情報セキュリティ管理規程

1. 概要

　当社の情報セキュリティ管理規定（以下「管理規定」という）及び情報セキュリティマニュアル（以下「マニュアル」という）に基づいて、当社の事業活動全般に関わる紙媒体情報、電子媒体情報及びそれらを取扱う情報システムに至る全ての情報資産に対するリスクアセスメントを規定し（2章～3章）、管理策を定める（4章～8章）。本管理規程は、JIS Q 27002の基準を引用する。

1.1 リスクアセスメントの構成

　当社はリスクアセスメントの方法として、詳細リスクアセスメント（資産に対し、「資産価値」、「脅威」、「脆弱性」やセキュリティ要件を識別し評価する）によりリスク対応を行う。本規程では当社が保有する資産のもつリスクを評価し、資産毎のリスクの程度を求める手順を定める。

1.2 管理策の構成

　規格の要求事項の附属書Ａのセキュリティ管理策は4つの箇条で構成されている。93の情報セキュリティ管理策が規定されている。

A.5　組織的管理策

　情報セキュリティ方針、資産の管理、情報セキュリティインシデント対応、供給者管理、事業継続管理、個人情報保護等、組織的な情報セキュリティ管理策が規定されている。

A.6　人的管理策

　雇用管理、教育訓練、秘密保持契約、リモートワーク等の人的な情報セキュリティ管理策が規定されている。

A.7　物理的管理策

　入退管理、装置の管理、媒体の管理、サポートユーティリティの管理、ケーブル配線の管理、施設やオフィスの管理等、物理的な情報セキュリティ管理策が規定されている。

A.8　技術的管理策

　システムのキャパシティー管理、システムの構成管理、システムログの管理、データのバックアップ、システム開発の管理、システム監査の管理、ネットワークの管理、暗号化、技術的脆弱性の管理等、技術的な情報セキュリティ管理策が規定されている。

リスクアセスメント2．資産の特定

2.1 情報資産の洗い出し

　全ての重要な資産を洗い出し資産台帳を作成する。
　資産台帳様式を用いて、情報資産、情報システム資産に分けて資産台帳を「2.3 情報資産台帳の作成」に基づいて作成する。

2.2 情報資産の価値

① 機密性　
　 表2.2の第１判断基準もしくは第２判断基準の何れかの項目に該当する場合当該レベルと判断する。

表2.2　機密性レベルの判断基準

② 完全性　
　 表2.3の第１判断基準もしくは第２判断基準の何れかの項目に該当する場合当該レベルと判断する。

表2.3　完全性レベルの判断基準

③ 可用性　
　 表2.4の第１判断基準もしくは第２判断基準の何れかの項目に該当する場合当該レベルと判断する。

表2.4　可用性レベルの判断基準

 ④資産の価値
　 機密性、完全性、可用性の三つの観点から、表2.2～表2.4及び情報資産の重要度分類一覧を参考に検討し、評価しその中で最も高い値を資産価値として採用する。

2.3 情報資産台帳の作成

2.3.1 情報資産台帳の作成要領

(1) 業務の中でどのような情報資産を使っているか、その情報資産はどこから来て誰が管理して、
　 どのように保管されるかと言った情報資産のライフサイクルを表にまとめる。
(2) 同じ情報資産が複数の部署に記入されることも有る。
(3) １つの情報資産は複数の業務プロセスで使われることも有る、また１つの業務プロセスで複数の情報資産を使うことが有る。
(4) 情報資産の記入単位は詳細に区分することが望ましいが、複数の情報資産であっても
　 同じ業務プロセスの中で処理され、同じように保管される物については「～関連資料」の様にまとめて記入する。
　 ただし、同じ業務プロセスで処理される情報資産であっても、情報資産の価値が異なるものや、保管方法が異なる場合は別々に記入する。
(5) 特に個人情報はライフサイクル（取得―保管―廃棄）を明確にする必要があり、その内容も記述する。

2.3.2 情報資産台帳の記入要領

(1) プロセス　　　　　　　：　主にサービス・業務システムにおけるデータ類（対象となる業務あるいはプロセスの名称）
(2) 情報資産の名称：　　　　　情報資産の名称、種類または個人情報資産の名称、種類
(3) 責任者：　　　　　　　　　責任者またはリスク所有者
(4) 情報分類：　　　　　　　　社外秘、極秘を記入
(5) 資産分類：　　　　　　　 情報資産を保管している媒体の種類
(6) 保管場所/保管期間：　　　 情報資産の保管場所/保管期間を記入する
(7) 処分方法：　　　　　　 　 情報資産の処分方法（廃棄・消去・委託・処分しない）
(8) 機密性、完全性、可用性： 「2.2 情報資産の価値」に基づいて、４～１の価値を振る。

3．リスク値の検討及び対策

　「2.3情報資産台帳の作成」で作成した資産台帳を基に、洗い出した全ての資産を分類し、さらに資産の価値、受ける脅威に対する脆弱性を定量的に評価し、資産の持つリスク値を決定する。

3.1 脅威の評価

　業務上どのような脅威が存在するかを表3.1と脅威と脆弱性一覧を参考に検討し、業務上の経験や統計的測定から脅威の程度を予測する。
　脅威の内容を検討し、脅威の内容の欄に記載する。表3.2脅威の程度は、表3.1脅威に基づき区分し、脅威の程度の欄に記入する。

表3.1　脅威

表3.2　脅威の程度

3.2 脆弱性の評価

　脆弱性の評価は、現在実施されている管理策を考慮して情報資産の持つ弱点を評価する。この際に脅威による攻撃が意図的（計画的）、偶発的脅威、環境的脅威に行われた場合を考慮する。
情報資産の持つ脅威に対する脆弱性の内容を検討し、脆弱性の内容の欄に記載する。脆弱性の程度は表3.3に基づき区分し、脆弱性の程度の欄に記入する。

3.3 リスク値の算出

評価した「資産の価値（脅威の影響度）」「脅威の頻度」「脆弱性の程度」よりリスク値を次の計算で算出する。表3.4にリスク値の計算値を示す。
　　　　リスク値　＝　資産の価値　×　脅威の頻度　×　脆弱性の程度

表3.4　リスク値

　次に、求めたリスク値を目安に対策の要否を決める。重要度が高い情報は脆弱性、脅威がよほど低くない限り何らかの対策が必要である。あるリスク値を閾値と定め、それより大きいリスク値を持つ情報資産に対して対策を検討する。

　　 1－15　：許容する。
　　16－24　：対策を講じるか検討を要する。
　　　25以上 ：対策を要する。

3.4 許容するリスク値の決定

　決定した「許容するリスク値」は作成した各資産台帳のリスク値シートに記入する。
　「許容するリスク値」は　情報資産、情報システムで異なる場合がある。

3.5 リスク管理の選択

　決定した「許容するリスク値」に基づき「3.3リスク値の算出」で算出したリスク値に対して、許容、低減、移転回避のリスク管理を選択する。

表3.5　リスク管理

3.6 リスク対策

　リスク管理の選択で「許容」以外を選択した場合はリスク対策の内容を検討し記載する。
このリスク対策により期待されるリスク値を求め許容するリスク値以内であることを確認する。
採用するリスク対策を定めた後に、リスク対応計画を各情報資産台帳に記入する。

3.7 残留リスク

　「許容するリスク値」以内であっても当然リスクは残っているが、前項のリスク対策を実施しても「許容するリスク値」以内にならない場合やリスク対策が取れない場合、その旨と理由等を残留リスク欄に記載する。

4．リスク分析

4.1 情報資産のリスク分析

(1) それぞれの業務の中で使用されている情報資産に、どのような脅威が存在するか、
　 どのような脆弱性があるか、どのような対策を行えば良いかを業務プロセス毎にまとめる。
(2) 同じ情報資産でも業務プロセスが異なると、脅威の種類、脆弱性も変わってくる。
(3) １つの情報資産に複数の脅威、脆弱性がある場合はその全てを記入する。
(4) それぞれの業務プロセスの中での対策を考える必要がある。
(5) リスクの内容に応じて対策の方針（許容、低減、移転、回避）を決める。

4.2 情報資産台帳への記入

(1) 関連業務：主にサービス・業務システムにおけるデータ類
(2) 情報資産名：情報資産の名称、種類または個人情報資産の名称、種類
(3) 個人情報の有無：〇又は×
(4) 媒体：　電子データ又は紙媒体
(5) 保管場所：クラウド名、又はキャビネット等
(6) アクセス権の分類：アクセス権の付与されている部署等
(7) 機密性レベル：極秘、部外秘、社外秘、公開
(8) 廃棄方法：データ消去、シュレッダー、溶解等
(9) リスク所有者：代表取締役等のトップマネジメント
(10) 備考/委託の有無：
(11) 機密性、完全性、可用性： 「2.2 情報資産の価値」に基づいて、４～１の価値を振る。
(12) 資産の価値×脅威の程度×脆弱性程度＝リスク値
(13) 管理するリスク：3.3リスク値の算出参照。
(14) リスク対策/対策日：対策方法と対策日。リスク対応計画書を参照
(15) 期待される値：リスク対応計画を実施したことによる数値
(16)残留リスク：3.3リスク値の算出参照し、許容、低減、移転、回避を記載
(17) 管理するリスク：分析の結果、そのリスクに対してどう対処するか
　　　① 許容：特に追加対策をとらず、リスクをそのまま受け入れる。（リスク値が低い、脅威が小さい等）
　　　② 低減：対策を施すことで、リスクを許容可能なレベルまで低減する。
　　　③ 移転：契約などにより他の組織にリスクを移転し、当社ではその責を負わない。（外部依託等）
　　　④ 回避：当該業務を実施しない、当該情報資産を保有しない等により、リスクを発生させない。（当該業務を取り止める等）
(18) リスク対策：リスクに対する対策内容
(19) 対策内容：対策の具体的内容の説明
(20) 期待される値
　　　① 脅威の程度：対策の結果、期待される脅威の程度（一般的にリスク対策後に脅威の程度は変わらない）
　　　② 脆弱性の程度：対策の結果、期待される脆弱度
　　　③ リスク値：対策の結果、期待されるリスク値
(8) 残留リスク：許容するリスク値以下に出来ない理由

4.3 リスク対応計画への記入

リスク対応計画：リスク対策の実施計画内容
　① 優先順位：　リスク対策実施優先順位（高、中、低）
　② 対応責任者：リスク対策実施責任者の氏名
　③ 対応予定日：リスク対策実施予定（期限）日
　④ 対策実施日：リスク対策実施完了日
　⑤ 実施担当者：リスク対策実施者の氏名

リスク対応計画は「情報資産台帳」に記載する。

4.4 リスクアセスメントの実施、審議および承認

　以上のリスクアセスメントは、管理責任者が実施する。管理責任者がこれを取締役に報告し、承認を得る。なお、リスクアセスメント実施日は管理責任者の承認日とする。

4.5 リスクアセスメントの見直し

　リスクアセスメントは少なくとも年１回実施する。リスクアセスメントの見直しについても初回同様、代表者の承認を得る。リスクアセスメント見直し実施日は代表者の承認日とする。
　なお、組織変更や業務の変更等によって必要が生じた場合には、管理責任者の判断にて適宜見直しを実施するものとする。

管理目的及び管理策5．組織的管理策

　当該管理策は、組織体制の整備、規定などに従った資産の取り扱いや、アクセス権の付与、委託先の管理、インシデントへの対処や監査などについて規定している。

5.1情報セキュリティのための方針群

　情報セキュリティ方針、及びトピック固有の方針は、これを定義し、管理層が承認し、発行し関連する要員及び関連する利害関係者に伝達し、認識させ、あらかじめ定めた間隔で及び重大な変化（事業所移転、クラウド移行、デバイス導入等）が発生した場合にレビューしなければならない。

　情報セキュリティ方針は、代表取締役が承認し、発行する。

表5.1.1情報セキュリティ方針やトピック固有の個別方針の定義

5.2 情報セキュリティの役割及び責任

　情報セキュリティの役割及び責任は、組織のニーズに従って定め、割り当てなければならない。

　　　① 個々の情報や、情報を保管する資産（情報処理機器など）の保護に対する役割と責任を部門又は人に割り当てる。
　　　　　※ 管理責任者やシステム管理者が該当する

　　　② リスクアセスメントや情報セキュリティインシデントの対応など、各情報セキュリティプロセスについて、役割と責任を部門又は人に割り当てる。
　　　　　※ 管理責任者やシステム管理者、情報システム部が該当する

　　　③ 残留リスクの受容に関する責任など、組織のリスクアセスメントとISMSの方向性を
　　　　 両立できるようにするための経営判断について、役割と責任を部門又は人に割り当てる。
　　　　　※ 経営判断なので、代表取締役がリスク所有者に該当する。

5.3 職務の分離

　相反する職務及び相反する責任範囲は、分離しなければならない。

　　※ 分離を必要とする可能性のある活動事項　　　
　　　 ① システム等の変更の開始、承認、実行　　　　
　　　 ② アクセス権の要求、承認、実施　　　　　　　
　　　 ③ 開発コード設計、実装、レビュー　　　　　　
　　　 ④ ソフトウェアの開発や本番システムの管理　　
　　　 ⑤ アプリケーションの使用と管理　　　　　　　
　　　 ⑥ アプリケーションの使用やデータベースの管理
　　　 ⑦ 情報セキュリティ管理策の設計、監査、保証

5.4 経営陣の責任

　経営陣は、組織の確立された情報セキュリティ方針、トピック固有の方針及び手順に従った情報セキュリティの適用を、全ての要員に要求しなければならない。

a） 組織の情報及びその他の関連資産へのアクセスが許可される前（アクセス権付与前に）に，
　　情報セキュリティの役割及び責任について伝える。（全体ミーティングなどで周知を徹底する）
b） 組織内で，役割を示す指針が提供される。（マニュアルの役割と権限で対応する）
d） 情報セキュリティ目標を一定水準達成する　（達成内容であると思われる）
e） 組織の情報セキュリティ方針及び適切な仕事のやり方を含め，雇用条件，契約又は合意を順守する。（雇用条件を順守させる）
f） 継続的な専門教育を通じて，情報セキュリティに関する適切な技能及び資格を保持し続ける（情報セキュリティ研修で対応する）

5.5 関係当局との連絡

　組織は、関係当局との連絡体制を確立し、維持しなければならない。

関係当局との連絡

5.6 専門組織との連絡

　組織は、情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会団体との連絡体制を確立し、維持しなければならない。

　・ウイルス感染の場合にはIPAへ連絡する。【03-5978-7509】
　・個人情報に関しては個人情報保護委員会（PPC）へ下記のHPにて報告する。
　　https://www.ppc.go.jp/personalinfo/legal/leakAction/連絡する。
　・HPへのアタックされた場合は、JPCERTへ連絡する。【03-6271-8901】
　・ネットワークに関することは、JNSAへ連絡する。【03-3519-6440】

5.7 脅威のインテリジェンス

　情報セキュリティの脅威に関連する情報を収集及び分析し、脅威インテリジェンスを構築しなければならない。

　　脅威インテリジェンス活動事項
　　※ 脅威のインテリジェンスとは、攻撃者の動機、標的、攻撃方法を理解するために組織で収集・分析されたデータのこと。
　　　① ファイアウォール，侵入検知システム，又はマルウェア対策ソリューションなどの技術的な予防及び検知の管理を実施する。
　　　② サイバー攻撃など新たに発生する情報セキュリティの脅威に関連する情報を収集及び分析をして、リスク低減処置を講じることが求められる。

5.8 プロジェクトマネジメントにおける情報セキュリティ

　情報セキュリティをプロジェクトマネジメントに組み入れなければならない。

　　　① プロジェクト開始前に、使用するソフトやアプリケーションのセキュリティ対策をヒア
リングする。
　　　② アクセス権を与えるプロセスや、ログの取得・監視、情報漏洩の検知に関することを行
っているか
　　　③知的財産権を順守するように周知徹底しているか

5.9 情報及びその他の関連資産の目録

　情報及びその他の関連資産の目録を、それぞれの管理責任者を含めて作成し、維持しなければならない。

　当社の情報資産は、すべて何らかの業務上の必要性に基づいて保有していることから、業務の流れを参照しながら情報資産を『情報資産台帳』に記載する。
　　　情報資産管理台帳の記載項目
　　　　①情報資産の名称
　　　　②情報資産の分類
　　　　③情報資産の管理責任者
　　　　④情報資産の場所（情報やデータであれば保管場所、方法、期間などを含む）
　　　　⑤情報資産の重要度（情報やデータであれば社外秘情報や部外秘情報などの情報の分類）

　情報資産台帳はマネジメントレビューにおいて見直された残留リスク及び受容可能なリスク水準に基づき見直し、リスクアセスメントも実施しなおす。
　また、見直しがない場合にも確認の意味で、前回の制定、改定、見直しより１年以内で見直しを実施する。この結果は残留するリスクを含めて代表取締役等の承認を得る。

5.10 情報及びその他の関連資産の許容される利用

　情報及びその他の関連資産の許容される利用に関する規則及び取扱手順は、明確にし、文書化し、実施しなければならない。

表5.10　情報資産の取扱い

5.11 資産の返却

　要員及び必要に応じてその他の利害関係者は、雇用、契約又は合意の変更又は終了時に、自らが所持する組織の資産の全てを返却しなければならない。

　　※ エクセルで担当者ごとにまとめて管理している。
　　※ 顧客の名刺の返却も実施し、シュレッダーにかけている。

5.12 情報の分類

　情報は、機密性、完全性、可用性及び関連する利害関係者の要求事項に基づく組織の情報セキュリティのニーズに従って、分類しなければならない。
※ 表2.2に分類を示す。

　　情報の機密性の分類体系は，次のような４つのレベルに基づく。
　　　a）開示されても損害が生じない。（公開）
　　　b） 開示された場合に，評判がやや損ねられる又は軽微な運用の不都合が生じる。（社外秘）
　　　c） 開示された場合に，運用又は業務上の目的に対して重要な短期的影響が及ぶ。（部外秘）
　　　d） 開示された場合に，長期の業務上の目的に対して深刻な影響が及ぶ，又は組織の存続が危機にさらされる。（極秘）

5.13 情報のラベル付け

　情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施しなければならない。

5.14 情報の転送

　情報の転送の規則、手順又は合意を、組織内及び組織と他の関係者との間の全ての種類の転送手段に関して備えなければならない。

※ 社内サーバを介して行う。

　口頭による連絡も対象に含まれる
　電話やリモート会議など口頭で情報を伝達する場合の保護については、下記のような対策を実施する。
　　　①公共の場所や安全でないネットワークを通じての口頭での秘密会話は行わない。
　　　②秘密情報を含んだメッセージを留守番電話や音声メッセージ、録音しない。
　　　③会議する場所は、適切なレベルで音や遮断（防音やドアを閉める）する。

5.15 アクセス制御

　情報及びその他の関連資産への物理的及び論理的アクセスを制御するための規則を、事業上及び情報セキュリティの要求事項に基づいて確立し、実施しなければならない。

　　　※ ネットワークやネットワークサービスへのアクセスは下記を明らかにする。
　　　　①管理するネットワークやサービスを明確にして、アクセスを保護するための運用管理手順を明確にする。
　　　　②ネットワークへのアクセス手段（VPNや無線を含む）や暗号化など、用いる管理策を明確にする。
　　　　③安全なネットワークへの接続サービスへのアクセス認可手順（認証方法）を採用する
　　　　④ログ取得の必要性、取得内容を明確にする。

5.16 識別情報の管理

識別情報のライフサイクル全体を管理しなければならない。

　　　　① 不要な利用者IDは、即座に無効化又は削除する。
　　　　② 定期的に利用者IDを見直し、適宜、無効化又は削除する。
　　　　③ 重複する利用者IDを発行しないことを確実にする。

5.17 認証情報

　認証情報の割当て及び管理は、認証情報の適切な取扱いについて要員に助言することを含む管理プロセスによって管理しなければならない。

パスワード管理システム
　① パスワードは，最初のログイン時に利用者に変更させるようにする。
　② 必要に応じて，例えばセキュリティインシデントの後に，
　　 パスワードを知っている利用者の雇用の終了若しくは変更の時に，パスワードを変更させるようにする。
　③ 以前のパスワードの再利用を防止する。
　④ パスワードは，入力時に，画面上に表示しないようにする。
　⑤ パスワードは，保護した形態で保存し，伝達する。
　⑥ パスワードの頻繁な変更を要求すると，利用者が頻繁な変更に悩まされる，
　　 新しいパスワードを忘れる，安全でない場所に書き留める，又は安全でないパスワードを選択する可能性があるため，問題を生む可能性がある。

　※ パスワードの自動生成、8文字以上3キャラクター以上等、パスワードの更新の有無。

5.18 アクセス権

　情報及びその他の関連資産へのアクセス権は、組織のアクセス制御に関するトピック固有の方針及び規則に従って、提供、レビュー、変更及び削除しなければならない。

　　※ アクセス権のレビュー時期
　　① 利用者のアクセス権を、定期的な間隔、及び異動、退職、契約期間の終了があった場合に見直す。
　　② 利用者の役割が組織内で変更された場合（一般利用者から管理者への任命）そのアクセス権について見直す。
　　③ 特権的アクセス権は、利用者のアクセス権よりも頻繁に見直す。
　　④ 認可されていない特権が設定されていないかを定期的に確認する。
　　⑤ 特権IDの変更は、定期的に見直すために記録を残す。

　　アクセス権のレビュー
　　　　管理責任者は、1年に1回以上当社の情報システムまたはネットワークサービスに
　　　対するアクセス権を見直し、必要に応じて変更するものとする。
　　　役員・正社員の雇用、契約又は取決めの終了時には、管理責任者は速やかに削除する。

5.19 供給者関係における情報セキュリティ

　供給者の製品又はサービスの利用に関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め、実施しなければならない。

　組織の情報の機密性，完全性及び可用性に影響を与える可能性のある供給者の種類（ICT サービス，物流，公益事業，金融サービス）の特定及び文書化
（外注先の一覧などを作成して、情報セキュリティリスクを管理する）

　リスクを軽減するための情報セキュリティ要求事項について供給者と合意し、「秘密保持契約書」を取り交わす。

5.20 供給者との合意における情報セキュリティの取扱い

　供給者関係の種類に応じて，関連する情報セキュリティ要求事項を確立し，各供給者と合意しなければならない。

　　合意事項には、以下のようなものが含まれる。「機密保持契約書」の締結
　　　　① 供給者の提供、アクセスされる情報と提供又はアクセスの方法
　　　　② インシデント発生時の手順、責任や義務
　　　　③ 再委託に関する事項
　　　　④ 供給者に対する監査の権利
　　　　⑤ 供給者との契約終了時の処置

供給者へのアクセス権
　当社の情報システムへ第三者がアクセスすることを許可する場合には、業務の責任者が必要なセキュリティ要求事項を検討し、要求事項を全て含んだ契約書を作成し、代表取締役の許可を得て正式に契約する。

5.21 情報通信技術（ ICT ）サプライチェーンにおける情報セキュリティの管理

　CT製品及びサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め，実施しなければならない。

※ 供給者と合意し、契約書や機密保持誓約書へ文書化しなければならない。

5.22 供給者のサービス提供の監視、レビュー及び変更管理

　組織は，供給者の情報セキュリティの活動及びサービス提供の変更を定常的に監視し，レビューし，評価し，管理しなければならない。

　　　① サービスレベル合意書（SLA）などに基づくパフォーマンスレベルの監視
　　　② 定期的な進捗会議やインシデント情報のレビュー
　　　③ 災害時などのサービスの継続性のレビュー

委託先の監督
　業務担当者は、委託先が提供するサービスの取り決めに含まれるセキュリティ管理策、サービスの定義、及び提供のレベルを、委託先が確実に実施、運用、維持していることを監視しなければならない。委託先が再委託をしている場合は、委託先にも再委託先に対し同等の監視をすることを義務付け、業務担当者は、委託先が確実に監視しているかのチェックしなければならない。

5.23 クラウドサービスの利用における情報セキュリティ

　クラウドサービスの調達，利用，管理及び利用終了のプロセスを，組織の情報セキュリティ要求事項に従って確立しなければならない。

クラウドサービスの利用に伴う情報セキュリティリスクを管理する方法を定義し，伝達する
　① クラウドサービスの選定基準及びクラウドサービス利用の範囲
　② クラウドサービスの利用に関連して発生する情報セキュリティインシデントを取り扱うための手順
　③ 情報セキュリティリスクを管理するため，クラウドサービスの継続的な利用を監視，レビュー及び評価するための組織の取組
　④ 組織の要求事項を満たすためにクラウドサービスのアクセス制御を管理する。
　⑤ マルウェア監視及び保護ソリューションを実施する。
　⑥ クラウドサービスカスタマとして行動する組織が利用するクラウドサービスプロバイダが提供する
　　 機能に基づいて，データ及び構成情報の必要なバックアップを提供し，該当する場合にセキュリティを保った方法でバックアップを管理する。

※ クラウドサービスプロバイダ（コンピューティング能力、データ ストレージ、
　 アプリケーションなどのオンデマンドでスケーラブルなコンピューティング リソースを提供する企業）の対策として下記を含める。
　　　① インシデントが発生した場合に支援を提供する。
　　　② クラウドサービスを外部の供給者に委託する場合に、組織のセキュリティ要求事項が満たされていることを確実にする。（または委託を禁止する）
　　　③ デジタル証拠を収集する。
　　　④ クラウドサービスを終了したいときに、適切な時間、適切な支援を提供する。
　　　⑤ バックアップ機能を提供し、管理する。
　　　⑥ クラウドサービス終了時にクラウドサービスカスタマが管理するデータを返却する。

5.24 情報セキュリティインシデント管理の計画策定及び準備

　組織は，情報セキュリティインシデント管理のプロセス，役割及び責任を定め，確立し，伝達することによって，情報セキュリティインシデント管理を計画し，準備しなければならない。

　　① 連絡先を含む，情報セキュリティ事象を報告するための共通の方法を確立する（6.8 参照）。
　　② 管理，文書化，検知，トリアージ，優先順位付け，分析，伝達及び利害関係者の調整を含む，
　　　 組織が情報セキュリティインシデントを管理する機能を備えるためのインシデント管理プロセスを確立する。
　　③ 情報セキュリティインシデントを評価し，それに対応し，そこから学習する機能を組織が備えるためのインシデント対応プロセスを確立する。
　　　（周知や教育を実施する）
　　④ 組織内で，情報セキュリティインシデントに関連する事項は，力量のある要員だけが取り扱えるようにする。
　　　※ インシデント報告書の運用状況などをヒアリングする
　　⑤ インシデント管理活動のログ取得
　　⑥ 証拠の取扱い（5.28 参照）

　　「マルウェア感染に関する対応計画」

5.25 情報セキュリティ事象の評価及び決定

　組織は，情報セキュリティ事象を評価し，それらを情報セキュリティインシデントに分類するか否かを決定しなければならない。

※ リスク対応計画、マルウェア感染の手順書で対応する。

5.26 情報セキュリティインシデントへの対応

　情報セキュリティインシデントは，文書化した手順に従って対応しなければならない。

　※リスク対応計画、マルウエア感染の手順書で対応する。
　　　情報セキュリティインシデントの発生後，できるだけ速やかに証拠（5.28 参照）を収集する。
　※ インシデント報告書で対応する。
　　　① 必要に応じて，危機管理活動及び場合によっては事業継続計画の発動を含む
　　　　 段階的取扱い（escalation）を行う（5.29 及び 5.30 参照）。
　　　② 後で行う分析のために，関連する全ての対応活動を適正に記録することを確実にする。
　　　③ 知る必要性の原則に従って全ての関連する内部及び外部の利害関係者に対し，
　　　　 情報セキュリティインシデントの存在又は関連するその詳細を伝達する。
　※ 周知や、情報セキュリティ研修を実施する。
　　　④ 必要に応じて，情報セキュリティの法的分析を実施する（5.28 参照）。
　　　⑤ 根本原因を特定するために，インシデント後の分析を実施する。
　　　　 それが定められた手順に従って文書化され，伝達されることを確実にする（5.27 参照）。

5.27 情報セキュリティインシデントからの学習

　情報セキュリティインシデントから得られた知識は，情報セキュリティ管理策を強化し，改善するために用いなければならない。

5.28 証拠の収集

　組織は，情報セキュリティ事象に関連する証拠の特定，収集，取得及び保存のための手順を確立し，実施しなければならない。

　盗難・不正アクセス等犯罪による可能性が高いインシデントが発生した場合の手順
　　(1) 警察などへの連絡
　　(2) インシデント関連施設の証拠保全
　　(3) 情報システムのログ管理
　　(4) インシデント関連施設利用の停止、あるいは証拠保全に影響のない利用
　　(5) 現場の撮影

5.29 事業の中断・阻害時の情報セキュリティ

　組織は，事業の中断・阻害時に情報セキュリティを適切なレベルに維持する方法を計画しなければならない。（情報資産の保護）

5.30 事業継続のためのICTの備え

　事業継続の目的及びICT継続の要求事項に基づいて，ICTの備えを計画，実施，維持及び試験しなければならない。

表5.30事業影響度分析/リスク分析・評価表

表5.30 　業務システムの復旧手順チェックリスト

5.31 法令、規制及び契約上の要求事項

　情報セキュリティに関連する法令，規制及び契約上の要求事項，並びにこれらの要求事項を満たすための組織の取組を特定し，文書化し，また， 最新に保たなければならない。

　管理責任者は、必要な法令規制等を特定し、必要な人が常に最新版を閲覧出来るようにしておく。
「付表6順守法令」

5.32 知的財産権（IPR）

　組織は，知的財産権を保護するための適切な手順を実施しなければならない。

　　① ソフトウェア製品及び情報製品の知的財産権、使用許諾条件の順守を管理するための方針を
　　　 明確にし、認可されたソフトウェアだけが導入されていることをレビューする。
　　② 著作権を侵害しないために、ソフトウェアは、定評のある供給元から取得し、使用条件を順守する。
　　③ 要員に知的財産権の保護に対する認識を持たせる。
　　④ ライセンスなどの知的財産権について登録簿を維持・管理し、許可された利用者数を超過しないことを確実にする。
　　　 また、使用許諾の証明及び証拠を維持・管理する。

5.33 記録の保護

　記録は，消失，破壊，改ざん，認可されていないアクセス及び不正な流出から保護しなければならない。

※ 記録の保護について、下記を考慮することが望ましい。
　 ① 組織の分類体系（極秘、秘、社外秘など）に基づいて、その記録に適用される保護を決定する。
　 ② 保持する記録と保管期間を明確にして、管理する。具体的な記録には次のようなものが考えられる。
　 ③ 会計記録、データベース記録、トランザクションログ、監査ログなどや、媒体の種類によって記録を分類する。
　 ⑤ 記録媒体が将来の技術変化によって読み出しできなくなることを防ぐために、
　　 保管期間を通じてデータにアクセスできることを確実にする。
　 ⑥ 保護する記録は、保管先、保管期間、保管期間終了後の破棄方法を明確にする。

　重要な記録は「情報セキュリティマニュアル7.5文書化した情報」に従い消失、破壊及び改ざんから保護する。

5.34 プライバシー及び個人を特定できる情報（PⅡ）の保護

　組織は，適用される法令，規制及び契約上の要求事項に従って，プライバシーの保護（preservation）及びPIIの保護（protection）に関する要求事項を特定し，満たさなければならない。

　※ この管理策は個人情報の保護に関する手順の確立を意図している。
　　　① 個人情報の利用目的の特定と、通知、合意又は公表の手順
　　　② 個人情報の適正な取得手順
　　　③ 個人情報の目的外利用を防止するための手順
　　　④ 個人情報の本人の権利を確保するための手順（開示、訂正、削除、利用停止等）
　　　⑤ 個人情報の本人からの個人情報の取扱いに関する苦情の受付及び対応のため　
の手順
　　　※ 個人情報保護方針

5.35 情報セキュリティの独立したレビュー

　人，プロセス及び技術を含む，情報セキュリティ及びその実施の管理に対する組織の取組について，あらかじめ定めた間隔で，又は重大な変化が生じた場合に，独立したレビューを実施しなければならない。

　※ レビューの対象となる領域から独立した実施が望ましい（ISMS内部監査等）
　　　① 組織のISMSの適用範囲から独立した管理者
　　　② 組織のISMS内部監査部門に所属する内部監査員
　　　③ このようなレビューを専門とする外部の第三者機関

5.36 情報セキュリティのための方針群、規制及び標準の順守

　組織の情報セキュリティ方針，トピック固有の方針，規則及び標準を順守していることを定期的にレビューしなければならない。

　※ ISMS内部監査でレビューを実施する。

5.37 操作手順書

　情報処理設備の操作手順は，文書化し，必要とする要員に対して利用可能にしなければならない。

　操作手順には，次の事項を明記することが望ましい。
　　a） 責任者
　　b） システムのセキュリティに配慮した導入及び構成
　　c） 情報の処理及び取扱い（自動化されたもの及び手動によるものを含む。）
　　d） バックアップ（8.3 参照）及び対応力
　　g） 操作上又は技術上の不測の問題が発生した場合の，外部のサポート用連絡先を含む，
　　　　サポート用及び段階的取扱い（escalation）用の連絡先
　　h） 記憶媒体の取扱いに関する指示（7.10 及び 7.14 参照）
　　i） システムが故障した場合の再起動及び回復の手順
　　j） 監査証跡及びシステムログ情報（8.15 及び 8.17 参照）並びにビデオ監視システム（7.4 参照）の管理
　　k） 容量・能力，パフォーマンス及びセキュリティなどの監視手順（8.6 及び 8.16 参照）
　　l） 保守手順

6．人的管理策

　要員になる全ての候補者についての経歴などの確認は，適用される法令， 規制及び倫理を考慮に入れて，組織に加わる前に，及びその後継続的に行わなければならない。また，この確認は，事業上の要求事項，アクセスされる情報の分類及び認識されたリスクに応じて行わなければならない。

　① 応募者の履歴書の確認（完全であるか及び正確であるかの確認）
　② 提示された学術上及び職業上の資格の確認
　③ 公的証明書（運転免許証等）の確認
　④ 候補者が，情報セキュリティに関するその役割を果たすために必要な力量を備えている。

6.2 雇用条件

　雇用契約書には，情報セキュリティに関する要員及び組織の責任を記載しなければならない。

　要員の契約上の義務は，次の事項を明確にする。
　　a) 秘密情報へのアクセスが与えられる全ての要員が情報及び関連資産へのアクセスが
　　　 与えられる前に署名することが望ましい秘密保持契約書又は守秘義務契約書（6.6 参照）
　　b) 法的な責任及び権利［例えば，著作権法，データ保護に関連して制定された法律（5.32 及び 5.34 参照）に関するもの］（付表　順守法令）
　　c) 情報の分類，並びに要員によって扱われる組織の情報及びその他の関連資産，情報処理施設及び
　　　 情報サービスの管理に関する責任（5.9 及び 5.13 参照）（情報資産台帳）
　　d) 利害関係者から受け取った情報の扱いに関する責任　（就業規則62条の懲罰規定）
　　e) 要員が組織のセキュリティ要求事項に従わない場合にとる処置（6.4 参照）（就業規則62条の懲罰規定）

　適切であれば，雇用の終了後も，定められた期間は，その雇用条件に含まれている責任を継続させることが望ましい（6.5 参照）。（退職後の機密保持誓約書の締結）

6.3 情報セキュリティの意識向上、教育及び訓練

　組織の要員及び関連する利害関係者は，職務に関連する組織の情報セキュリティ方針，トピック固有の方針及び手順についての，適切な，情報セキュリティに関する意識向上プログラム，教育及び訓練を受けなければならず，また，定常的な更新を受けなければならない。

　　① 情報セキュリティルール及び義務に関する重要性やコンプライアンスの必要性
　　　（各方針、法令規制要求事項、契約上の義務を考慮した上で）
　　② 自らしなければならないこと、してはならないことに対する自信の責任
　　③ 基本的な情報セキュリティルール（インシデント報告など）や基本的な管理策
　　　（パスワード管理、マルウェア対策、クリアスクリーンなど）

6.4 懲戒手続

　情報セキュリティ方針違反を犯した要員及びその他の関連する利害関係者に対して処置を講じるために，懲戒手続を正式に定め，伝達しなければならない。

　経営陣及び従業者の方針、マニュアルから指定される各規程等への違反は「就業規則62条」により懲戒される。 　　　　
※ 利害関係者に対する処置は、契約書、機密保持誓約書等の規定により懲戒を実施する。

6.5 雇用の終了又は変更後の責任

　雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め，施行し，関連する要員及びその他の利害関係者に伝達しなければならない。

※ 管理策としては、雇用契約書、又秘密保持契約又は守秘義務契約の契約書に、雇用契約終了後
　 または職務変更後も、秘密保持（守秘義務）が引き続き有効である旨を記載し、締結することなど。
　 （退職時の機密保持誓約書を締結する）

6.6 秘密保持契約又は変更後の責任

　情報保護に対する組織のニーズを反映する秘密保持契約又は守秘義務契約は，特定し，文書化し，定常的にレビューし，要員及びその他の関連する利害関係者が署名しなければならない。

6.7　リモートワーク

　組織の構外でアクセス，処理又は保存される情報を保護するために，要員が遠隔で作業をする場合のセキュリティ対策を実施しなければならない。

6.8 情報セキュリティ事象の報告

　組織は，要員が発見した又は疑いをもった情報セキュリティ事象を，適切な連絡経路を通して時機を失せずに報告するための仕組みを設けなければならない。

　※ マルウェアの体系図や、情報漏洩の体系図
　※ 情報セキュリティ事象報告の対象となる状況。
　　　① 効果のない情報セキュリティ管理策
　　　② 情報の機密性、完全性、可用性に関する期待に反する違反
　　　③ ヒューマンエラー
　　　④ 情報セキュリティ方針を含む各方針又は適用される基準の不順守
　　　⑤ 物理的なセキュリティ対策に対する違反
　　　⑥ 変更管理プロセスを経ていないシステムの変更
　　　⑦ ソフトウェアやハードウェアの誤作動やその他のシステムの異常な動作
　　　⑧ アクセス違反
　　　⑨ 脆弱性　　
　　　⑩ マルウェアへの感染

　※ 情報セキュリティ事故やそれに準ずる（疑わしい場合も含む）インシデントを発見、あるいは
　　 質問の問い合わせを受けた役員または従業者は、定められた報告経路に基づき、速やかに
　　 代表取締役に報告を行い、指示通りに対応するものとし、報告内容は、「インシデント報告書」に
　　 もれなく記載しなければならない。

7．物理的管理策

7.1 物理的セキュリティ境界

　情報及びその他の関連資産のある領域を保護するために，物理的セキュリティ境界を定め，
かつ，用いなければならない。

7.2 物理的入退

　セキュリティを保つべき領域は，適切な入退管理策及びアクセス場所

　※ オフィスへの入退管理策を実施する。
　　　① 物理的なICカードやシステム的な認証による入退管理
　　　　　　出入口を解除して入退出来る鍵は数を制限し、限られた社員（代表者によって指名された
　　　　　　者）が保持し、退職時には確実に返却させるよう管理責任者が管理する。
　　　② 執務エリアやサーバ室への入退は、認可された者だけに制限する。
　　　③ 要員の入退記録の保持
　　　④ 外来者の入退記録の保持
　　　　　　顧客等の来社に対しては、社員が出入口まで送迎対応し、対応はミーティングスペースで
　　　　　　行う。入室する顧客等は担当者が許可した者のみとする。
　　　⑤ 荷物の受け渡し場所の設置（セキュリティエリアから離れた）
　　　⑥ 持ち込み及び持出しの確認（特にセキュリティエリアなど）

　■ 訪問者の入室・退室手続及び識別
　　　訪問者が入退できるのは、原則、ミーティングスペースまでとする。
　　　アポイント無く、やむを得ず会社施設(執務スペース)入室する場合は従業者の立会いの下同行し目を離さないようにする。
　　　※ 物理的セキュリティ境界において考慮すべき事項
　　　　　① 外来者が制限なく立ち入ることができる範囲（フリーエリアなど）
　　　　　② 社員の帯同があれば、外来者が立ち入ることができる範囲
　　　　　③ 社員の帯同があれば、外来者が立ち入ることができない範囲　　　　
　　　　　④ 社員であっても、特定の許可を受けたものしか立ち入ることができない範囲

7.3 オフィス、部屋及び施設のセキュリティ

　オフィス，部屋及び施設に対する物理的セキュリティを設計し，実装しなければならない。

　　① 業務内容を示す表示は最小限にする。
　　② 情報処理活動の存在を示すものは、建物の内外を問わず表示しない。
　　③ 執務室内の外来者の動線の適正化　　　
　　④ ミーティングスペースでのホワイトボードの消し忘れや書類の置き忘れを防止するための明示やルールの確立

7.4 物理的セキュリティの監視

　施設は，認可していない物理的アクセスについて継続的に監視しなければならない。

　　① 監視カメラの設置
　　② 不正侵入者の検知、警報システムの設置

　　※ 監視システムの定期的なテスト、監視システムの設計書や配置図の保管。
　　※ 物理的なアクセスを継続して監視する仕組みを構築しているか。
　　※ 監視カメラなどを活用して、不正アクセス、不要な動作を監視できるような仕組みを準備できるか。
　　※ 監視映像記録などを保存して、必要に応じて見返せるか。

7.5 物理的及び環境的脅威からの保護

　自然災害及びその他の意図的又は意図的でない，インフラストラクチャに対する物理的脅威などの物理的及び環境的脅威に対する保護を設計し，実装しなければならない。

　※ 管理策の対応策
　　① 施設の耐震（免震及び制震を含む）対策
　　② 火災報知器の設置
　　③ 消火設備の設置（特に重要なシステムを管理する場所では、消化ガスを考慮）
　　④ 重要なシステムや装置の転落防止
　　⑤ 適切な標高，水域及び構造断層線など，現地の地形、洪水　（ハザードマップ）

7.6 セキュリティを保つべき領域での作業

　セキュリティを保つべき領域での作業に関するセキュリティ対策を設計し，実施しなければならない。

　※ ICカードにてセキュリティ管理を実施している。
　　　① セキュリティを保つべき領域が無人のときは，物理的に施錠し，定期的に検査する。
　　　② 画像，映像，音声又はその他の記録装置（例えば，利用者終端装置に付いたカメラ）は，
　　　　 認可されたもの以外は許可しない。
　　　③ 見やすいように又はアクセスできるように緊急手順を掲示する。

　※ 管理策の管理策
　　　① セキュリティエリアの未使用時の施錠
　　　② セキュリティエリアへの持ち込み禁止品
　　　　 セキュリティーツールによりUSBの作動を検知実施。
　　　　 研修生にもセキュリティーツールによる監視。
　　　③ セキュリティエリアの使用時の申請
　　　④ セキュリティエリアでの作業の立ち合い又は監視
　　　⑤ セキュリティエリアでの作業者の記録（作業内容、開始時間、終了時間）

7.7 クリアデスク・クリアスクリーン

　書類及び取外し可能な記憶媒体に対するクリアデスクの規則，並びに情報処理設備に対するクリアスクリーンの規則を定め，適切に実施させなければならない。

　　① 重要な業務情報や可搬媒体などの規定された場所での保管（机上の放置防止）
　　② 離席時のPCのログオフ又はスクリーンセイバーの設定
　　③ プリントアウトの認証機能をもつプリンタの利用（印刷物の置き忘れ防止）
　　④ ミーティングスペースでのホワイトボードの消し忘れや書類の置き忘れを防止するための明示やルールの確立

7.8 装置の設置及び保護

　装置は，セキュリティを保って設置し，保護しなければならない。

　　※ 管理策の対応策
　　　　① のぞき見を防止するための装置の設置
　　　　② 地震などに対する転倒防止
　　　　③ 執務室内での飲食に関するルールの確立
　　　　④ 火災報知器、消火器や監視カメラの設置
　　　　⑤ サーバラックの設置、及び施錠

【考慮すべきリスク】
　① 窃盗、②地震・火災、③過度の発熱・煙、④水、⑤ほこり、⑥落下等による衝撃・振動
　⑦ 化学物質、⑧電源障害、⑨電磁放射線、⑩設置区域（認可されていないアクセス）
　⑪ その他、情報機器の動作に関わる機器の障害、⑫損傷/傍受（LANケーブル等の損傷）
　⑬ 情報機器を会社施設外に持ち出す場合の盗難、損傷

7.9 構外にある資産のセキュリティ

　構外にある資産を保護しなければならない。

　　※ 外出先、移動中、在宅勤務など、本来の使用場所から持ち出した装置や媒体について
　　　　① 持ち出した装置及び媒体は、公共の場所に無人状態で放置しない。
　　　　② 装置の保護は、製造業者の指示を常に守る。
　　　　③ 構外にある装置を移動する場合には、受渡記録を作成する。
　　　　　 また、装置内の情報で移動する必要のない情報は、移動前に削除しておく。
　　　　④ 構外に装置及び媒体を搬出する場合は許可を必要とし、記録を残す。
　　　　⑤ 公共交通機関において、PC等の情報を見ること、のぞき見に関するリスクに対策をとる。
　　　　⑥ 装置の維持追跡、遠隔データ消去機能を実装する。
　　　　⑦ 落下時の破損を防止する対策
　　　　⑧ 使用場所の制限（強い電磁場、水、熱、湿気、埃からの保護から）

　会社貸与及び個人所有の携帯電話・スマートフォンの取扱について
　　・盗難・紛失等を考慮し、パスワード設定等のセキュリティを必ず設定すること。
　　・不特定多数の人間がいる場所（例：駅、公共の場所、レストラン等）での機密情報等の情報レベルが高い通話は禁止する。
　　・私用での通話は原則禁止する。
　　・ウィルス対策ソフトをインストールすること。
　　・信頼されないアプリケーションをインストールしないこと。

7.10 記憶媒体

　記憶媒体は，組織における分類体系及び取扱いの要求事項に従って， その取得，使用，移送及び廃棄のライフサイクルを通して管理しなければならない。

　　※ ① 管理対象となる媒体を特定して、利用範囲や保管場所などを明確にし、「媒体管理台帳」を作成し、変更があれば更新する。
　　　 ② 認可されていない媒体の利用を禁止する。
　　　 ③ 事前の許可なしに構外に持ち出さないなど、外部への媒体の持ち出しを管理する。
　　　 ④ 持ち出し期限を定め、返却されたかを確認し、記録を残す。
　　　　 持ち出し機関が長期間にわたる場合や、本来の保管場所が変更となる場合は、リスクアセスメントで作成する情報資産台帳の変更やリスクの見直しをする。
　　　 ⑤ 重要な情報が保存されている媒体は暗号化などを行う。
　　　 ⑥ 情報が保存されている媒体の安全な保管方法を明確にする。
　　　 ⑦ 媒体の安全な処分方法を決めて安全に処分する。また、必要に応じても記録も残す。
　　　 ⑧ 媒体の処分を委託する場合は、適切な管理と処分ができる委託先を選定する。

　取外し可能な記憶媒体は「媒体管理台帳」を作成し、管理・保管すること。「媒体管理台帳」に登録されてないものの持込みは原則として禁止する。

媒体の処分
　記憶媒体による情報の移送が終了したら直ちにその内容物を削除または記憶媒体自体を物理的に処分しなければならない。また、HDD及びサーバ―については、セキュリティに備えて物理的破壊または委託廃棄等を実施する。また、紙媒体についてはシュレッダーを利用するか、溶解処理業者に回収、廃棄を委託し、廃棄証明を発行してもらう。

物理的媒体の輸送
　情報を格納した電子媒体は輸送の途中における、認可されていないアクセス、不正使用または破損から保護するため、信頼できる輸送機関、運送業者を用い、適切に梱包する。

7.11 サポートユーティリティ

　情報処理施設・設備は，サポートユーティリティの不具合による，停電，その他の中断から保護しなければならない。

　　※ 管理策の対応策
　　　 電源の多重化

7.12 ケーブル配線のセキュリティ

　電源ケーブル，データ伝送ケーブル又は情報サービスを支援するケーブルの配線は，傍受，妨害又は損傷から保護しなければならない。

　　※ 管理策の対応策
　　　　① ケーブル保護モールの使用
　　　　② フリーアクセスフロアの採用（床下に電源や通信用のケーブルを配線）
　　　　③ ケーブルを保護するための電磁シールド使用
　　　　④ ケーブルへの不正検知装置の設置（認可されていない装置の接続の検知）

7.13 装置の保守

　装置は，情報の可用性，完全性及び機密性を維持することを確実にするために，正しく保守しなければならない。

　　※ 管理策の対応策
　　　 自社で保守をしている。

7.14 装置のセキュリティを保った処分又は再利用

　記憶媒体を内蔵した装置は，処分又は再利用する前に，全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること，又はセキュリティを保てるよう上書きしていることを確実にするために，検証しなければならない。

　　※ 管理策の対応策
　　　　① 専門のソフトウェアを用いたセキュアなプログラムやデータの消去（廃棄及び再利用の場合）
　　　　② ディスクの物理的な破壊（廃棄の場合）
　　　　③ 専門の廃棄業者への委託（廃棄の場合）
　　　　④ 専門の廃棄業者を評価し、選定するための基準及び手順の確立
　　　　⑤ 専門の廃棄業者との、情報セキュリティ要求事項を含んだ契約の締結

■ 情報関連機器の廃棄
　　情報関連機器の廃棄に関しては、各機器の推奨されている方法に従い正しく廃棄するものとする。　
　内部に情報又はアプリケーションが含まれている機器に関しては、情報やアプリケーションの復元が
　不可能な方法で情報を消去する。

■ 情報関連機器の再利用
　　重要情報が保持されている情報関連機器を再利用する場合は、再利用の環境に応じて情報関連機器
　廃棄時と同様に、情報及びアプリケーションを復元不可能な状態にしなければならないものとする。

8．技術的管理策

8.1 利用者エンドポイント機器

　利用者エンドポイント機器に保存されている情報，処理される情報，又は利用者エンドポイント機器を介してアクセス可能な情報を保護しなければならない。

　　※ 管理策の対応策
　　　　① ソフトウェアのインストールの制限やソフトウェアのアップデートによる最新化
　　　　② 物理的なポート（USBポートなど）の利用無効化
　　　　③ Webサービスやネットワークへの接続制限
　　　　④ ストレージデバイスの暗号化
　　　　⑤ マルウェアからの保護対策
　　　　⑥ 遠隔操作によるデバイスの無効化、データの消去又はロック

8.2 特権的アクセス権

　特権的アクセス権の割当て及び利用は，制限し，管理しなければならない。

　　※ 管理策の対応策
　　　　① 特権的アクセス権の認可プロセスの確立
　　　　② 特権的アクセス権の必要最小限の割り当て
　　　　③ 割り当てた特権的アカウントの記録の保持
　　　　④ 特権的アカウントによるログイン状況や実施した活動のログ情報の監視
　　　　⑤ 定期的な特権的アクセス権の割り当て状況の妥当性のレビュー
　　※ サーバ等の管理者権限は管理責任者の承認事項とし、必要最小限の者に制限し管理する。

8.3 情報へのアクセス制限

　情報及びその他の関連資産へのアクセスは，確立されたアクセス制御に関するトピック固有の方針に従って，制限しなければならない。

　　アクセス制限への対策内容
　　　1．利用者がアクセスできるデータを制限する。
　　　2．利用者（読み出し、書き込み、削除、実行）を制御する。
　　　3．アプリケーションへのアクセス権を制御し、出力する情報（閲覧できる情報）を制御する。
　　　4．取り扱いに慎重を要するアプリケーションやシステムを物理的または論理的に隔離して、
　　　　 アクセスを制限する。

8.4 ソースコードへのアクセス

　ソースコード，開発ツール，及びソフトウェアライブラリへの読取り及び書込みアクセスを適切に管理しなければならない。

8.5 セキュリティを保った認証

　セキュリティを保った認証技術及び手順を，情報へのアクセス制限，及びアクセス制御に関するトピック固有の方針に基づいて備えなければならない。

8.6 容量・能力の管理

　現在の及び予測される容量・能力の要求事項に合わせて，資源の利用を監視し，調整しなければならない。

8.7 マルウェアに対する保護

　マルウェアに対する保護を実施し，利用者の適切な認識によって支援しなければならない。

　　　※ 管理策の対応策
　　　　　ウイルスバスターを導入。
　　　　　VPN回線、フォーバルのを使用している。
　　　　　将来的にはVPNをとしてしかアクセスできない。
　　　　　UTMでネットワークを防御できる。

　　　※マニュアルあり。
　　　　リモート環境構築手順書を作成。

8.8 技術的ぜい弱性の管理

　利用中の情報システムの技術的ぜい弱性に関する情報を獲得しなければならない。また，そのようなぜい弱性に組織がさらされている状況を評価し，適切な手段をとらなければならない。

　　※ 管理策の実現手段
　　　　① 最新の脆弱性情報の入手先の決定
　　　　② 最新の脆弱性情報の入手に関する役割及び手順の決定
　　　　③ 入手した、最新の脆弱性情報の評価に関する役割及び手順の決定
　　　　④ 入手した、最新の脆弱性情報の伝達、周知に関する役割及び手順の決定

8.9 構成管理

　ハードウェア，ソフトウェア，サービス及びネットワークのセキュリティ構成を含む構成を確立し，文書化し，実装し，監視し，レビューしなければならない。

構成の管理
　ハードウェア，ソフトウェア，サービス及びネットワークについて決定した構成を記録し，全ての構成変更のログを維持することが望ましい。
　構成の変更は変更管理プロセスに従うことが望ましい（8.32 参照）。
　構成記録には，次の事項を含み得る。
　　a) 資産の最新の管理責任者又は連絡先情報
　　b) 構成の最後の変更の日付
　　c) 構成テンプレートの版
　　d) その他の資産の構成との関係

構成の監視
　構成は，包括的なシステム管理ツール群（例えば，保守ユーティリティ，遠隔サポート，エンタープライズ管理ツール，バックアップ及び復元ソフトウェア）を用いて監視することが望ましい。
　　　※「情報資産台帳」での対応策を実施する。
　　　※「ネットワーク構成図」で対応する。
　　　　ネットワーク接続構成、
　　　　ネットワーク回線一覧（回線名、回線速度、起点・終点情報）
　　　※ 契約書で対応する。下記があると思われる。
　　　　 システムの保守契約情報（問い合わせ情報、契約情報、契約期間、契約内容）
　　　　 ライセンス情報（ライセンス内容、期限、利用者管理等）
　　　※ ベンダー一覧（ベンダー名、担当領域、担当者名、連絡先）

8.10 情報の削除

　情報システム，装置又はその他の記憶媒体に保存している情報は，必要でなくなった時点で削除しなければならない。

8.11 データマスキング

　データマスキングは，適用される法令を考慮して，組織のアクセス制御に関するトピック固有の方針及びその他の関連するトピック固有の方針，並びに事業上の要求事項に従って利用しなければならない。

　※ フリーの人事労務でしか閲覧できない。

8.12 データ漏えい防止

　データ漏えい防止対策を，取扱いに慎重を要する情報を処理，保存又は送信するシステム，
ネットワーク及びその他の装置に適用しなければならない。

　　※ 管理策の対応策
　　　　① 管理対象データの決定（取扱いに慎重を要する情報の特定、センシティブな個人情報、研究開発などの機密データ、顧客から貸与された営業秘密など）
　　　　② データ漏えいの側面の特定（電子メール、ファイル転送、モバイル機器など）
　　　　③ データ漏えいを防止、低減するための手段の決定（電子メールなどの利用制限、モバイル機器などへの保管制限、通信の暗号化など）
　　　　④ データ漏えいを検知、検出するための手段の決定（不正アクセスの監視、ログの監視、マルウェア対策ソフトによる検知など）

　　※ データ漏えいの防止策
　　　・Webフィルタリングとして、特定のURL、用語の検出の制限　
　　　・暗号の使用として、ファイルの暗号化、httpsの使用
　　　・メールの検疫として、特定の用語、ファイル名のフィルタリング
　　　・クラウドサービスのアクセス権の制限と管理として、多要素認証、ログモニタリング

8.13 情報のバックアップ

　合意されたバックアップに関するトピック固有の方針に従って，情報， ソフトウェア及びシステムのバックアップを維持し，定期的に検査しなければならない。

　※ 管理策の対応策
　　　　① 管理の対象の決定（バックアップの対象となるシステムやデータなど）
　　　　② 各データのバックアップの範囲、頻度の決定　
　　　　③ 各データのバックアップ手段の決定
　　　　④ バックアップデータの保管および保護（暗号化を含む）の方法の決定
　　　　⑤ データのリストア検査手段及び頻度の決定

8.14 情報処理施設・設備の冗長性

　情報処理施設・設備は，可用性の要求事項を満たすのに十分な冗長性をもって，導入しなければならない。

　　① 複数電力回線の使用
　　② バックアップの多重化

8.15 ログ取得

　活動，例外処理，過失及びその他の関連する事象を記録したログを取得し，保存し，保護し，分析しなければならない。

ログの保護
　管理策は，次の事項を含む，ログ情報の認可されていない変更及びログ取得機能の運用上の問題から保護することを目指すことが望ましい。
　a) 記録されたメッセージ形式の変更
　b) ログファイルが編集又は削除されること
　c) ログファイルを保持している記憶媒体の記録容量を超過した場合のイベント記録の不具合又は過去のイベント記録への上書き
　ログを保護するために，次の手法の使用を検討することが望ましい。暗号技術によるハッシュ化，追加専用及び読取り専用ファイルへの記録，公開透明性ファイルへの記録。

ログ分析
　ログ分析は，侵害の可能性がある通常とは異なる活動又は変則的な振る舞いを特定する助けとなるように，情報セキュリティ事象の分析及び判定をカバーすることが望ましい。
事象の分析は，次の事項を考慮して実施することが望ましい。
　a) 分析を実施する専門家に必要な技能
　b) ログ分析の手順の決定

8.16 監視活動

　情報セキュリティインシデントの可能性を評価するために，ネットワーク，システム及びアプリケーションについて異常な挙動がないか監視し， 適切な処置を講じなければならない。

　※ 管理策の対応策
　　　① 通信のトラフィックの監視（異常なトラフィックの検知）
　　　② システムリソースの使用状況及び動作状況の監視
　　　③ セキュリティツールからのログの監視

8.17 クロックの同期

　組織が使用する情報処理システムのクロックは，組織が採用した時刻源と同期させなければならない。

8.18 特権的なユーティリティプログラムの使用

　システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は，制限し，厳しく管理しなければならない。

8.19 運用システムへのソフトウェアの導入

　運用システムへのソフトウェアの導入をセキュリティを保って管理するための手順及び対策を実施しなければならない。

8.20 ネットワークセキュリティ

　システム及びアプリケーション内の情報を保護するために，ネットワーク及びネットワーク装置のセキュリティを保ち，管理し，制御しなければならない。

　　※ ネットワーク管理策として下記を実施
　　　　① ネットワーク設備の管理に関する責任及び手順を明確にする。
　　※ ネットワーク構成図を作成し、明確にすることで対応する。
　　　　② ネットワーク装置の保護
　　　　③ 無線LAN利用時の通信の暗号化
　　　　④ 適切なログを取得して監視する。
　　　　⑤ インターネットに接続する全てのポイントは、セキュリティソフトで保護する。

8.21 ネットワークサービスのセキュリティ

　ネットワークサービスのセキュリティ機能，サービスレベル及びサービスの要求事項を特定し，実装し，監視しなければならない。

　　※ 監視する重要な要素
　　　　・ネットワークの使用の監視
　　　　・アクセス時の利用者の時刻、場所
　　　　・ネットワーク接続管理

8.22 ネットワークの分離

　情報サービス，利用者及び情報システムは，組織のネットワーク上で，グループごとに分離しなければならない。

　　① LANスイッチ（L2スイッチ）を用いた、データリンク層での分離
　　② ルーターやL3スイッチを用いた、ネットワーク層での分離
　　③ ファイアウォールやロードバランサーを用いた、アプリケーション層での分離

8.23 ウェブフィルタリング

　悪意のあるコンテンツにさらされることを減らすために，外部ウェブサイトへのアクセスを管理しなければならない。

8.24 暗号の利用

　暗号鍵の管理を含む，暗号の効果的な利用のための規則を定め，実施しなければならない。

　暗号化を使用する場合，次の事項を考慮することが望ましい。
　　d) 鍵管理に対する取組。これには，暗号鍵の生成及び保護手法，及び鍵が紛失した場合，
　　　 危険になった場合又は損傷した場合の暗号化された情報の復元手法を含む。
　　e) 次の事項に関する役割及び責任
　　　　1) 暗号を効果的に使用するための規則の実装
　　　　2) 鍵生成を含めた鍵管理（8.24 参照）
　　f) 採用する標準類，並びに組織での使用が承認又は要求されている暗号アルゴリズム，
　　　 暗号強度，暗号ソリューション及び使用方法
　　g) 暗号化した情報を用いることの，コンテンツ検査（例えば，マルウェアの検出又は
　　　 コンテンツフィルタリング）に依存する管理策への影響

8.25 セキュリティに配慮した開発のライフサイクル

　ソフトウェア及びシステムのセキュリティに配慮した開発のための規則を確立し，適用しなければならない。

　　※ 管理策の対応策
　　　　① 要件定義や基本構想策定段階でのセキュリティ要求事項の明確化
　　　　② 運用環境と分離した、開発環境の適用　　
　　　　③ 適切な開発段階におけるセキュリティ機能の試験の実施
　　　　④ セキュアな手段によるソースコードの保管や管理

8.26 アプリケーションセキュリティの要求事項

　アプリケーションを開発又は取得する場合，情報セキュリティ要求事項を特定し，規定し，承認しなければならない。

　　※ 管理策の対応策
　　　　　① ユーザーID等による認証、アクセス試行回数の制限
　　　　　② アプリケーションへの情報入力時の妥当性確認
　　　　　③ 処理、転送及び保持するデータの保護

8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則

　セキュリティに配慮したシステムを構築するための原則を確立し，文書化し，維持し，全ての情報システムの開発活動に対して適用しなければならない。

　　※ 管理策の対応策
　　　　① セキュリティについては、情報セキュリティとアクセスの必要性との
　　　　　 バランスをとり、業務、データ、アプリケーション及び技術において設計する。
　　　　② 新技術は、セキュリティ上のリスクについて分析し、その設計を既知の攻撃パターンに照らしてレビューする。
　　　　③ 組織と外部委託した供給者との間に、契約及び拘束力をもつその他の合意を通じて、外部委託した情報システムにも適用する。

8.28 セキュリティに配慮したコーディング

　セキュリティに配慮したコーディングの原則をソフトウェア開発に適用しなければならない。

　　※ 管理策の対応策
　　　　① 最新でかつ検証された開発ツールの使用（コンパイラなど）
　　　　② 安全なコードを記述するための開発者の資格要件
　　　　③ 管理された、セキュアな開発のための環境
　　　　④ 開発後のぜい弱性診断の実施（外部のセキュリティ専門組織の利用等）

8.29 開発及び受入れにおけるセキュリティテスト

　セキュリティテストのプロセスを開発のライフサイクルにおいて定め， 実施しなければならない。

　　※ 管理策の対応策
　　　　　① 試験の対象と試験の内容の決定（試験仕様書の作成など）
　　　　　② 試験実施者の力量の決定
　　　　　③ 試験方法の決定（最終試験で実施される、ぜい弱性診断検査やペネトレーションテストなどを含む）

　　※システムの受入れ試験
　　　　更新したパッケージシステムを受け入れる場合は、①性能及びコンピュータの容量、
　　　　能力の要求事項、②回復及び再起動の手順、③障害対策計画などを策定し、その基準を満たしている事を確認する。

8.30 外部委託による開発

　組織は，外部委託したシステム開発に関する活動を指揮し，監視し，レビューしなければならない。

　　※ 管理策の対応策
　　　　① 関連する委託先のプロセスの事前の合意（開発環境や要員、手法を含む）
　　　　② 委託した業務の進捗状況や課題などの確認方法の決定（頻度や方法を含む）
　　　　③ 委託先によるあらゆる変更の監視

　　※ 外部委託による開発
　　　　外部業者へソフトウェア開発を委託する場合は以下のことを考慮し管理責任者の承認を得てから実施する。
　　　　① セキュリティ要件が満たされていることの確認
　　　　② 委託先の開発環境の事前検証
　　　　③ 開発中のコミュニケーション
　　　　④ 計画されたテストの実施結果の確認

8.31 開発環境、テスト環境及び本番環境の分離

　開発環境，テスト環境及び本番環境は，分離してセキュリティを保たなければならない。

　　※ 管理策の対応策
　　　　① 本番（運用）環境と開発、テスト環境との分離手段の決定（物理的、論理的）
　　　　② 本番（運用）環境と開発、テスト環境とのID、パスワードの共有制限
　　　　③ 重要データの本番（運用）環境から開発、テスト環境への移動制限

8.32 変更管理

　情報処理設備及び情報システムの変更は，変更管理手順に従わなければならない。

　※ システムの変更管理手順　
　　① 業務用システムの変更時にはシステムの破壊の危険性を最小に押さえるため、
　　　 正式な変更管理の手順を定め業務の責任者の承認を得て、システムの変更を適切に管理する。
　　② 情報システムの設定を変更する場合は記録に残す。
　※ オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
　　 オペレーティングシステムの変更によって業務用システムへ悪影響を及ぼさないよう、
　　 業務用システムを検査する。問題があった場合はその解決を図った後に変更を適用する。
　※ パッケージソフトウェアの変更に対する制限
　　 ソフトウェアのヴァージョン管理及びライセンス管理を円滑に行うため、市販パッケージソフトウェアの変更は個別のパソコン単位では行わない。

8.33 テスト情報

　テスト用情報は，適切に選定し，保護し，管理しなければならない。

　　※ 管理策の対応策
　　　　　① 運用情報を複製し、テストに用いる場合の申請及び許可
　　　　　② テストに用いた、運用情報の記録
　　　　　③ テスト完了後のテスト環境からのテスト情報の消去
　　　　　④ テスト終了後のテスト結果やテストデータへの不正アクセスの防止

　　※ 試験データの保護
　　　　システムの試験データを注意深く選択し保護し管理すること。
　　　　個人情報は極力、システムの試験データとして利用しないこと。
　　　　個人情報を試験データとして使わざるを得ない場合は、個人が特定できないようマスキング等を施すこと。

8.34 監査におけるテスト中の情報システムの保護

　運用システムのアセスメントを伴う監査におけるテスト及びその他の保証活動を計画し，テスト実施者と適切な管理層との間で合意しなければならない。

　※ 管理策の対応策
　　　① 機密保持に関する契約の締結など
　　　② 下記の事前の合意
　　　　　　1．システム監査を実施する対象
　　　　　　2．システム監査を実施する範囲
　　　　　　3．システム監査を実施する方法
　　　　　　　　（システム監査によるリスクを低減させる手段を含む）
　　　　　　4．システム監査を実施する者（特に要員の力量）
　　　　　　5．システム監査の実施期間中におけるお互いの連絡窓口
　　　　　　6．システム監査結果の報告書の取扱い
　　　③ システム監査によって予期せぬ障害が発生した場合の対応手順

制定・改定・見直し履歴

　本規程の制定･改廃は、管理責任者が原案を作成し、代表者の承認を得る。
　初版作成時は版数を1.0とし、改訂時は小数点以上の桁を+1とし、小数点以下は.0とする。なお、関連する規程等の制定や改廃による記載内容の変更や、誤字・脱字等の訂正の場合は、版数の小数点以上の桁は変更せず、小数点以下を+.1とする。
　前回の制定、改訂、見直しより１年経過以内に経営会議が本文書内容の見直しを行う。改定の必要がない場合にはその旨下記の履歴欄に記載し、改定の必要が有る場合は改訂を行う。