JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範

この規格ページの目次

15 供給者関係
15.1 供給者関係における情報セキュリティ
15.2 供給者のサービス提供の管理
16 情報セキュリティインシデント管理
16.1 情報セキュリティインシデントの管理及びその改善
JIS Q 27002:2014の引用国際規格 ISO 一覧
JIS Q 27002:2014の国際規格 ICS 分類一覧
JIS Q 27002:2014の関連規格と引用規格一覧

                                                                                             63
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
a) 運用アプリケーションシステムに適用されるアクセス制御手順は,試験アプリケーションシステムに
    も適用する。
b) 運用情報を試験環境にコピーする場合は,その都度認可を受ける。
c) 運用情報は,試験が完了した後直ちに試験環境から消去する。
d) 運用情報の複製及び利用は,監査証跡とするためにログをとる。
関連情報
  システム及び受入れの試験には,通常,できるだけ運用データに近い,十分な量の試験データが必要で
ある。

15 供給者関係

15.1 供給者関係における情報セキュリティ

目的 供給者がアクセスできる組織の資産の保護を確実にするため。
15.1.1 供給者関係のための情報セキュリティの方針
管理策
  組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項に
ついて,供給者と合意し,文書化することが望ましい。
実施の手引
  組織は,供給者による組織の情報へのアクセスに具体的に対処するため,方針において情報セキュリテ
ィ管理策を特定し,これを義務付けることが望ましい。これらの管理策では,次の事項を含む,組織が実
施するプロセス及び手順,並びに組織が供給者に対して実施するよう要求することが望ましいプロセス及
び手順を取り扱うことが望ましい。
a) 組織が,自らの情報へのアクセスを許可する供給者の種類(例えば,ITサービス,物流サービス,金
    融サービス,IT基盤の構成要素などの供給者)の特定及び文書化
b) 供給者関係を管理するための標準化されたプロセス及びライフサイクル
c) 様々な供給者に許可される情報へのアクセスの種類の定義,並びにそのアクセスの監視及び管理
d) 情報の種類及びアクセスの種類ごとの最低限の情報セキュリティ要求事項で,組織の事業上のニーズ
    及び要求事項並びに組織のリスクプロファイルに基づく供給者との個々の合意の基礎となるもの
e) それぞれの供給者及びアクセスに関して確立した情報セキュリティ要求事項が順守されているか否か
    を監視するためのプロセス及び手順。これには第三者のレビュー及び製品の妥当性確認も含まれる。
f)  各当事者が提供する情報又は情報処理の完全性を確実にするための,正確さ及び完全さの管理
g) 組織の情報を保護するために供給者に適用する義務の種類
h) 供給者によるアクセスに伴うインシデント及び不測の事態への対処。これには,組織及び供給者の責
    任も含める。
i)  各当事者が提供する情報又は情報処理の可用性を確実にするための,対応力に関する取決め,並びに
    必要な場合には,回復及び不測の事態に関する取決め
j)  調達に関与する組織の要員を対象とした,適用される方針,プロセス及び手順についての意識向上訓
    練
k) 供給者の要員とやり取りする組織の要員を対象とした,関与及び行動に関する適切な規則(これは,
    供給者の種類,並びに組織のシステム及び情報への供給者によるアクセスのレベルに基づく。)につい

――――― [JIS Q 27002 pdf 66] ―――――

64
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    ての意識向上訓練
l)  情報セキュリティに関する要求事項及び管理策を,両当事者が署名する合意書の中に記載する条件
m) 情報,情報処理施設及び移動が必要なその他のものの移行の管理,並びにその移行期間全体にわたっ
    て情報セキュリティが維持されることの確実化
関連情報
  供給者の情報セキュリティマネジメントが不十分な場合,情報がリスクにさらされることがある。供給
者による情報処理施設へのアクセスを管理するための管理策を特定し,適用することが望ましい。例えば,
情報の機密性について特別な必要がある場合は,守秘義務契約を用いることがある。また,他の例に,供
給者との合意に法域を越えた情報の移転又は情報へのアクセスが含まれている場合の,データ保護に関す
るリスクがある。組織は,情報の保護に関する法律上又は契約上の責任がその組織にあることを認識して
おく必要がある。
15.1.2 供給者との合意におけるセキュリティの取扱い
管理策
  関連する全ての情報セキュリティ要求事項を確立し,組織の情報に対して,アクセス,処理,保存若し
くは通信を行う,又は組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と,この要求
事項について合意することが望ましい。
実施の手引
  関連する情報セキュリティ要求事項を満たすという両当事者の義務に関し,組織と供給者との間に誤解
が生じないことを確実にするために,供給者との合意を確立し,これを文書化することが望ましい。
  特定された情報セキュリティ要求事項を満たすために,合意には,次の事項を含めることを考慮するこ
とが望ましい。
a) 提供し又はアクセスされる情報の記載,及び提供方法又はアクセス方法の記載
b) 組織の分類体系に従った情報の分類(8.2参照)。必要な場合,組織の分類体系と供給者の分類体系と
    の間の対応付け。
c) 法的及び規制の要求事項(データ保護,知的財産権及び著作権に関する要求事項を含む。),並びにこ
    れらの要求事項を満たすことを確実にする方法についての記載
d) 契約の各当事者に対する,合意した一連の管理策(アクセス制御,パフォーマンスのレビュー,監視,
    報告及び監査を含む。)の実施の義務
e) 情報の許容可能な利用に関する規則。必要な場合,許容できない利用についての規則も含める。
f)  組織の情報にアクセスする若しくは組織の情報を受領することが認可されている供給者の要員の明確
    なリスト,又は供給者の要員による組織の情報へのアクセス若しくはその受領を認可する場合及びそ
    の認可を解除する場合の手順・条件
g) それぞれの契約に関連する情報セキュリティのための方針群
h) インシデント管理の要求事項及び手順(特に,インシデントからの回復中の通知及び協力)
i)  インシデント対応手順,認可手順などの,特定の手順及び情報セキュリティ要求事項についての訓練
    及び意識向上に関する要求事項
j)  実施する必要のある管理策を含む,下請負契約に関する該当する規制
k) 情報セキュリティに関する連絡先担当者も含む,合意における相手方の担当者。
l)  必要に応じて,供給者の要員の選考に関する要求事項。この要求事項には,選考を実施する責任,及
    び選考が完了しなかった場合又は選考の結果,疑い若しくは懸念が生じた場合に行う通知の手順を実

――――― [JIS Q 27002 pdf 67] ―――――

                                                                                             65
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    施する責任も含める。
m) 供給者が実施する,合意に関わるプロセス及び管理策を監査する権利
n) 合意上の問題点の解決及び紛争解決のプロセス
o) 報告書で提起された問題を適時に修正することに関する管理策及び合意の有効性について,独立した
    報告書を定期的に提出する供給者の義務
p) 組織のセキュリティ要求事項を順守するという供給者の義務
関連情報
  合意は,それぞれの組織によって,また供給者の種類によって大きく異なる可能性がある。したがって,
情報セキュリティに関連する全てのリスク及び要求事項を含めるよう,配慮することが望ましい。供給者
との合意には,他の当事者(例えば,下請負供給者)が関与することもある。
  合意においては,供給者が製品又はサービスを提供できなくなった場合に業務を継続するための手順も
考慮し,代替の製品又はサービスの手配が遅れないようにする必要がある。
15.1.3 ICTサプライチェーン
管理策
  供給者との合意には,情報通信技術(以下,ICTという。)サービス及び製品のサプライチェーンに関連
する情報セキュリティリスクに対処するための要求事項を含めることが望ましい。
実施の手引
  サプライチェーンのセキュリティについては,供給者との合意に次の事項を含めることを考慮すること
が望ましい。
a) 供給者関係に関する一般的な情報セキュリティ要求事項のほかに,ICT製品又はサービスの取得に適
    用する情報セキュリティ要求事項を定める。
b)   CTサービスに関して,供給者が組織に提供するICTサービスの一部を下請負契約に出す場合には,
    そのサプライチェーン全体に組織のセキュリティ要求事項を伝達するよう供給者に要求する。
c)   CT製品に関して,その製品に他の供給者から購入した構成部品が含まれる場合には,そのサプライ
    チェーン全体に適切なセキュリティ慣行を伝達するよう供給者に要求する。
d) 提供されたICT製品及びサービスが規定のセキュリティ要求事項を順守していることを確認するため
    の,監視プロセス及び許容可能な監視方法を実施する。
e) 製品又はサービスの機能を維持するために重要な構成要素を特定するためのプロセスを実施する。重
    要な構成要素に対しては,組織の外で作られる場合に注意及び精査の強化が求められる(特に,直接
    の供給者が製品又はサービスの構成要素を他の供給者に外部委託する場合)。
f)  重要な構成要素及びその供給元が,サプライチェーン全体を通じて追跡可能であるという保証を得る。
g) 提供されるICT製品が期待どおりに機能し,予期しない又は好ましくない特性をもたないという保証
    を得る。
h) サプライチェーンについての情報,並びに組織と供給者との間で生じる可能性のある問題及び妥協に
    ついての情報を共有するための規則を定める。
i)  ICT構成要素のライフサイクル及び継続的な使用,並びにこれに関連するセキュリティリスクを管理
    するための具体的なプロセスを実施する。このプロセスには,その構成要素が入手できなくなる(供
    給者が事業を営まなくなる,又は技術進歩によって供給者がその構成要素を提供しなくなる)という
    リスクを管理することも含まれる。
関連情報

――――― [JIS Q 27002 pdf 68] ―――――

66
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  ICTサプライチェーンに固有のリスクマネジメントの実践は,一般的な,情報セキュリティ,品質,プ
ロジェクト管理及びシステム工学の実践が前提となるが,これらに代わるものではない。
  ICTサプライチェーン,並びに提供される製品及びサービスに重大な影響を及ぼす事項について理解す
るため,組織は供給者と協力するのがよい。組織は,供給者との合意の中で,ICTサプライチェーンの中
の他の供給者が対処することが望ましい事項を明らかにすることによって,ICTサプライチェーンにおけ
る情報セキュリティの実践に影響を及ぼすことができる。
  ここで取り上げたICTサプライチェーンには,クラウドコンピューティングサービスも含まれる。

15.2 供給者のサービス提供の管理

目的 供給者との合意に沿って,情報セキュリティ及びサービス提供について合意したレベルを維持する
ため。
15.2.1 供給者のサービス提供の監視及びレビュー
管理策
  組織は,供給者のサービス提供を定常的に監視し,レビューし,監査することが望ましい。
実施の手引
  供給者のサービスを監視及びレビューすることによって,その合意における情報セキュリティの条件の
順守を確実にすること,並びに情報セキュリティのインシデント及び問題の適切な管理を確実にすること
が望ましい。
  このような監視及びレビューは,組織と供給者との間での,次のサービス管理関係プロセスを含むこと
が望ましい。
a) 合意の順守を検証するために,サービスのパフォーマンスレベルを監視する。
b) 供給者の作成したサービスの報告をレビューし,合意で求めている定期的な進捗会議を設定する。
c) 独立した監査人の報告書が入手できれば,これのレビューと併せて供給者の監査を実施し,特定され
    た問題の追跡調査を行う。
d) 合意書並びに全ての附属の指針及び手順書の要求に従い,情報セキュリティインシデントの情報を提
    供し,その情報をレビューする。
e) 供給者の監査証跡,情報セキュリティ事象の記録,運用上の問題の記録,故障記録,障害履歴及び提
    供サービスに関連する中断記録をレビューする。
f)  特定された問題の解決及び管理を実施する。
g) 供給者とその供給者との間の供給者関係における情報セキュリティの側面をレビューする。
h) 重大なサービスの不具合又は災害の後においても,合意したサービス継続レベルが維持されることを
    確実にするように設計された実行可能な計画とともに,供給者が十分なサービス提供能力を維持する
    ことを確実にする(箇条17参照)。
  供給者関係を管理する責任は,指定された個人又はサービス管理チームに割り当てることが望ましい。
さらに,組織は,供給者が,順守状況のレビュー及び合意書における要求事項の実施についての責任を割
り当てることを確実にすることが望ましい。合意書における要求事項,特に情報セキュリティに関する要
求事項を満たしているかどうかを監視するために,十分な技術力及び人的資源を確保しておくことが望ま
しい。サービスの提供において不完全な点があった場合は,適切な処置をとることが望ましい。
  組織は,供給者がアクセス,処理又は管理する,取扱いに慎重を要する又は重要な情報・情報処理設備

――――― [JIS Q 27002 pdf 69] ―――――

                                                                                             67
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
に対して,全てのセキュリティの側面についての十分かつ包括的な管理及び可視性を維持することが望ま
しい。組織は,報告プロセスを規定することで,セキュリティに関連した活動(例えば,変更管理,ぜい
弱性識別,情報セキュリティインシデントの報告及び対応)の可視性を維持することが望ましい。
15.2.2 供給者のサービス提供の変更に対する管理
管理策
  関連する業務情報,業務システム及び業務プロセスの重要性,並びにリスクの再評価を考慮して,供給
者によるサービス提供の変更(現行の情報セキュリティの方針群,手順及び管理策の保守及び改善を含む。)
を管理することが望ましい。
実施の手引
  この管理策の実施については,次の側面を考慮に入れることが望ましい。
a) 供給者との合意に対する変更
b) 次の事項を実施するために組織が行う変更
  1) 現在提供されているサービスの強化
  2) 新しいアプリケーション及びシステムの開発
  3) 組織の諸方針及び諸手順の,変更又は更新
  4) 情報セキュリティインシデントの解決及びセキュリティの改善のための,新たな又は変更した管理
      策
c) 次の事項を実施するための供給者サービスにおける変更
  1) ネットワークに対する変更及び強化
  2) 新技術の利用
  3) 新製品又は新しい版・リリースの採用
  4) 新たな開発ツール及び開発環境
  5) サービス設備の物理的設置場所の変更
  6) 供給者の変更
  7) 他の供給者への下請負契約

16 情報セキュリティインシデント管理

16.1 情報セキュリティインシデントの管理及びその改善

目的 セキュリティ事象及びセキュリティ弱点に関する伝達を含む,情報セキュリティインシデントの管
理のための,一貫性のある効果的な取組みを確実にするため。
16.1.1 責任及び手順
管理策
  情報セキュリティインシデントに対する迅速,効果的かつ順序だった対応を確実にするために,管理層
の責任及び手順を確立することが望ましい。
実施の手引
  情報セキュリティインシデント管理に関する管理層の責任及び手順について,次の事項を考慮すること
が望ましい。
a) 組織において,次の手順が策定され,十分に伝達されることを確実にするために,管理層の責任を確
    立する。

――――― [JIS Q 27002 pdf 70] ―――――

次のページ PDF 71

JIS Q 27002:2014の引用国際規格 ISO 一覧

ISO/IEC 27002:2013(IDT)

JIS Q 27002:2014の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.040 : 文字セット及び符号化

JIS Q 27002:2014の関連規格と引用規格一覧

規格番号: 規格名称
JISQ27000:2019: 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語