情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ

ISO27000シリーズ、情報セキュリティマネジメントシステムを使い作成した、「情報セキュリティマニュアル」と「情報セキュリティ事故対応ガイドライン」の一例を紹介します。

このブログで作成している情報セキュリティのマニュアルは、ISMSを利用して情報セキュリティのルールを作った例です。認証取得を目的としていませんのでご注意ください。

全体の構成を以下のように分けています。

  • 共通
    • 「ISMS(ISO-27001要求事項)」
  • 利用者向けの内容
    • 情報セキュリティマニュアル 利用者編(付属書A)
    • 情報セキュリティ事故対応ガイドライン 利用者編
  • 管理者向けの内容
    • 情報セキュリティマニュアル 管理者編(付属書A)
    • 情報セキュリティ事故対応ガイドライン 管理者編
ISO27001の附属書Aの管理策については、ISO27002に具体的な実施方法が書かれています。

ISMS(ISO-27001要求事項)

情報セキュリティ基本方針

ISMSマニュアル(ISO27001要求事項)

目次のみです。

情報セキュリティ用語の補足説明

情報セキュリティマニュアル 利用者編(付属書A)

4.組織のセキュリティに関する基本原則

4.1 情報セキュリティに関する役割と責任

4.2 情報機器等の導入及び管理

4.3 顧客及び取引先等対応におけるセキュリティ

5.情報資産の分類及び管理に関する基本原則

5.1 情報資産一覧(情報資産目録)

5.2 資産利用の許容範囲

5.3 情報のラベル付け及び取扱い

6.人的セキュリティに関する基本原則

6.1 雇用及び契約の終了又は変更に関する責任

6.2 情報資産の返却

6.3 アクセス権の削除

7.物理的及び環境的セキュリティに関する基本原則

7.1 物理的セキュリティ対策

7.2 情報資産のセキュリティ

8.通信及び運用の管理に関する基本原則

8.1 第三者が提供するサービスの管理

8.2 悪意のあるソフトウェアに対する管理策(コンピュータ・ウイルスの予防)

8.3 情報のバックアップ

8.4 ネットワーク管理策

8.5 メディアの取扱い及びセキュリティ

8.6 情報の交換

9.アクセス制御に関する基本原則

9.1 業務上のアクセス制御方針

9.2 利用者のアクセス管理

9.3 利用者の責任

9.4 ネットワークサービスの使用についての方針

9.5 オペレーティングシステムのアクセス制御

9.6 業務用ソフトウェア及び情報へのアクセス制限

9.7 モバイル・コンピューティング及び在宅勤務等のテレワーク

10.情報セキュリティに関する事故及び弱点(脆弱性)の報告

10.1 情報セキュリティ事故の報告

11.適合性に関する基本原則

11.1 ソフトウェアの著作権保護

11.2 情報セキュリティに関する組織の記録の保護

11.3 個人情報の保護

11.4 情報処理設備等の誤用の防止

11.5 暗号による管理策の規制(暗号化ツールの利用)

関連情報

情報資産一覧

ITインフラ構成

物理的セキュリティ境界一覧

情報セキュリティ事故対応ガイドライン 利用者編

1.主旨(目的、適用範囲)

2.情報流出対応の基本的な考え方

3.情報セキュリティ事故の管理に関する基本原則

3.1 情報セキュリティに関する事故および弱点(脆弱性)の報告

3.2 情報セキュリティ事故及び弱点(脆弱性)の管理フロー

4.情報流出のタイプによる対応内容と注意事項

4.1 紛失・盗難の場合

4.2 誤送信・Webでの誤公開の場合

4.3 内部犯行の場合

4.4 Winny/Share等への漏えいの場合

4.5 不正プログラム(ウイルス、スパイウェア等)の場合

4.6 不正アクセスの場合

4.7 風評・ブログ掲載の場合

情報セキュリティマニュアル 管理者編(付属書A)

Ⅰ.情報セキュリティ管理責任者の職務

1.組織のセキュリティに関する基本原則

1.1 情報セキュリティ委員会

1.2 情報セキュリティ管理責任者の役割と責任

1.3 情報セキュリティマネジメントのレビュー

2.適合性に関する基本原則

2.1 情報セキュリティ基本方針との適合

2.2 情報システム監査(技術適合の検査)

Ⅱ.情報セキュリティに関する管理部の職務

3.雇用に関する秘密保持契約(誓約書)

4.雇用に関する人的セキュリティに関する基本原則

4.1 雇用及び契約前

4.2 雇用及び契約期間中

4.3 雇用及び契約の終了又は変更

5.情報システムの事業継続管理(BCP)に関する基本原則

5.1 事業継続管理手続への情報セキュリティの反映

5.2 事業継続に関するリスクアセスメント

5.3 情報セキュリティを反映した事業継続計画の策定及び実施

5.4 事業継続計画策定の枠組み

5.5 事業継続計画の検証、維持及び再評価

Ⅲ.情報システム室の職務

6.社外組織(顧客及び取引先等)のセキュリティ

6.1 第三者のアクセスから生じるリスクの識別

6.2 顧客対応におけるセキュリティ

6.3 第三者との契約におけるセキュリティ要求事項

7.物理的及び環境的セキュリティに関する基本原則

7.1 情報資産のセキュリティ

8.通信及び運用の管理に関する基本原則

8.1 運用手順及び責任

8.2 第三者が提供するサービスの管理

8.3 情報システムの計画作成及び受入

8.4 悪意あるコード及びモバイルコードからの保護

8.5 情報システムの維持管理(情報のバックアップ)

8.6 ネットワークセキュリティの管理

8.7 メディアの取扱い及びセキュリティ(情報システムに関する文書)

8.8 情報の交換

8.9 電子商取引サービス

8.10 監視

9.アクセス制御に関する基本原則

9.1 アクセス制御方針

9.2 利用者のアクセス管理

9.3 サーバールーム利用者の責任

9.4 ネットワークのアクセス制御

9.5 オペレーティングシステムのアクセス制御

9.6 業務用ソフトウェア及び情報のアクセス制御

10.情報システムの取得、開発及び保守に関する基本原則

10.1 情報システムのセキュリティ要求事項の分析及び明示

10.2 情報システムのセキュリティ

10.3 暗号による管理策

10.4 システムファイルのセキュリティ

10.5 開発及び支援過程におけるセキュリティ

10.6 技術的脆弱性管理

情報セキュリティ事故対応ガイドライン 管理者編

1.主旨(目的、適用範囲)

2.情報セキュリティ事故の管理に関する基本原則

2.1 情報セキュリティに関する事故および弱点(脆弱性)の報告

2.2 情報セキュリティ事故及び弱点(脆弱性)の管理フロー

2.3 情報セキュリティ事故からの学習

3.情報漏えい対応基本的な考え方と基本ステップ

3.1 情報漏えい対応の基本的な考え方

3.2 情報漏えい対応の基本ステップ

4.情報漏えいのタイプ別対応ポイントと対応時の注意事項

4.1 情報の種類に関するポイント

4.2 情報漏えいのタイプによる対応時のポイント

4.3 漏えいのタイプによる対応内容と注意事項

4.3.1 紛失・盗難の場合

4.3.2 誤送信・Webでの誤公開の場合

4.3.3 内部犯行の場合

4.3.4 Winny/Share等への漏えいの場合

4.3.5 不正プログラム(ウイルス、スパイウェア等)の場合

4.3.6 不正アクセスの場合

4.3.7 風評・ブログ掲載の場合

5.通知・報告・公表等におけるポイント

5.1 情報漏えいに関する公表の考え方

5.2 警察への届出

5.3 監督官庁への報告

5.4 JPCERTコーディネーションセンターによる支援の利用

6.参考資料等

6.1 官庁及び参考資料

6.2 情報漏えい対応の5原則

関連情報

情報資産一覧(支援資産)

まとめ

ISO27000シリーズ、情報セキュリティマネジメントシステムを使い作成した、「情報セキュリティマニュアル」と「情報セキュリティ事故対応ガイドライン」の一例を紹介しました。

このブログで作成している情報セキュリティのマニュアルは、ISMSを利用して情報セキュリティのルールを作った例です。認証取得を目的としていませんのでご注意ください。

全体の構成は以下のように分けています。

  • ISMS(ISO-27001要求事項)
  • 情報セキュリティマニュアル 利用者編(付属書A)
  • 情報セキュリティ事故対応ガイドライン 利用者編
  • 情報セキュリティマニュアル 管理者編(付属書A)
  • 情報セキュリティ事故対応ガイドライン 管理者編
はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティマニュアル
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました