JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 16

                                                                                             73
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
管理策
  確立及び実施した情報セキュリティ継続のための管理策が,困難な状況の下で妥当かつ有効であること
を確実にするために,組織は,定められた間隔でこれらの管理策を検証することが望ましい。
実施の手引
  運用に関するものか,継続に関するものかを問わず,組織,技術,手順及びプロセスの変更が,情報セ
キュリティ継続に関する要求事項の変更につながることがある。このような場合には,変更後の要求事項
に照らして,情報セキュリティのためのプロセス,手順及び管理策の継続性をレビューすることが望まし
い。
  組織は,次に示す方法によって,情報セキュリティマネジメントの継続を検証することが望ましい。
a) 情報セキュリティ継続のためのプロセス,手順及び管理策の機能が情報セキュリティ継続の目的と整
    合していることを確実にするために,これらの機能を実行し,試験する。
b) 情報セキュリティ継続のためのプロセス,手順及び管理策を機能させる知識及びルーチンを実行及び
    試験し,そのパフォーマンスが情報セキュリティ継続の目的に整合していることを確実にする。
c) 情報システム,情報セキュリティのプロセス,手順及び管理策,又はBCM・DRMのプロセス及びソ
    リューションが変更された場合には,情報セキュリティ継続のための手段の妥当性及び有効性をレビ
    ューする。
関連情報
  情報セキュリティ継続のための管理策の検証は,一般的な情報セキュリティの試験及び検証とは異なる
ため,変更に対する試験とは別に実施することが望ましい。可能であれば,情報セキュリティ継続のため
の管理策の検証と,組織の事業継続試験又は災害復旧試験とを統合することが望ましい。

17.2 冗長性

目的 情報処理施設の可用性を確実にするため。
17.2.1 情報処理施設の可用性
管理策
  情報処理施設は,可用性の要求事項を満たすのに十分な冗長性をもって,導入することが望ましい。
実施の手引
  組織は,情報システムの可用性に関する業務上の要求事項を特定することが望ましい。既存のシステム
アーキテクチャを利用しても可用性を保証できない場合には,冗長な構成要素又はアーキテクチャを考慮
することが望ましい。
  該当する場合,一つの構成要素から別の構成要素への切替え(failover)が意図したとおりに動作するこ
とを確実にするために,冗長な情報システムを試験することが望ましい。
関連情報
  冗長性を組み入れることで,情報及び情報システムの完全性又は機密性に対するリスクが生じることが
ある。情報システムを設計する場合は,この点を考慮する必要がある。

18 順守

18.1 法的及び契約上の要求事項の順守

目的 情報セキュリティに関連する法的,規制又は契約上の義務に対する違反,及びセキュリティ上のあ
らゆる要求事項に対する違反を避けるため。

――――― [JIS Q 27002 pdf 76] ―――――

74
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
18.1.1 適用法令及び契約上の要求事項の特定
管理策
  各情報システム及び組織について,全ての関連する法令,規制及び契約上の要求事項,並びにこれらの
要求事項を満たすための組織の取組みを,明確に特定し,文書化し,また,最新に保つことが望ましい。
実施の手引
  これらの要求事項を満たすための具体的な管理策及び具体的な責任についても定め,文書化することが
望ましい。
  管理者は,その事業の種類に関連した要求事項を満たすために,各自の組織に適用される全ての法令を
特定することが望ましい。組織が他の国で事業を営む場合には,管理者は,関連する全ての国における順
守を考慮することが望ましい。
18.1.2 知的財産権
管理策
  知的財産権及び権利関係のあるソフトウェア製品の利用に関連する,法令,規制及び契約上の要求事項
の順守を確実にするための適切な手順を実施することが望ましい。
実施の手引
  知的財産となり得るものを保護するために,次の事項を考慮することが望ましい。
a) ソフトウェア製品及び情報製品の合法利用を明確に定めた知的財産権順守方針を公表する。
b) 著作権を侵害しないことを確実にするために,ソフトウェアは,知名度の高い,かつ,定評のある供
    給元だけを通して取得する。
c) 知的財産権を保護するための方針に対する認識を持続させ,それらの方針に違反した要員に対して懲
    罰処置をとる意思を通知する。
d) 適切な資産登録簿を維持・管理し,知的財産権の保護が求められている全ての資産を特定する。
e) 使用許諾を得ていることの証明及び証拠,マスタディスク,手引などを維持・管理する。
f)  使用許諾で許可された最大利用者数を超過しないことを確実にするための管理策を実施する。
g) 認可されているソフトウェア及び使用許諾されている製品だけが導入されていることのレビューを行
    う。
h) 適切な使用許諾条件を維持・管理するための方針を定める。
i)  ソフトウェアの処分又は他人への譲渡についての方針を定める。
j)  公衆ネットワークから入手するソフトウェア及び情報の使用条件に従う。
k) 著作権法が認めている場合を除いて,商用記録(フィルム,録音)を複製,他形式に変換,又は抜粋
    しない。
l)  著作権法が認めている場合を除いて,書籍,記事,報告書又はその他文書の全部又は一部を複写しな
    い。
関連情報
  知的財産権には,ソフトウェア又は文書の著作権,意匠権,商標権,特許権及びソースコード使用許諾
権が含まれる。
  権利関係のあるソフトウェア製品は,通常,許諾の条件(例えば,その製品の利用を指定した機器だけ
に限定,複製をバックアップコピーの作成だけに限定。)を明記した使用許諾契約のもとで供給される。そ
の組織で開発したソフトウェアに関しては,知的財産権の重要性及びこれに対する認識を担当職員に伝達
しておくことが望ましい。

――――― [JIS Q 27002 pdf 77] ―――――

                                                                                             75
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  法令,規制及び契約上の要求事項が,権利関係のあるものの複製に規制を加える場合がある。特に,組
織が開発したもの,又は作成者が組織に使用許諾若しくは提供したものだけを利用するように要求する場
合もある。著作権を侵害した場合,法的処置がとられ,罰金が科せられたり刑事訴訟となる場合もある。
18.1.3 記録の保護
管理策
  記録は,法令,規制,契約及び事業上の要求事項に従って,消失,破壊,改ざん,認可されていないア
クセス及び不正な流出から保護することが望ましい。
実施の手引
  具体的な組織の記録の保護について決定する場合は,組織の分類体系に基づき,その情報に適用されて
いる分類を考慮することが望ましい。記録類は,記録の種類(例えば,会計記録,データベース記録,ト
ランザクションログ,監査ログ,運用手順)によって,また,更にそれぞれの種類での保持期間及び許容
される記憶媒体の種類(例えば,紙,マイクロフィッシュ,磁気媒体,光媒体)の詳細によって分類する
ことが望ましい。保存した記録の暗号化又はディジタル署名に用いた暗号鍵及び暗号プログラム(箇条10
参照)もまた,その記録類を保存している期間中に記録の復号が可能なように,保管することが望ましい。
  記録の保存に用いる媒体が劣化する可能性を考慮することが望ましい。保存及び取扱いの手順は,製造
業者の推奨の仕様に従って実施することが望ましい。
  電子的記憶媒体を選択する場合は,将来の技術変化によって読出しができなくなることを防ぐために,
保持期間を通じてデータにアクセスできること(媒体及び書式の読取り可能性)を確実にする手順を確立
することが望ましい。
  満たすべき要求に応じて,許容される時間枠内及び書式で,要求されたデータを取り出すことができる
ような,データ保存システムを選択することが望ましい。
  保存及び取扱いシステムは,記録の特定,及び適用される場合には,国又は地域の法令又は規制に定め
られている保持期間の明確な特定を確実にすることが望ましい。保持期間が終了した後,組織にとって必
要ない場合には,そのシステムは,記録を適切に破棄できるようにすることが望ましい。
  これらの記録保護の目的を満たすため,組織内では,次の段階を経ることが望ましい。
a) 記録及び情報の保持,保存,取扱い及び処分に関する指針を発行する。
b) 記録及びそれらの記録の保持することが望ましい期間を明確にした保持計画を作成する。
c) 主要な情報の出典一覧を維持・管理する。
関連情報
  一部の記録は,基本的な事業活動を支えるためと同様に,法令,規制又は契約上の要求事項を満たすた
めに,セキュリティを保って保持する必要がある場合もある。そのような記録の例には,発生する可能性
のある民法上若しくは刑法上の訴訟に対する防御を確実にするため,又は株主,外部関係者及び監査人に
対して組織の財務状況を裏付けるために,組織を法令又は規制に従って運営していることの証拠として要
求される場合があるものが含まれる。国の法令又は規制が,情報保持のための期間及びデータの内容を定
めている場合がある。
  組織の記録の管理に関する追加情報が,JIS X 0902-1[5]に示されている。
18.1.4 プライバシー及び個人を特定できる情報(PII)の保護
管理策
  プライバシー及びPIIの保護は,関連する法令及び規制が適用される場合には,その要求に従って確実
にすることが望ましい。

――――― [JIS Q 27002 pdf 78] ―――――

76
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
実施の手引
  プライバシー及びPIIの保護に関する組織の方針を確立して実施することが望ましい。この方針は,PII
の処理に関与する全ての者に伝達することが望ましい。
  この方針の順守,並びに人々のプライバシーの保護及びPIIの保護に関する全ての法令及び規制の順守
のためには,適切な管理構造及び管理策が必要になる。これは,多くの場合,例えばプライバシー担当役
員のような一人の責任者を任命することによって最も達成される。この責任者は,管理者,利用者及びサ
ービス提供者に対して,それぞれの責任及び従うことが望ましい特定の手順について,手引を提供するこ
とが望ましい。PIIの取扱い,及びプライバシーの原則の認識を確実にすることについての責任は,関連す
る法令及び規制に従って処置することが望ましい。PIIを保護するための適切な技術的及び組織的対策を実
施することが望ましい。
関連情報
  ICTシステムにおいてPIIを保護するための上位の枠組みが,ISO/IEC 29100[25]に示されている。多く
の国が,PII(一般に,生存している個人に関する情報で,その情報からその個人を特定できるもの。)の
収集,処理及び伝送を規制する法令を導入している。各国の法令にもよるが,このような規制では,PII
を収集,処理及び流布する者に責務を課している場合があり,また,PIIの他国への転送を規制している場
合もある。
18.1.5 暗号化機能に対する規制
管理策
  暗号化機能は,関連する全ての協定,法令及び規制を順守して用いることが望ましい。
実施の手引
  関連する協定,法令及び規制を順守するため,次の事項を考慮することが望ましい。
a) 暗号機能を実行するためのコンピュータのハードウェア及びソフトウェアの,輸入又は輸出に関する
    規制
b) 暗号機能を追加するように設計されているコンピュータのハードウェア及びソフトウェアの,輸入又
    は輸出に関する規制
c) 暗号利用に関する規制
d) 内容の機密性を守るためにハードウェア又はソフトウェアによって暗号化された情報への,国の当局
    による強制的又は任意的アクセス方法
  関連する法令及び規制の順守を確実にするために,法的な助言を求めることが望ましい。暗号化された
情報又は暗号制御機能を,法域を越えて持ち出す前にも,法的な助言を受けることが望ましい。

18.2 情報セキュリティのレビュー

目的 組織の方針及び手順に従って情報セキュリティが実施され,運用されることを確実にするため。
18.2.1 情報セキュリティの独立したレビュー
管理策
  情報セキュリティ及びその実施の管理(例えば,情報セキュリティのための管理目的,管理策,方針,
プロセス,手順)に対する組織の取組みについて,あらかじめ定めた間隔で,又は重大な変化が生じた場
合に,独立したレビューを実施することが望ましい。
実施の手引

――――― [JIS Q 27002 pdf 79] ―――――

                                                                                             77
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  経営陣は,独立したレビューを発議することが望ましい。このような独立したレビューは,情報セキュ
リティをマネジメントする組織の取組みが,引き続き適切,妥当及び有効であることを確実にするために
必要である。このようなレビューは,改善の機会のアセスメントを含むことが望ましい。また,方針及び
管理目的を含むセキュリティの取組みの変更について,その必要性の評価を含むことが望ましい。
  このようなレビューは,レビューが行われる領域から独立した個人・組織(例えば,内部監査の担当部
署,独立した管理者,このようなレビューを専門に行う外部関係者)が実施することが望ましい。これら
のレビューを実施する個人・組織は,適切な技能及び経験をもつことが望ましい。
  独立したレビューの結果は,記録し,レビューを発議した経営陣に報告することが望ましい。これらの
記録は,維持することが望ましい。
  独立したレビューにおいて,情報セキュリティマネジメントに対する組織の取組み及び実施が十分でな
い[例えば,文書化した目的及び要求事項が,情報セキュリティのための方針群(5.1.1参照)に記載され
た情報セキュリティに関する方向付けを満たしていない,又はこれと適合していない。]ことが明確になっ
た場合には,経営陣は是正処置を考慮することが望ましい。
関連情報
  独立したレビューを実施する場合の手引は,ISO/IEC 27007[12]及びISO/IEC TR 27008[13]にも示され
ている。
18.2.2 情報セキュリティのための方針群及び標準の順守
管理策
  管理者は,自分の責任の範囲内における情報処理及び手順が,適切な情報セキュリティのための方針群,
標準類,及び他の全てのセキュリティ要求事項を順守していることを定期的にレビューすることが望まし
い。
実施の手引
  管理者は,方針,標準類及びその他適用される規制で定められた情報セキュリティ要求事項が満たされ
ていることをレビューするための方法を特定することが望ましい。定めに従って効率的にレビューを行う
ため,自動的な測定ツール及び報告ツールの使用を考慮することが望ましい。
  レビューの結果,何らかの不順守を検出した場合,管理者は,次の事項を行うことが望ましい。
a) 不順守の原因を特定する。
b) 順守を達成するための処置の必要性を評価する。
c) 適切な是正処置を実施する。
d) 是正処置の有効性を検証し,不備又は弱点を特定するために,とった是正処置をレビューする。
  管理者が実施したレビュー及び是正処置の結果を記録することが望ましく,また,その記録を維持・管
理することが望ましい。管理者の責任範囲に対して,独立したレビュー(18.2.1参照)が実施されるとき
は,管理者は,独立したレビュー実施者に対して,その結果を報告することが望ましい。
関連情報
  システム利用の監視は,12.4に示されている。
18.2.3 技術的順守のレビュー
管理策
  情報システムを,組織の情報セキュリティのための方針群及び標準の順守に関して,定めに従ってレビ
ューすることが望ましい。

――――― [JIS Q 27002 pdf 80] ―――――

次のページ PDF 81