28
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
附属書D
(参考)
導入されたJIS Q 27001:2014附属書Aの管理策のレビューに関する手引
D.1 目的
ISMSのために依頼者が必要であると決定した管理策(これは,適用宣言書による。)の導入は,初回審
査の第二段階,並びにサーベイランス又は再認証の活動の中でレビューしなければならない[9.3.1.2.2 g)
参照]。
認証機関が収集する審査証拠は,管理策が有効か否かの結論を出すために十分なものでなければならな
い。管理策がどのように機能することが期待されるのかについては,例えば,依頼者の手順又は方針で特
定してもよい。
D.1.1 審査証拠
最良の審査証拠は,審査員による観察から収集される(例えば,錠の付いた扉は施錠されている。要員
は秘密保持契約書に署名している。資産登録簿があり,観察された資産は,これに記載されている。シス
テムの設定は適切である)。証拠は,管理策の実行結果を見ることから収集できる(例えば,要員に与えら
れたアクセス権の印刷物で適正な権限をもつ役員が署名したもの,インシデント解決の記録,適正な権限
をもつ役員が署名した処理権限文書,経営者会議又は他の会議の議事録)。審査員が管理策を直接試験した
(又は管理策を再実行した)結果は,証拠になる(例えば,管理策が禁止しているはずの作業の試行,悪
意のあるコードから保護するソフトウェアのマシンへのインストール及び更新の有無の判定,付与された
アクセス権。これらは,認可権限者の確認後に実施するものである。)。証拠は,プロセス及び管理策につ
いて組織の管理下で働く人/契約者と面談すること,及びこれが事実上正確か否かを判定することによっ
ても,収集することができる。
D.2 管理策の分類(表D.1)の利用方法
D.2.1 一般
表D.1は,JIS Q 27001:2014の附属書Aに記載された管理策の導入のレビューに関する手引,並びに初
回審査及びその後の審査のための訪問中の,導入された管理策のパフォーマンスについての審査証拠の収
集に関する手引を提供する。この表は,JIS Q 27001:2014の附属書Aの管理策以外の管理策をレビューす
るための手引の提供を意図するものではない。
D.2.2 組織的な管理策及び技術的な管理策欄
各欄の“X”は,その管理策が,組織的な管理策又は技術的な管理策であることを示している。その幾
つかの管理策は,組織的,かつ,技術的であるため,このような管理策については両方の欄に“X”を記
載できる。
組織的な管理策の実行の証拠は,管理策の実行の記録のレビュー,面談,観察及び物理的な検査を通し
て収集できる。技術的な管理策の実行の証拠は,多くの場合,システム試験(次を参照)によって,又は
専用の監査/報告ツールの利用によって収集できる。
D.2.3 システム試験欄
システム試験とは,情報システムを直接にレビューすることをいう(例えば,システムの設定又は構成
のレビュー)。審査員の質問に対しては,システムコンソールに回答が現れるか,又は試験ツールの結果の
――――― [JIS Q 27006 pdf 31] ―――――
29
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
評価によって回答を得ることができる。
依頼者が,審査員にとって既知のコンピュータ上のツールを使用している場合には,このツールを審査
の支援に用いることができるか,又は依頼者(又はその外部委託先)がこのツールを用いて行った評価の
結果をレビューすることができる。
この表は,技術的な管理策のレビューに関する次の二つの分類を含む。
・ “可能” : システム試験が,管理策の導入の評価に可能であるが,ISMS審査では必要でないこともあ
る。
・ “推奨” : ISMS審査では通常はシステム試験が必要である。
注記 この附属書において,“システム”とは,特に指示のない限り,“情報システム”を意味する。
D.2.4 目視検査欄
この欄に記入された“X”は,これらの管理策の有効性を評価するために,通常,現地における管理策
の目視検査を必要とすることを意味している。これは,各文書を紙面又は面談によるレビューをすること
では十分でないことを意味しており,審査員が,管理策が導入されている場所で当該管理策を検証するこ
とが望ましい。
D.2.5 審査レビュー手引欄
審査レビュー手引欄は,管理策の評価のために注目する領域の候補を,審査員のための追加的手引とし
て提供している。
表D.1−管理策の分類
JIS Q 27001:2014の附属書Aの管理策 組織的な 技術的な システム 目視 審査レビュー手引
管理策 管理策 試験 検査
A.5 情報セキュリティのための方針群
A.5.1 情報セキュリティのための経営陣の方
向性
A.5.1.1 情報セキュリティのための方針群 X
A.5.1.2 情報セキュリティのための方針群の X
レビュー
A.6 情報セキュリティのための組織
A.6.1 内部組織
A.6.1.1 情報セキュリティの役割及び責任 X
A.6.1.2 職務の分離 X
A.6.1.3 関係当局との連絡 X
A.6.1.4 専門組織との連絡 X
A.6.1.5 プロジェクトマネジメントにおける X
情報セキュリティ
A.6.2 モバイル機器及びテレワーキング
A.6.2.1 モバイル機器の方針 X X 可能 適切な場合,方針の導入
の点検も行う。
A.6.2.2 テレワーキング X X 可能 適切な場合,方針の導入
の点検も行う。
A.7 人的資源のセキュリティ
A.7.1 雇用前
A.7.1.1 選考 X
A.7.1.2 雇用条件 X
A.7.2 雇用期間中
――――― [JIS Q 27006 pdf 32] ―――――
30
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
表D.1−管理策の分類(続き)
JIS Q 27001:2014の附属書Aの管理策 組織的な 技術的な システム 目視 審査レビュー手引
管理策 管理策 試験 検査
A.7.2.1 経営陣の責任 X
A.7.2.2 情報セキュリティの意識向上,教育及 X 認識することが望ましい
び訓練 特定の事項を認識してい
るか否かを要員に質問す
る。
A.7.2.3 懲戒手続 X
A.7.3 雇用の終了及び変更
A.7.3.1 雇用の終了又は変更に関する責任 X
A.8 資産の管理
A.8.1 資産に対する責任
A.8.1.1 資産目録 X 資産を識別する。
A.8.1.2 資産の管理責任 X
A.8.1.3 資産利用の許容範囲 X
A.8.1.4 資産の返却 X
A.8.2 情報分類
A.8.2.1 情報の分類 X 適切な場合,方針の導入
の点検も行う。
A.8.2.2 情報のラベル付け X 名称付け : ディレクトリ,
ファイル,印刷された文
書,記録媒体(例えば,
テープ,ディスク,CD),
電子メッセージ及び転送
ファイル
A.8.2.3 資産の取扱い X
A.8.3 媒体の取扱い
A.8.3.1 取外し可能な媒体の管理 X X 可能
A.8.3.2 媒体の処分 X X 処分のプロセス
A.8.3.3 物理的媒体の輸送 X 物理的保護
A.9 アクセス制御
A.9.1 アクセス制御に対する業務上の要求事
項
A.9.1.1 アクセス制御方針 X 適切な場合,方針の導入
の点検も行う。
A.9.1.2 ネットワーク及びネットワークサー X 適切な場合,方針の導入
ビスへのアクセス の点検も行う。
A.9.2 利用者アクセスの管理
A.9.2.1 利用者登録及び登録削除 X
X
A.9.2.2 利用者アクセスの提供(provisioning) X 可能 全てのシステムに対する
全てのアクセス権の認可
について,組織の管理下
で勤務する人/契約者を
サンプリングする。
A.9.2.3 特権的アクセス権の管理 X X 可能 要員の組織内部での異動
A.9.2.4 利用者の秘密認証情報の管理 X
A.9.2.5 利用者アクセス権のレビュー X
A.9.2.6 アクセス権の削除又は修正 X
――――― [JIS Q 27006 pdf 33] ―――――
31
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
表D.1−管理策の分類(続き)
JIS Q 27001:2014の附属書Aの管理策 組織的な 技術的な システム 目視 審査レビュー手引
管理策 管理策 試験 検査
A.9.3 利用者の責任
A.9.3.1 秘密認証情報の利用 X 利用者のために備えてい
る指針/方針を検証す
る。
A.9.4 システム及びアプリケーションのアク
セス制御
A.9.4.1 情報へのアクセス制限 X X 推奨
A.9.4.2 セキュリティに配慮したログオン手 X X 推奨
順
A.9.4.3 パスワード管理システム X X 推奨
A.9.4.4 特権的なユーティリティプログラム X X 推奨
の使用
A.9.4.5 プログラムソースコードへのアクセ X X 推奨
ス制御
A.10 暗号
A.10.1 暗号による管理策
A.10.1.1 暗号による管理策の利用方針 X 適切な場合,方針の導入
の点検も行う。
A.10.1.2 鍵管理 X X 推奨 適切な場合,方針の導入
の点検も行う。
A.11 物理的及び環境的セキュリティ
A.11.1 セキュリティを保つべき領域
A.11.1.1 物理的セキュリティ境界 X
A.11.1.2 物理的入退管理策 X X 可能 X アクセス記録の保管
A.11.1.3 オフィス,部屋及び施設のセキュリ X X
ティ
A.11.1.4 外部及び環境の脅威からの保護 X X
A.11.1.5 セキュリティを保つべき領域での作 X X
業
A.11.1.6 受渡場所 X X
A.11.2 装置
A.11.2.1 装置の設置及び保護 X X
A.11.2.2 サポートユーティリティ X X 可能 X
A.11.2.3 ケーブル配線のセキュリティ X X
A.11.2.4 装置の保守 X
A.11.2.5 資産の移動 X 構外に持ち出した資産の
記録
A.11.2.6 構外にある装置及び資産のセキュリ X X 可能 ポータブルデバイスの暗
ティ 号化
A.11.2.7 装置のセキュリティを保った処分又 X X 可能 X ディスク消去,ディスク
は再利用 暗号化
A.11.2.8 無人状態にある利用者装置 X 利用者のために備えてい
る指針/方針を検証す
る。
A.11.2.9 クリアデスク・クリアスクリーン方 X X 適切な場合,方針の導入
針 の点検も行う。
――――― [JIS Q 27006 pdf 34] ―――――
32
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
表D.1−管理策の分類(続き)
JIS Q 27001:2014の附属書Aの管理策 組織的な 技術的な システム 目視 審査レビュー手引
管理策 管理策 試験 検査
A.12 運用のセキュリティ
A.12.1 運用の手順及び責任
A.12.1.1 操作手順書 X
A.12.1.2 変更管理 X X 推奨
A.12.1.3 容量・能力の管理 X X 可能
A.12.1.4 開発環境,試験環境及び運用環境の X X 可能
分離
A.12.2 マルウェアからの保護
A.12.2.1 マルウェアに対する管理策 X X 推奨 マルウェアの制御ソフト
ウェアの構成及び対象範
囲の十分さ
A.12.3 バックアップ
A.12.3.1 情報のバックアップ X X 推奨 方針のレビュー,復旧試
験
A.12.4 ログ取得及び監視
A.12.4.1 イベントログ取得 X X 可能 ログを取得すべきイベン
トの,リスクに基づく選
択
A.12.4.2 ログ情報の保護 X X 可能
A.12.4.3 実務管理者及び運用担当者の作業ロ X X 可能
グ
A.12.4.4 クロックの同期 X 可能
A.12.5 運用ソフトウェアの管理
A.12.5.1 運用システムに関わるソフトウェア X X 可能
の導入
A.12.6 技術的ぜい弱性管理
A.12.6.1 技術的ぜい弱性の管理 X X 推奨 リスクに基づくパッチ管
理及びオペレーティング
システム,データベース
及びアプリケーションの
ハードニング(強化)
A.12.6.2 ソフトウェアのインストールの制限 X X 可能
A.12.7 情報システムの監査に対する考慮事
項
A.12.7.1 情報システムの監査に対する管理策 X
A.13 通信のセキュリティ
A.13.1 ネットワークセキュリティ管理
A.13.1.1 ネットワーク管理策 X X 可能 ネットワークマネジメン
ト
A.13.1.2 ネットワークサービスのセキュリテ X X 推奨 SLA,ネットワークサー
ィ ビスの情報セキュリティ
の提供(例えば,VPN,
ネットワークルーティン
グ及び接続管理策,ネッ
トワークデバイスの構
成)
――――― [JIS Q 27006 pdf 35] ―――――
次のページ PDF 36
JIS Q 27006:2018の引用国際規格 ISO 一覧
- ISO/IEC 27006:2015(IDT)
JIS Q 27006:2018の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化
JIS Q 27006:2018の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISQ27000:2019
- 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語