「情報セキュリティ規定 管理者用」の目次例です。
「情報セキュリティ規定 管理者用」は、「情報セキュリティマネジメントシステムの要求事項(JIS Q 27001:2014)」の「付属書A 管理目的及び管理策」について、管理者に関する部分です。
情報システム担当者1名と責任者1名、社員数100名程度を想定しています。
情報セキュリティ管理者、管理部(総務)、情報システム室に分けています。
Ⅰ.情報セキュリティ管理責任者の職務
Ⅱ.情報セキュリティに関する管理部の職務
Ⅲ.情報システム室の職務
なお、内容によっては、Need to Knowの原則からいっても社内公開とせず公開範囲を限定した方がよい項目・内容もあると考えています。
Ⅰ.情報セキュリティ管理責任者の職務
組織のセキュリティに関する基本原則
1.組織のセキュリティに関する基本原則
1.1 情報セキュリティ委員会
1.2 情報セキュリティ管理責任者の役割と責任
1.2.1 情報セキュリティ基本方針の見直し及び評価
1.2.2 情報セキュリティ管理責任者の役割と責任の概要
1.3 情報セキュリティマネジメントのレビュー
2.適合性に関する基本原則
2.1 情報セキュリティ基本方針との適合
2.2 情報システム監査(技術適合の検査)
2.2.1 情報システム監査の考慮事項
2.2.1.1 情報システム監査管理策
2.2.1.2 情報システム監査ツールの保護
Ⅱ.情報セキュリティに関する管理部の職務
3.雇用に関する秘密保持契約(誓約書)
組織のセキュリティに関する基本原則
4.雇用に関する人的セキュリティに関する基本原則
4.1 雇用及び契約前
4.1.1 採用審査及びその個別方針
4.1.2 採用条件
4.2 雇用及び契約期間中
4.2.1 違反に対する処置等
4.3 雇用及び契約の終了又は変更
4.3.1 雇用及び契約の終了又は変更に関する責任
4.3.2 アクセス権の削除
情報システムの事業継続管理(BCP)に関する基本原則
5.情報システムの事業継続管理(BCP)に関する基本原則
BCP( Business Continuity Plan):事業継続計画
5.1 事業継続管理手続への情報セキュリティの反映
5.2 事業継続に関するリスクアセスメント
5.3 情報セキュリティを反映した事業継続計画の策定及び実施
5.4 事業継続計画策定の枠組み
5.5 事業継続計画の検証、維持及び再評価
Ⅲ.情報システム室の職務
6.社外組織(顧客及び取引先等)のセキュリティ
6.1 第三者のアクセスから生じるリスクの識別
6.2 顧客対応におけるセキュリティ
6.3 第三者との契約におけるセキュリティ要求事項
物理的及び環境的セキュリティに関する基本原則
7.物理的及び環境的セキュリティに関する基本原則
7.2 情報資産のセキュリティ
7.2.1 情報資産の設置及び保護
7.2.2 支援ユーティリティ
7.2.3 ケーブル配線のセキュリティ
7.2.4 情報機器の保守(修理を含む)
7.2.5 当社のファシリティ外における情報機器のセキュリティ
7.2.6 情報機器及び外部記憶メディアの再利用・廃棄
通信及び運用の管理に関する基本原則
8.通信及び運用の管理に関する基本原則
8.1 運用手順及び責任
8.1.1 手順書の作成
8.1.2 運用変更の管理策
8.1.3 職務の分割
8.1.4 開発環境(テスト環境を含む)と本番環境との分離
8.2 第三者が提供するサービスの管理
8.2.1 第三者が提供するサービス
8.2.2 第三者が提供するサービスの監視及びレビュー
8.2.3 第三者が提供するサービスの変更に対する管理
8.3 情報システムの計画作成及び受入
8.3.1 容量・能力の計画作成(10.3.1)
8.3.2 情報システムの受入
8.4 悪意あるコード及びモバイルコードからの保護
8.4.1 悪意のあるソフトウェアに対する管理策(ウィルス侵入防止)
8.4.2 モバイルコードへの対応
8.5 情報システムの維持管理(情報のバックアップ)
8.5.1 事業継続上重要な情報
8.5.2 部署において重要な情報
8.5.3 社内ネットワーク及び秘密情報・個人情報を保持する情報システム
8.6 ネットワークセキュリティの管理
8.6.1 ネットワーク管理策
8.6.2 ネットワークサービスのセキュリティ
8.7 メディアの取扱い及びセキュリティ(情報システムに関する文書)
8.8 情報の交換
8.8.1 電子メールのセキュリティ
8.8.2 業務用情報システム
8.9 電子商取引サービス
8.9.1 電子商取引のセキュリティ
8.9.2 オンライン取引
8.9.3 外部に公開している情報
8.10 監視
8.10.1 事象の記録
8.10.2 情報システム使用状況の監視
8.10.3 ログ情報の保護
8.10.4 実務管理者及び運用担当者の作業ログ
8.10.5 障害の記録
8.10.6 コンピュータ内の時計の同期
アクセス制御に関する基本原則
9.アクセス制御に関する基本原則
9.1 アクセス制御方針(全社ネットワーク及び情報システム)
9.2 利用者のアクセス管理
9.2.1 利用者登録
9.2.2 管理者アカウントの管理
9.2.3 利用者のパスワードの管理
9.2.4 利用者のアクセス権の見直し
9.3 サーバールーム利用者の責任
9.4 ネットワークのアクセス制御
9.4.1 ネットワークサービスの使用についての方針
9.4.2 外部から接続する利用者の認証
9.4.3 自動の端末識別
9.4.4 リモート診断用ポートの保護
9.4.5 ネットワークの領域分割
9.4.6 ネットワークの接続制御
9.4.6.1 従業員
9.4.6.2 ファシリティ管理責任者
9.4.6.3 情報システム室
9.4.7 ネットワーク経路を指定した制御(外部との接続)
9.5 オペレーティングシステムのアクセス制御
9.5.1 セキュリティに配慮したログオン手順
9.5.2 利用者の識別及び認証
9.5.3 パスワード管理システム
9.5.4 システムユーティリティの使用
9.5.5 セッションのタイムアウト機能
9.5.6 接続時間の制限
9.6 業務用ソフトウェア及び情報のアクセス制御
9.6.1 情報へのアクセス制限
9.6.2 取扱いに慎重を要する情報システムの隔離
情報システムの取得、開発及び保守に関する基本原則
10.情報システムの取得、開発及び保守に関する基本原則
10.1 情報システムのセキュリティ要求事項の分析及び明示
10.2 情報システムのセキュリティ
10.2.1 入力データの妥当性確認
10.2.2 内部処理の管理
10.2.3 電子データの完全性
10.2.4 出力データの妥当性確認
10.3 暗号による管理策
10.3.1 暗号による管理策の使用に関する個別方針
10.3.2 暗号鍵の管理
10.4 システムファイルのセキュリティ
10.4.1 運用ソフトウェアの管理
10.4.2 システムテストデータの保護
10.4.3 プログラムソース・ライブラリへのアクセス制御
10.5 開発及び支援過程におけるセキュリティ
10.5.1 変更管理手順
10.5.2 オペレーティングシステムの変更の技術的レビュー
10.5.3 パッケージソフトウェアの変更に対する制限
10.5.4 情報の漏洩からの保護
10.5.5 外部委託によるソフトウェア開発
10.6 技術的脆弱性管理
10.6.1 社内ネットワーク
10.6.2 情報システム
10.6.3 全社標準ハードウェア・ソフトウェア
まとめ
ここでは、「情報セキュリティ規定 管理者用」の目次例を紹介しました。
「情報セキュリティ規定 管理者用」は、「情報セキュリティマネジメントシステムの要求事項(JIS Q 27001:2014)」の「付属書A 管理目的及び管理策」について、管理者に関する部分です。
なお、内容によっては、「Need to Knowの原則」からいっても社内公開とせず公開範囲を限定した方がよい項目・内容もあると考えています。