/

JIS Q 27006:2018 情報技術―セキュリティ技術―情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項 | ページ 8

次のページ
                                                                                             33
                                                              Q 27006 : 2018 (ISO/IEC 27006 : 2015)
                                  表D.1−管理策の分類(続き)
     JIS Q 27001:2014の附属書Aの管理策   組織的な 技術的な システム 目視    審査レビュー手引
                                          管理策   管理策    試験   検査
 A.13.1.3 ネットワークの分離                X        X       可能         ネットワーク図 : ネット
                                                                          ワークセグメント(例え
                                                                          ば,DMZ)及び分離(例
                                                                          えば,VLAN)
 A.13.2 情報の転送
 A.13.2.1 情報転送の方針及び手順            X                             適切な場合,方針の導入
                                                                          の点検も行う。
 A.13.2.2 情報転送に関する合意              X
 A.13.2.3 電子的メッセージ通信              X        X       可能         サンプルメッセージが方
                                                                          針/手順に適合している
                                                                          ことを確認する。
 A.13.2.4 秘密保持契約又は守秘義務契約      X                             契約のレビュー
 A.14 システムの取得,開発及び保守
 A.14.1 情報システムのセキュリティ要求事

 A.14.1.1 情報セキュリティ要求事項の分析及  X
 び仕様化
 A.14.1.2 公衆ネットワーク上のアプリケーシ  X        X       推奨         アプリケーションサービ
 ョンサービスのセキュリティの考慮                                         スのリスクに基づく設計
 A.14.1.3 アプリケーションサービスのトラン  X        X       推奨         機密性,完全性,否認防
 ザクションの保護                                                         止
 A.14.2 開発及びサポートプロセスにおける
 セキュリティ
 A.14.2.1 セキュリティに配慮した開発のため  X                             適切な場合,方針の導入
 の方針                                                                   の点検も行う。
 A.14.2.2 システムの変更管理手順            X        X       推奨
 A.14.2.3 オペレーティングプラットフォーム  X
 変更後のアプリケーションの技術的レビュー
 A.14.2.4 パッケージソフトウェアの変更に対  X
 する制限
 A.14.2.5 セキュリティに配慮したシステム構  X
 築の原則
 A.14.2.6 セキュリティに配慮した開発環境    X        X       可能
 A.14.2.7 外部委託による開発                X
 A.14.2.8 システムセキュリティの試験        X
 A.14.2.9 システムの受入れ試験              X        X       可能
 A.14.3 試験データ
 A.14.3.1 試験データの保護                  X        X       可能    X
 A.15 供給者関係
 A.15.1 供給者関係における情報セキュリテ

 A.15.1.1 供給者関係のための情報セキュリテ  X                             適切な場合,方針の導入
 ィの方針                                                                 の点検も行う。
 A.15.1.2 供給者との合意におけるセキュリテ  X                             幾つかの契約条件を検査
 ィの取扱い                                                               する。
 A.15.1.3 ICTサプライチェーン               X                             幾つかの契約条件を検査
                                                                          する。

――――― [JIS Q 27006 pdf 36] ―――――

34
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
                                  表D.1−管理策の分類(続き)
     JIS Q 27001:2014の附属書Aの管理策   組織的な 技術的な システム 目視    審査レビュー手引
                                          管理策   管理策    試験   検査
 A.15.2 供給者のサービス提供の管理
 A.15.2.1 供給者のサービス提供の監視及びレ  X
 ビュー
 A.15.2.2 供給者のサービス提供の変更に対す  X
 る管理
 A.16 情報セキュリティインシデント管理
 A.16.1 情報セキュリティインシデントの管
 理及びその改善
 A.16.1.1 責任及び手順                      X
 A.16.1.2 情報セキュリティ事象の報告        X
 A.16.1.3 情報セキュリティ弱点の報告        X
 A.16.1.4 情報セキュリティ事象の評価及び決  X

 A.16.1.5 情報セキュリティインシデントへの  X
 対応
 A.16.1.6 情報セキュリティインシデントから  X
 の学習
 A.16.1.7 証拠の収集                        X
 A.17 事業継続マネジメントにおける情報セ
 キュリティの側面
 A.17.1 情報セキュリティ継続                                              マネジメントレビューの
                                                                          議事録
 A.17.1.1 情報セキュリティ継続の計画        X
 A.17.1.2 情報セキュリティ継続の実施        X
 A.17.1.3 情報セキュリティ継続の検証,レビ  X
 ュー及び評価
 A.17.2 冗長性
 A.17.2.1 情報処理施設の可用性              X        X       可能
 A.18 順守
 A.18.1 法的及び契約上の要求事項の順守
 A.18.1.1 適用法令及び契約上の要求事項の特  X                推奨

 A.18.1.2 知的財産権                        X
 A.18.1.3 記録の保護                        X        X       推奨
 A.18.1.4 プライバシー及び個人を特定できる  X                             適切な場合,方針の導入
 情報(PII)の保護                                                        の点検も行う。
 A.18.1.5 暗号化機能に対する規制            X
 A.18.2 情報セキュリティのレビュー
 A.18.2.1 情報セキュリティの独立したレビュ  X                             報告書を読む。

 A.18.2.2 情報セキュリティのための方針群及  X
 び標準の順守
 A.18.2.3 技術的順守のレビュー              X        X

――――― [JIS Q 27006 pdf 37] ―――――

                                                                                             35
                                                              Q 27006 : 2018 (ISO/IEC 27006 : 2015)
参考文献
[1] JIS Q 19011 マネジメントシステム監査のための指針
[2] ISO/IEC 27007,Information technology−Security techniques−Guidelines for information security
    management systems auditing
[3] JIS Q 9001 品質マネジメントシステム−要求事項

JIS Q 27006:2018の引用国際規格 ISO 一覧

  • ISO/IEC 27006:2015(IDT)

JIS Q 27006:2018の国際規格 ICS 分類一覧

JIS Q 27006:2018の関連規格と引用規格一覧

ページ