JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 15

68
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  1) インシデント対応の計画及び準備のための手順
  2) 情報セキュリティ事象及び情報セキュリティインシデントを監視,検知,分析及び報告するための
      手順
  3) インシデント管理活動のログを取得するための手順
  4) 法的証拠を扱うための手順
  5) 情報セキュリティ事象の評価及び決定のための手順,並びに情報セキュリティ弱点の評価のための
      手順
  6) 対応手順(段階的取扱い,インシデントからの回復の管理,並びに内部及び外部の要員又は組織へ
      の伝達のための手順を含む。)
b) 確立する手順では,次の事項を確実にする。
  1) 組織内の情報セキュリティインシデントに関連する事項は,力量のある要員が取り扱う。
  2) セキュリティインシデントを検知及び報告する場合の連絡先を定める。
  3) 情報セキュリティインシデントに関連した事項を取り扱う関係当局,外部の利益団体又は会議との
      適切な連絡を保つ。
c) 報告手順には,次の事項を含める。
  1) 情報セキュリティ事象が発生した場合に,報告作業を助け,報告する者が必要な全ての処置を忘れ
      ないよう手助けするための情報セキュリティ事象の報告書式の作成
  2) 情報セキュリティ事象が発生した場合にとる手順。例えば,詳細全て(不順守又は違反の形態,生
      じた誤動作,画面上の表示など)の記録を直ちにとる,直ちに連絡先に報告し,協調した処置だけ
      をとる。
  3) セキュリティ違反を犯した従業員を処罰するために確立された正式な懲戒手続への言及
  4) 情報セキュリティ事象の報告者に,その件の処理が終結した後で結果を知らせることを確実にする
      ための適切なフィードバックの手続
  情報セキュリティインシデント管理の目的について,経営陣が同意していることが望ましく,また,情
報セキュリティインシデント管理について責任ある人々が,組織が決めた情報セキュリティインシデント
の取扱いの優先順位を理解していることを確実にすることが望ましい。
関連情報
  情報セキュリティインシデントは,組織の枠及び国境を越える場合がある。そのようなインシデントに
対応するために,適宜,外部の組織と連携して対応すること及びそのインシデントについての情報を共有
することの必要性が増している。
  情報セキュリティインシデント管理に関する詳細な手引が,ISO/IEC 27035[20]に示されている。
16.1.2 情報セキュリティ事象の報告
管理策
  情報セキュリティ事象は,適切な管理者への連絡経路を通して,できるだけ速やかに報告することが望
ましい。
実施の手引
  全ての従業員及び契約相手に,情報セキュリティ事象をできるだけ速やかに報告する責任のあることを
認識させておくことが望ましい。また,全ての従業員及び契約相手が,情報セキュリティ事象の報告手順
及び情報セキュリティ事象を報告する連絡先を認識していることが望ましい。

――――― [JIS Q 27002 pdf 71] ―――――

                                                                                             69
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  情報セキュリティ事象の報告を考慮する状況には,次の事項が含まれる。
a) 効果のないセキュリティ管理策
b) 情報の完全性,機密性又は可用性に関する期待に対する違反
c) 人による誤り
d) 個別方針又は指針の不順守
e) 物理的セキュリティの取決めに対する違反
f)  管理されていないシステム変更
g) ソフトウェア又はハードウェアの誤動作
h) アクセス違反
関連情報
  システムの誤動作又はその他の異常な挙動は,セキュリティへの攻撃又は実際のセキュリティ違反があ
ったことを示す場合があるため,情報セキュリティ事象として常に報告することが望ましい。
16.1.3 情報セキュリティ弱点の報告
管理策
  組織の情報システム及びサービスを利用する従業員及び契約相手に,システム又はサービスの中で発見
した又は疑いをもった情報セキュリティ弱点は,どのようなものでも記録し,報告するように要求するこ
とが望ましい。
実施の手引
  全ての従業員及び契約相手は,情報セキュリティインシデントを防止するため,情報セキュリティ弱点
をできるだけ速やかに連絡先に報告することが望ましい。報告の仕組みは,できるだけ簡単で使いやすく,
いつでも利用できることが望ましい。
関連情報
  従業員及び契約相手に,疑いをもったセキュリティの弱点の立証を試みないように助言することが望ま
しい。弱点を検査することは,システムの不正使用の企てと見られる場合があり,また,情報システム又
はサービスに損傷を与えて,検査した個人に法的責任が発生する場合もある。
16.1.4 情報セキュリティ事象の評価及び決定
管理策
  情報セキュリティ事象は,これを評価し,情報セキュリティインシデントに分類するか否かを決定する
ことが望ましい。
実施の手引
  連絡先の者は,合意された情報セキュリティ事象・情報セキュリティインシデントの分類基準を用いて
各情報セキュリティ事象を評価し,その事象を情報セキュリティインシデントに分類するか否かを決定す
ることが望ましい。インシデントの分類及び優先順位付けは,インシデントの影響及び程度の特定に役立
てることができる。
  組織内に情報セキュリティインシデント対応チームがある場合は,確認又は再評価のために,評価及び
決定の結果をこの対応チームに転送してもよい。
  評価及び決定の結果は,以後の参照及び検証のために詳細に記録しておくことが望ましい。
16.1.5 情報セキュリティインシデントへの対応
管理策
  情報セキュリティインシデントは,文書化した手順に従って対応することが望ましい。

――――― [JIS Q 27002 pdf 72] ―――――

70
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
実施の手引
  情報セキュリティインシデントには,指定された連絡先,及び組織又は外部関係者の他の関係する要員
が対応することが望ましい(16.1.1参照)。
  対応策には,次の事項を含めることが望ましい。
a) 情報セキュリティインシデントの発生後,できるだけ速やかに証拠を収集する。
b) 必要に応じて,情報セキュリティの法的分析を実施する(16.1.7参照)。
c) 必要に応じて,段階的取扱い(escalation)を行う。
d) 後で行う分析のために,関連する全ての対応活動を適正に記録することを確実にする。
e) 知る必要性を認められている内部・外部の他の要員又は組織に対し,情報セキュリティインシデント
    の存在又は関連するその詳細を伝達する。
f) インシデントの原因又はインシデントの一因であることが判明した情報セキュリティ弱点に対処する。
g) インシデントへの対応が滞りなく済んだ後,正式にそれを終了し,記録する。
  インシデントの根本原因を特定するために,必要に応じてインシデント後の分析を実施することが望ま
しい。
関連情報
  インシデント対応の第一の目標は,“通常のセキュリティレベル”を復旧させたうえで,必要な回復策を
開始することである。
16.1.6 情報セキュリティインシデントからの学習
管理策
  情報セキュリティインシデントの分析及び解決から得られた知識は,インシデントが将来起こる可能性
又はその影響を低減するために用いることが望ましい。
実施の手引
  情報セキュリティインシデントの形態,規模及び費用を定量化及び監視できるようにする仕組みを備え
ることが望ましい。情報セキュリティインシデントの評価から得た情報は,再発する又は影響の大きいイ
ンシデントを特定するために利用することが望ましい。
関連情報
  情報セキュリティインシデントの評価は,将来の発生頻度,損傷及び費用を抑制するための,又は情報
セキュリティのための方針群のレビュー手続(5.1.2参照)の中で考慮するための,強化した管理策又は追
加の管理策の必要性を提起する場合がある。
  機密性の側面に十分に留意すれば,実際に発生した情報セキュリティインシデントを,発生し得るイン
シデントの事例,こうしたインシデントへの対応方法の事例,及び以後これらを回避するための方法の事
例として,利用者の意識向上訓練(7.2.2参照)において用いることができる。
16.1.7 証拠の収集
管理策
  組織は,証拠となり得る情報の特定,収集,取得及び保存のための手順を定め,適用することが望まし
い。
実施の手引
  懲戒処置及び法的処置のために証拠を取り扱う場合は,内部の手順を定めてそれに従うことが望ましい。
  一般に,証拠に関するこれらの手順では,各種の媒体,装置及び装置の状態(例えば,電源が入ってい

――――― [JIS Q 27002 pdf 73] ―――――

                                                                                             71
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
るか,切れているか)に従って,証拠の特定,収集,取得及び保存のプロセスを規定することが望ましい。
このような手順では,次の事項を考慮することが望ましい。
a) 管理状況の一連の履歴
b) 証拠の保全
c) 要員の安全
d) 関与する要員の役割及び責任
e) 要員の力量
f)  文書化
g) 要点説明
  保存された証拠の価値を強化するために,入手可能であれば,要員及びツールの適格性を示す証明書又
はその他適切な手段を追求することが望ましい。
  必要な法的証拠は,組織の枠又は法域を越える場合がある。このような場合は,組織は必要とされる情
報を法的証拠として収集することが法的に認められていることを確認することが望ましい。関連する幾つ
かの法域にまたがる証拠の利用の可能性を最大にするために,それらの異なる法域の要求事項についても
考慮することが望ましい。
関連情報
  特定とは,証拠となる可能性のあるものの捜索,認識及び文書化に関わるプロセスをいう。収集とは,
証拠となる可能性のあるものを含み得る物理的な物品を集めるプロセスをいう。取得とは,特定した範囲
の中でデータの複製を作成するプロセスをいう。保存とは,証拠となる可能性のあるものの完全性及び当
初の状態を維持し,それを保護するプロセスをいう。
  情報セキュリティ事象を最初に検知した時点では,その事象が訴訟に発展するかどうかは判然としない
場合がある。したがって,そのインシデントの重大さに気が付く前に,意図的又は偶然に,必要な証拠を
破壊してしまう危険性がある。何らかの法的処置があり得ると考える場合は,早めに弁護士又は警察に相
談すること,及び必要となる証拠に関する助言を求めることを勧める。
  ディジタル形式の証拠の特定,収集,取得及び保存に関する指針が,ISO/IEC 27037[24]に示されている。

17 事業継続マネジメントにおける情報セキュリティの側面

17.1 情報セキュリティ継続

目的 情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むことが望ましい。
17.1.1 情報セキュリティ継続の計画
管理策
  組織は,困難な状況(adverse situation)(例えば,危機又は災害)における,情報セキュリティ及び情報
セキュリティマネジメントの継続のための要求事項を決定することが望ましい。
実施の手引
  組織は,情報セキュリティの継続が事業継続マネジメント(以下,BCMという。)プロセス又は災害復
旧管理(以下,DRMという。)プロセスに織り込まれているか否かを判断することが望ましい。事業継続
及び災害復旧に関する計画を立てる場合は,情報セキュリティ要求事項を定めることが望ましい。
  事業継続及び災害復旧に関する正式な計画が策定されていない場合には,通常の業務状況とは異なる困

――――― [JIS Q 27002 pdf 74] ―――――

72
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
難な状況においても,情報セキュリティ要求事項は変わらず存続することを,情報セキュリティマネジメ
ントの前提とすることが望ましい。別の方法として,困難な状況に適用できる情報セキュリティ要求事項
を定めるために,情報セキュリティの側面について事業影響度分析(以下,BIAという。)を実施すること
もできる。
関連情報
  情報セキュリティに対して“追加的な”BIAを実施するための時間及び労力を軽減するには,通常のBCM
又はDRMにおけるBIAに,情報セキュリティに関する側面を織り込むことが推奨される。すなわち,情
報セキュリティ継続に関する要求事項が,BCMプロセス又はDRMプロセスにおいて明確に定められてい
るということである。
  BCMに関する情報が,JIS Q 22301[8],ISO 22313[9]及びISO/IEC 27031[14]に示されている。
17.1.2 情報セキュリティ継続の実施
管理策
  組織は,困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための,プロセス,
手順及び管理策を確立し,文書化し,実施し,維持することが望ましい。
実施の手引
  組織は,次の事項を確実にすることが望ましい。
a) 必要な権限,経験及び力量を備えた要員を用い,中断・阻害を引き起こす事象に備え,これを軽減し,
    これに対処するための十分な管理構造を設ける。
b) インシデントを管理し,情報セキュリティを維持するための責任,権限及び力量を備えたインシデン
    ト対応要員を任命する。
c) 計画,対応及び回復の文書化した手順を策定し,これらを承認する。この計画及び手順では,経営陣
    が承認した情報セキュリティ継続の目的に基づいて,組織が中断・阻害を引き起こす事象を管理し,
    その情報セキュリティを既定のレベルに維持する場合の方法を詳細に記す(17.1.1参照)。
  組織は,情報セキュリティ継続に関する要求事項に従って,次の事項を確立し,文書化し,実施し,維
持することが望ましい。
a) 事業継続又は災害復旧のためのプロセス及び手順,並びにこれらを支援するシステム及びツールにお
    ける情報セキュリティ管理策
b) 困難な状況において既存の情報セキュリティ管理策を維持するための,プロセス及び手順の変更並び
    にそれらの実施の変更
c) 困難な状況において維持することが不可能な情報セキュリティ管理策を補うための管理策
関連情報
  事業継続又は災害復旧に関しては,具体的なプロセス及び手順を定めておくこともできる。このような
プロセス及び手順,又はこれらを支援するための専用の情報システムで扱われる情報は,保護することが
望ましい。このため,組織は,事業継続又は災害復旧に関するプロセス及び手順を確立,実施及び維持す
る場合には,情報セキュリティの専門家を関与させることが望ましい。
  実施されている情報セキュリティ管理策は,困難な状況においても,継続して運用することが望ましい。
セキュリティ管理策が情報のセキュリティの確保を継続できない場合には,許容可能な情報セキュリティ
レベルを維持するために,他の管理策を確立し,実施し,維持することが望ましい。
17.1.3 情報セキュリティ継続の検証,レビュー及び評価

――――― [JIS Q 27002 pdf 75] ―――――

次のページ PDF 76