、次の事項を確認する。

  • 定められた要件を満たしている。
  • 実運用前のテストに問題がない。
  • 定められた導入手順が遵守されている。

(3)情報システム室は、その責任範囲にある情報システムに関する新規又は更新版のハードウェア及びソフトウェアの受入に際して、次の事項を遵守する。

  • 新規又は更新版のハードウェア及びソフトウェアを導入する際の要求事項及び基準を明確に定義し、情報セキュリティ管理責任者の承認を得る。
  • 情報システム室は、新規又は更新版のハードウェア及びソフトウェアの受入基準を明確にし、実運用前にテストを実施し、テスト結果を情報セキュリティ管理責任者に報告する。
  • 新規又は更新版のハードウェア及びソフトウェアの導入手順を確立し、文書化し、情報セキュリティ管理責任者の承認を得る。導入手順には、問題が発生した際の復旧手順を含める。
  • 情報システム室は、その責任範囲にある情報システムに関する新規又は更新版のハードウェア及びソフトウェアの受入に際して、次の事項を確認する。
    • 定められた要件を満たしている。
    • 実運用前のテストに問題がない。
    • 定められた導入手順が遵守されている。
スポンサーリンク

8.4 悪意あるコード及びモバイルコードからの保護

8.4.1 悪意のあるソフトウェアに対する管理策(ウィルス侵入防止)

情報システム室は、社内へのウイルス侵入を防止するために、外部ネットワークとの境界部分でウイルスを検出する仕組みを導入し、社内ネットワークを保護する。

情報システム室は、その責任範囲にある情報システムに対し、次の対策を実施する。

(1)会社指定のウイルスワクチンソフトがあるOSを利用している情報システムに対して、次の事項を実施する。

  • 会社指定のウイルスワクチンソフトの導入
  • 自動又は手動のいずれかの方法で「ウイルス定義ファイル」を毎日更新する。
  • 自動又は手動のいずれかの方法で定期的に(最低週に1度)、ハードディスクのウイルスチェックを実施する。

(2)会社指定のウイルスワクチンソフトの動作に支障をきたす問題が発生又は発生する可能性がある場合には、会社指定のウイルスワクチンソフトの動作が可能となる対策を行う。

(3)セキュリティホールへの対応

  • メーカによってセキュリティホールが公表されているなど、明らかにセキュリティ上問題のあるソフトウェアは使用しないか、又はセキュリティホールに対するセキュリティパッチを適用した上で使用する。
  • セキュリティホールに対するセキュリティパッチを適用することにより情報システムに問題が発生又は発生する可能性がある場合には、次の対応を実施する。
    • セキュリティパッチの適用が可能になる対策の実施
    • セキュリティホールへの具体的な対策は、情報システム室の指示に従う。
    • セキュリティパッチの適用が困難な場合については、情報システム室と調整の上、対応する。

8.4.2 モバイルコードへの対応

従業員は、モバイルコードの使用の詳細について、情報システム室の定めがある場合は、これに従わなければならない。

スポンサーリンク

8.5 情報システムの維持管理(情報のバックアップ)

8.5.1 事業継続上重要な情報

情報システム室及び管理部は、全社レベルにおいて事業継続上重要な情報について、次の事項を実施する。

  • 事業継続上重要な情報及びソフトウェアのバックアップに関する手順(バックアップ方法、バックアップデータの保管方法・保管期間・復元手順等)を定め、バックアップデータを定期的に取得する。
  • バックアップ時に出力されるログやバックアップされる内容をチェックし、データが正常にバックアップされているかを確認する。
  • バックアップメディアの耐久期間(寿命)を管理し、劣化前に新しいバックアップメディアにデータを移し換える。
  • 必要に応じ、バックアップデータを世代管理する。
  • 必要に応じ、バックアップしたデータを記録したメディアは、遠隔保管又は耐火金庫保管のいずれかを行い、さらに施錠管理する。

8.5.2 部署において重要な情報

部門セキュリティ責任者は、「情報資産一覧(情報資産目録)」により特定したその責任範囲の業務領域において重要な情報について、次の事項を実施する。

  • 重要な情報及びソフトウェアのバックアップに関する手順(バックアップ方法、バックアップデータの保管方法・保管期間・復元手順等)を定め、関係者に周知する。
  • 前号で定めた手順に従い、重要な情報及びソフトウェアのバックアップデータを定期的に取得する。
  • 必要に応じ、バックアップ時に出力されるログとバックアップされる内容をチェックし、正常にバックアップされているかを確認する。
  • 必要に応じ、バックアップメディアの耐久期間(寿命)を管理し、劣化前に新しいバックアップメディアにデータを移し換える。
  • 必要に応じ、バックアップデータを世代管理する。
  • 必要に応じ、バックアップデータを記録したメディアは、遠隔保管又は耐火金庫保管のいずれかを行い、さらに施錠管理する。

8.5.3 社内ネットワーク及び秘密情報・個人情報を保持する情報システム

(1)社内ネットワークに関する情報

情報システム室は、次の事項を実施する。

  • 社内ネットワークに関する情報のバックアップに関する手順を定める。
  • 前号で定めた手順に従い、社内基幹ネットワークに関する情報のバックアップデータを定期的に取得する。
  • バックアップ時に出力されるログとバックアップされる内容をチェックし、正常にバックアップされているかを確認する。
  • バックアップメディアの耐久期間(寿命)を管理し、劣化前に新しいバックアップメディアにデータを移し換える。
  • 必要に応じ、バックアップデータを記録したメディアは、遠隔保管又は耐火金庫保管のいずれかを行い、さらに施錠管理する。
  • 情報システム室は、次の事項を実施する。
    • 前項第1号で定めた手順に従い、社内ネットワークに関する情報のバックアップが行われていることを定期的に検査する。
    • 検査の結果、社内ネットワークに関する情報のバックアップに関する手順に改善の必要があると判断した場合は、改善施策を検討し、改善施策を実施する。

(2)秘密情報・個人情報を保持する情報システムのデータ

情報システム室は、次の事項を実施する。

  • 秘密情報・個人情報を保持する情報システムのデータのバックアップに関する手順を定める。
  • 前号で定めた手順に従い、バックアップデータを定期的に取得する。
  • バックアップ時に出力されるログ記録とバックアップされる内容をチェックし、正常にバックアップされているかを確認する。
  • バックアップメディアの耐久期間(寿命)を管理し、劣化前に新しいバックアップメディアにデータを移し換える。
  • バックアップしたデータは、必要に応じ、世代管理する。
  • 必要に応じ、バックアップデータを記録したメディアは、遠隔保管又は耐火金庫保管のいずれかを行い、さらに施錠管理する。

(3)バックアップの確認(検査)及び改善

情報システム室は、次の事項を遵守する。

  • その責任範囲にある秘密情報・個人情報を保持する情報システムのデータのバックアップが行われていることを定期的に検査する。
  • 検査の結果、バックアップに関する手順に改善の必要があると判断した場合は、改善施策を検討し、改善施策を実施する。
スポンサーリンク

8.6 ネットワークセキュリティの管理

8.6.1 ネットワーク管理策

情報システム室は、当社以外の組織とのネットワーク接続には、原則として、ファイアウォールを使用する。

8.6.2 ネットワークサービスのセキュリティ

(1)情報システム室及び当該サービスの契約責任者は、ネットワークサービス(ASP:Application Service Providerサービス)について次の事項を実施する。

  • 利用するサービスの内容に関し、セキュリティの脅威(例:業務委託先側での情報漏えい、データの損傷や消失)を引き起こす危険性がある場合は、リスクアセスメントを実施し、想定されるリスクに対し、適切な管理対策を業務委託先の同意を得て業務委託契約に含める。
  • 要求するサービスレベルを明確にし、必要に応じ、サービス提供者との間でSLA(Service Level Agreement)を締結する。
  • 業務委託契約については、「6.3 第三者との契約におけるセキュリティ要求事項」に従う。

(2)情報システム室及び当該サービスの契約責任者は、第三者の提供する外部のネットワークサービス(ASP(Application Service Provider)サービスを含む)を利用する際は、「8.2.1 第三者が提供するサービス」を遵守する。

スポンサーリンク

8.7 メディアの取扱い及びセキュリティ(情報システムに関する文書)

(1)情報セキュリティ管理責任者は、社内ネットワークに関する文書(例:社内ネットワークの構成及び設定に関する情報)に対し、適切なアクセス権が設定されていること、及び不正なアクセスがないことを定期的に検査し、問題が発見された場合はすみやかに改善施策を実施する。

(2)情報システム室は、社内ネットワークに関する文書(例:社内ネットワークの構成及び設定に関する情報)は、秘密情報として取り扱う。

(3)情報システム室は、社内ネットワークに関する文書(例:社内ネットワークの構成及び設定に関する情報)に対して適切なアクセス権を設定し、不正なアクセスから保護する。

(4)情報システム室は、社内情報システムに関する文書(例:ソース・プログラム、データファイル、業務設計書、システム設計書)は、秘密情報として取り扱う。

(5)情報システム室は、その責任範囲の情報システムに関する文書(例:ソース・プログラム、データファイル、業務設計書、システム設計書)に対して適切なアクセス権を設定し、不正なアクセスから保護する。

(6)情報システム室は、その責任範囲の情報システムに関する文書(例:ソース・プログラム、データファイル、業務設計書、システム設計書)に対して適切なアクセス権が設定されていること、及び不正なアクセスがないことを定期的に検査し、問題が発見された場合はすみやかに改善施策を実施する。

スポンサーリンク

8.8 情報の交換

8.8.1 電子メールのセキュリティ

(1)情報システム室は、当社と外部との間で送受信される電子メールに関し、次の事項を定め、情報セキュリティ管理責任者に報告する。

  • 記録する項目
  • 記録方法
  • 記録の保存方法
  • 記録に対するアクセス管理方法
  • 記録の保存期間
  • 保存期間終了後の処置

(2)情報システム室は、電子メールシステムについて、前項に従い、適切に記録を収集・保存する。

(3)情報システム室は、適切に記録が収集・保存されていることを定期的に検査する。

(4)情報システム室は、情報セキュリティ管理責任者から外部との間で送受信される電子メールに関する記録の提出を求められた際は、すみやかに当該記録を提出する。

8.8.2 業務用情報システム

当社内で業務用情報システム(EDI等を含む)及びグループウェア製品を導入する情報システム室及び当該部門セキュリティ責任者(部署長)は、運用手順を定め、それぞれの利用者に運用ルールを周知する。

EDI(Electronic Data Interchange):電子データ交換

スポンサーリンク

8.9 電子商取引サービス

8.9.1 電子商取引のセキュリティ

情報システム室は、電子商取引を行う情報システムに要求されるセキュリティ強度に応じて、次の事項を実施する。

  • 電子商取引の利用者(買手/売手等)の身元を認証する仕組みを実装する。
  • 電子商取引の契約及び申し込み手続における要求事項を明確にし、必要に応じ、否認防止機能を実装する。
  • 電子商取引における重要な情報(例:価格情報、注文・取引に関する情報、顧客情報)を特定し、機密性及び完全性を確保するためのセキュリティ機能を実装する。
  • 買手が提供する支払い情報を確認するための審査方法を定め、その仕組みを実装する。
  • 決済における不正行為を防止するための仕組みを実装する。
  • 不正なアクセスから情報システムを防御するための仕組みを実装する。

8.9.2 オンライン取引

第三者との間でオンライン取引を行う情報システムについて、情報システム及び当該部門セキュリティ責任者(部署長)は、当該オンライン取引に関わる情報の機密性及び完全性を維持するために、次の事項を実施する。

(1)外部に公開する情報システムに関する共通のセキュリティ対策については、「8.9.3 外部に公開している情報」の定めを実施する。

(2)当該オンライン取引に対するリスクアセスメントを実施し、求められるセキュリティレベルに応じた情報セキュリティ対策を行う。情報セキュリティ対策の例を次に示す。

  • 当該オンライン取引に携わる関係者の身元を保証するため個人電子証明を使用する。
  • 当該オンライン取引の情報システムを搭載するサーバーの認証を行う。
  • 当該オンライン取引の通信経路を暗号化する。

8.9.3 外部に公開している情報

(1)管理部長は、外部に公開する情報システム(社外向けのWebサーバー等)を構築する際は、情報セキュリティ規程を遵守する。

(2)管理部長は、外部に公開する情報システムに公開した情報の完全性及び情報資産管理に関わるコンプライアンスを維持するために、次の事項を遵守する。

  • 個人情報の取扱いに関する当社のポリシーとして「個人情報保護方針」を明示する。
  • 公開された情報システムに掲載している情報が、情報システムが設置された地域又は取引が行われている地域に適用される法律、規則及び規制に適合している。
  • 情報を公開する前に、当該情報責任者(情報オーナー等)に事前確認する等の正式な承認手続を経ている。
  • 完全性が損なわれた場合、会社へのリスクが高い情報(例:価格情報、プリンタドライバ等のソフトウェア)を使用できるようにしている場合は、デジタル署名などの適切な手段によって保護する。
  • 外部に公開している情報システムに入力し、そこで処理する情報は、遅滞なく、完全かつ正確に処理する。
  • 個人情報や顧客情報等の取扱いに慎重を要する情報は、収集の過程及び保管時のそれぞれの段階で適切に保護する。
  • 外部に公開しているフロントエンド・システムにアクセスができる場合でも、当該情報システムのバックで動作するバックエンド・システムには正当なアクセス権限がない者はアクセスできないようにアクセス制御を行う。
  • 改ざん、破壊防止策として、改ざんチェックのツールやサービス等により不正を検出するとともに、侵入テストサービス等により外部に公開している情報システム(例:自社の社外向けホームページ)の完全性を維持する。
スポンサーリンク

8.10 監視

8.10.1 事象の記録

情報システム室は、社内ネットワーク及びその責任範囲の情報システムに関するログ収集について、次の事項を実施する。

  • セキュリティに関する監視項目を明らかし、ログを収集する。
  • 収集したログの保存期間を定め、適切に保管する。

8.10.2 情報システム使用状況の監視

(1)情報システム室は、社内ネットワーク及びその責任範囲の情報システムの使用状況及び管理者アカウント使用の監視について、次の事項を実施する。

  • 監視する項目を明確にし、監視方法を定める。
  • 監視結果の分析及び環境の変更等を考慮して、必要に応じ、監視項目及び監視方法を見直す。

(2)情報システム室は、その責任範囲のネットワークの使用状況及び管理者アカウント使用の監視について、次の事項を実施する。

  • 前項第1号に従い、監視を実施する。
  • 監視結果を定期的に情報セキュリティ管理責任者に報告する。

8.10.3 ログ情報の保護

情報システム室は、社内ネットワーク又はその責任範囲の情報システムのログ情報の機密性及び完全性を維持するために、次の事項を実施する。

  • 収集したログ情報の保管手順を定める。
  • 収集したログ情報の管理責任者を定める。
  • 収集したログ情報にアクセス(物理的・論理的)できる者を明確にし、許可した者以外がログ情報にアクセスできないようアクセス制御する。
  • 次の事項を定期的に検査する。
    • 収集したログ情報の保管手順の遵守状況
    • 収集したログ情報に対する不正アクセスの有無
  • 前号で収集したログ情報に対する不正アクセスが検出された場合は、「情報セキュリティ事故管理ガイドライン」に従い、すみやかに情報セキュリティ事故報告を行い、情報セキュリティ管理責任者の指示に従って対応する。

8.10.4 実務管理者及び運用担当者の作業ログ

(1)情報システム室は、運用の記録について、次の事項を遵守する。

  • その責任範囲のネットワークに対して実施した作業を作業報告書等に記録し、情報セキュリティ管理責任者の確認を得る。
  • ネットワーク運用ログの中から重要な記録を特定し、定期的に情報セキュリティ管理責任者の検査を受ける。

(2)情報システム室は、運用の記録について、次の事項を遵守する。

  • その責任範囲にある秘密情報・個人情報を保持する情報システムに対して実施した作業を作業報告書等に記録し、情報セキュリティ管理責任者の確認を得る。
  • 情報システム室は、システム運用ログの中から重要な記録を特定し、定期的に情報セキュリティ管理責任者の検査を受ける。

8.10.5 障害の記録

(1)情報システム室は、障害の記録について、次の事項を実施する。

  • 従業員から報告された障害について、記録を取り、すみやかに対処する。
  • その責任範囲のネットワーク及び情報システムの障害について情報セキュリティ管理責任者に報告する。

(2)情報セキュリティ管理責任者は、重大な障害に対しては、原因を調査・分析し、再発防止策を実施する。

8.10.6 コンピュータ内の時計の同期

情報システム室は、ログ等の記録が法律又は懲戒にかかわる場合の証拠として有効となるように、時刻情報を内部に持つ情報機器については、必要に応じ、外部クロックとの同期等により、情報機器が正確なシステム時刻を保持するよう設定する。

まとめ

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「8.通信及び運用の管理に関する基本原則」について、以下の内容を説明しました。

  • 運用手順及び責任
  • 第三者が提供するサービスの管理
  • 情報システムの計画作成及び受入
  • 悪意あるコード及びモバイルコードからの保護
  • 情報システムの維持管理(情報のバックアップ)
  • ネットワークセキュリティの管理
  • メディアの取扱い及びセキュリティ(情報システムに関する文書)
  • 情報の交換
  • 電子商取引サービス
  • 監視
タイトルとURLをコピーしました