この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
情報セキュリティ インシデントには、ICT が関係する場合と関係ない場合があります。たとえば、紙の文書を紛失して意図せず拡散した情報は、重大な情報セキュリティ インシデントになる可能性が非常に高く、インシデントの報告、調査、封じ込め、是正措置、および管理の関与が必要です。このタイプのインシデント管理は、多くの場合、組織内の最高情報セキュリティ責任者 (CISO) などによって実行されます。このような情報セキュリティ インシデントの管理に関するガイダンスは、ISO/IEC 27035-1 に記載されています。ただし、このドキュメントでは、ICT 関連のインシデントに対するインシデント対応業務のみを考慮しており、紙の文書に関連する情報セキュリティ インシデントやその他の非 ICT インシデントについては考慮していません。このドキュメントで「情報セキュリティ」という用語が使用される場合は常に、ICT 関連の情報セキュリティのコンテキストで使用されます。
情報セキュリティの組織体制は、組織の規模や事業領域によって異なります。さまざまなインシデントが発生し、増加するにつれて (侵入、データ侵害、ハッキングなどのネットワーク インシデントなど)、組織によって情報セキュリティに関する懸念が高まっています。ファイアウォール、侵入検知システム (IDS)、侵入防止システム (IPS) などのネットワーク セキュリティ機器を使用して、さまざまな種類の攻撃 (DoS, ワーム、ウイルスなど) に耐えるように設定された安全な ICT 環境は、明確な運用手順で補完する必要があります。組織内の明確に定義されたレポート構造とともに、インシデントの処理。
情報の機密性、完全性、可用性を確保し、インシデントを効率的に処理するには、インシデント対応業務を実施する能力が必要です。この目的のために、収集されたデータまたはセキュリティ イベントの監視、検出、分析、および対応活動などのタスクを実行するために、コンピュータ セキュリティ インシデント対応チーム (CSIRT) を確立する必要があります。これらのタスクは、人工知能のツールと技術によって支援される場合があります。
このドキュメントは、インシデント管理に関連する ISO/IEC 27001:2013, 付属書 A の管理をサポートしています。
特定のインシデントに依存するため、このドキュメントのすべての手順が適用されるわけではありません。たとえば、小規模な組織は、このドキュメントのすべてのガイダンスを使用しない場合がありますが、特に独自の ICT 環境を運用している場合、ICT 関連のインシデント操作の組織化に役立ちます。また、IT 運用を外部委託している小規模な組織が、ICT サプライヤーに期待する必要があるインシデント運用の要件と実行をよりよく理解するのにも役立ちます。
このドキュメントは、同じプロセスと条件に従うためにインシデント操作の組織間の相互作用を含む ICT サービスを提供する組織にとって特に役立ちます。
また、このドキュメントは、インシデント操作がユーザー/顧客にどのように関係しているかをよりよく理解して、そのようなやり取りがいつ、どのように行われる必要があるかを定義します (これが指定されていない場合でも)
Introduction
An information security incident can involve ICT or not. For example, information that spreads unintentionally through the loss of paper documents can very well be a serious information security incident, which requires incident reporting, investigation, containment, corrective actions and management involvement. This type of incident management is often carried out, for example, by the Chief Information Security Officer (CISO) within the organization. Guidance on the management of such information security incidents can be found in ISO/IEC 27035-1. This document, however, only considers incident response operations for ICT-related incidents, and not for information security incidents related to paper documents or any other non-ICT incidents. Whenever the term"information security" is used in this document, it is done so in the context of ICT-related information security.
The organizational structures for information security vary depending on the size and business field of organizations. As various and numerous incidents occur and are increasing (such as network incidents, e.g. intrusions, data breaches and hacking), higher concerns about information security have been raised by organizations. A secure ICT environment set up to withstand various types of attacks (such as DoS, worms and viruses) with network security equipment such as firewalls, intrusion detection systems (IDSs) and intrusion prevention systems (IPSs) should be complemented with clear operating procedures for incident handling, along with well-defined reporting structures within the organization.
To ensure confidentiality, integrity and availability of information and to handle incidents efficiently, capabilities to conduct incident response operations is required. For this purpose, a computer security incident response team (CSIRT) should be established to perform tasks such as monitoring, detection, analysis and response activities for collected data or security events. These tasks may be assisted by artificial intelligence tools and techniques.
This document supports the controls of ISO/IEC 27001:2013, Annex A, related to incident management.
Not all steps in this document are applicable since it depends on the particular incident. For example, a smaller organization may not use all guidance in this document but can find it useful for organization of their ICT-related incident operations especially if operating their own ICT environment. It can also be useful for smaller organizations that have outsourced their IT operations to better understand the requirements and execution of incident operations that they should expect from their ICT supplier(s).
This document is particularly useful to organizations providing ICT services that involve interactions between organizations of incident operations in order to follow the same processes and terms.
This document also provides a better understanding on how incident operations relates to the users/customers in order to define when and how such interaction needs to take place, even if this is not specified.