JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 17

78
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
実施の手引
  技術的順守は,自動ツールを活用してレビューすることが望ましい。この自動ツールは,技術専門家が
後に解釈するための技術レポートを生成する。これに代わるものとして,経験をもつシステムエンジニア
が手動で(必要な場合には,適切なソフトウェアツールの助けを得て)レビューしてもよい。
  侵入テスト又はぜい弱性アセスメントを用いる場合,このような作業は,システムのセキュリティを危
うくするかもしれないことに注意することが望ましい。このようなテストは,計画され,文書化され,ま
た,繰り返しできることが望ましい。
  いかなる技術的順守のレビューも,力量があり,認可されている者によって,又はその者の監督の下で
だけ,実施することが望ましい。
関連情報
  技術的順守のレビューは,ハードウェア及びソフトウェアの制御が正しく実施されていることを確実に
するための,運用システムの検査を伴う。この種の順守のレビューでは,専門家の技術的専門知識を必要
とする。
  順守のレビューには,例えば,その目的のために特に契約した独立した専門家によって実施される侵入
テスト及びぜい弱性アセスメントを含むことがある。このようなレビューは,システムのぜい弱性の検出,
及びこれらのぜい弱性が原因の認可されていないアクセスの防止に,管理策がどれほど有効であるかの検
査に役立つ。
  侵入テスト及びぜい弱性アセスメントは,特定の時刻における特定の状態のシステムのスナップショッ
トを提供する。このスナップショットの対象は,侵入テストで実際にテストをしているシステムの該当部
分に限られる。侵入テスト及びぜい弱性アセスメントはリスクアセスメントの代替とはならない。
  技術的順守のレビューに関する具体的な手引が,ISO/IEC TR 27008[13]に示されている。

――――― [JIS Q 27002 pdf 81] ―――――

                                                                                             79
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
                                          参考文献
[1]   ISO/IEC専門業務用指針 第2部
[2]   JIS X 5058-1 セキュリティ技術−かぎ管理−第1部 : 枠組み
         注記 対応国際規格 : ISO/IEC 11770-1,Information technology−Security techniques−Key
              management−Part 1: Framework(IDT)
[3]   JIS X 5058-2 セキュリティ技術−かぎ管理−第2部 : 対称暗号技術を用いるかぎ確立機構
         注記 対応国際規格 : ISO/IEC 11770-2,Information technology−Security techniques−Key
              management−Part 2: Mechanisms using symmetric techniques(IDT)
[4]   ISO/IEC 11770-3,Information technology−Security techniques−Key management−Part 3: Mechanisms
      using asymmetric techniques
[5]   JIS X 0902-1 情報及びドキュメンテーション−記録管理−第1部 : 総説
         注記 対応国際規格 : ISO 15489-1,Information and documentation−Records management−Part 1:
              General(IDT)
[6]   JIS Q 20000-1 情報技術−サービスマネジメント−第1部 : サービスマネジメントシステム要求事
      項
         注記 対応国際規格 : ISO/IEC 20000-1,Information technology−Service management−Part 1:
              Service management system requirements(IDT)
[7]   JIS Q 20000-2 情報技術−サービスマネジメント−第2部 : サービスマネジメントシステムの適用
      の手引
         注記 対応国際規格 : ISO/IEC 20000-21),Information technology−Service management−Part 2:
              Guidance on the application of service management systems(IDT)
[8]   JIS Q 22301 社会セキュリティ−事業継続マネジメントシステム−要求事項
         注記 対応国際規格 : ISO 22301,Societal security−Business continuity management systems−
              Requirements(IDT)
[9]   ISO 22313,Societal security−Business continuity management systems−Guidance
[10] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項
         注記 対応国際規格 : ISO/IEC 27001,Information technology−Security techniques−Information
              security management systems−Requirements(IDT)
[11] ISO/IEC 27005,Information technology−Security techniques−Information security risk management
[12] ISO/IEC 27007,Information technology−Security techniques−Guidelines for information security
      management systems auditing
[13] ISO/IEC TR 27008,Information technology−Security techniques−Guidelines for auditors on information
      security controls
[14] ISO/IEC 27031,Information technology−Security techniques−Guidelines for information and
      communication technology readiness for business continuity
[15] ISO/IEC 27033-1,Information technology−Security techniques−Network security−Part 1: Overview and
      concepts
[16] ISO/IEC 27033-2,Information technology−Security techniques−Network security−Part 2: Guidelines for

――――― [JIS Q 27002 pdf 82] ―――――

80
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
      the design and implementation of network security
[17] ISO/IEC 27033-3,Information technology−Security techniques−Network security−Part 3: Reference
      networking scenarios−Threats, design techniques and control issues
[18] ISO/IEC FDIS 27033-4,Information technology−Security techniques−Network security−Part 4: Securing
      communications between networks using security gateways
[19] ISO/IEC 27033-5,Information technology−Security techniques−Network security−Part 5: Securing
      communications across networks using Virtual Private Networks (VPNs)
[20] ISO/IEC 27035,Information technology−Security techniques−Information security incident management
[21] ISO/IEC FDIS 27036-1,Information technology−Security techniques−Information security for supplier
      relationships−Part 1: Overview and concepts
[22] ISO/IEC DIS 27036-2,Information technology−Security techniques−Information security for supplier
      relationships−Part 2: Requirements
[23] ISO/IEC 27036-3,Information technology−Security techniques−Information security for supplier
      relationships−Part 3: Guidelines for ICT supply chain security
[24] ISO/IEC 27037,Information technology−Security techniques−Guidelines for identification, collection,
      acquisition and preservation of digital evidence
[25] ISO/IEC 29100,Information technology−Security techniques−Privacy framework
[26] ISO/IEC 29101,Information technology−Security techniques−Privacy architecture framework
[27] JIS Q 31000 リスクマネジメント−原則及び指針
         注記 対応国際規格 : ISO 31000,Risk management−Principles and guidelines(IDT)
         注1)   SO/IEC 20000-2:2005は,2012年に改正されている。