| 箇条 |
セキュリティカテゴリ |
管理目的 |
5
セキュリティ基本方針 |
5.1
情報セキュリティ基本方針 |
情報セキュリティのための経営陣の方向性および支持を、事業上の要求事項、関連する法令および規則に従って既定するため |
6
情報セキュリティのための組織 |
6.1
内部組織 |
組織内の情報セキュリティを管理するため |
6.2
外部組織 |
外部組織によってアクセス、処理、通信、または管理される組織の情報および情報処理施設のセキュリティを維持するため |
7
資産の管理 |
7.1
資産に対する責任 |
組織の資産を適切に保護し、維持するため |
7.2
情報の分類 |
情報の適切なレベルでの保護を確実にするため |
8
人的資源のセキュリティ |
8.1
雇用前 |
従業員、契約相手および第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、または施設の不正使用のリスクを低減するため |
8.2
雇用期間中 |
従業員、契約相手および第三者の利用者の、情報セキュリティの脅威および諸問題、並びに責任および義務に対する認識を確実なものとし、通常の業務の中で組織の情報セキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため |
8.3
雇用の終了又は変更 |
従業員、契約相手および第三者の利用者の組織からの離脱または雇用の変更を所定の方法で行うことを確実にすること |
9
物理的及び環境的セキュリティ |
9.1
セキュリティを保つべき領域 |
組織の施設および情報に対する許可されていない物理的アクセス、損害および妨害を防止するため |
9.2
装置のセキュリティ |
資産の損失、損傷、盗難または劣化、および組織の活動に対する妨害を防止するため |
10
通信及び運用管理 |
10.1
運用の手順及び責任 |
情報処理設備の正確、かつセキュリティを保った運用を確実にするため |
10.2
第三者が提供するサービスの管理 |
第三者の提供するサービスに関する合意にそった、情報セキュリティおよびサービスの適切なレベルを実現し、維持するため |
10.3
システムの計画作成及び受入れ |
システム故障のリスクを最小限に抑えるため |
10.4
悪意のあるコード及びモバイルコードからの保護 |
ソフトウェアおよび情報の完全性を保護するため |
10.5
バックアップ |
情報および情報処理設備の完全性および可用性を維持するため |
10.6
ネットワークセキュリティ管理 |
ネットワークにおける情報の保護、およびネットワークを支える基盤の保護を確実にするため |
10.7
媒体の取扱い |
資産の許可されていない開示、改竄、除去または破壊、およびビジネス活動の中断を防止するため |
10.8
情報の交換 |
組織内部で交換したおよび外部と交換した、情報およびソフトウェアのセキュリティを維持するため |
10.9
電子商取引サービス |
電子商取引サービスのセキュリティ、およびそれらサービスのセキュリティを保った利用を確実にするため |
| 10.10 監視 |
許可されていない情報処理活動を検知するため |
11
アクセス制御 |
11.1
アクセス制御に対する業務上の要求事項 |
情報へのアクセスを制御するため |
11.2
利用者アクセスの管理 |
情報システムへの、許可された利用者のアクセスを確実にし、許可されていないアクセスを防止するため |
11.3
利用者の責任 |
許可されていない利用者のアクセス、並びに情報および情報処理設備の損傷または盗難を防止するため |
11.4
ネットワークのアクセス制御 |
ネットワークを利用したサービスへの許可されていないアクセスを防止するため |
11.5
オペレーティングシステムのアクセス制御 |
オペレーティングシステムへの、許可されていないアクセスを防止するため |
11.6
業務用ソフトウェア及び情報のアクセス制御 |
業務用ソフトウェアシステムが保有する情報への許可されていないアクセスを防止するため |
11.7
モバイルコンピューティング及びテレワーキング |
モバイルコンピューティングおよびテレワーキングの設備を用いるときの情報セキュリティを確実にするため |
12
情報システムの取得、開発及び保守 |
12.1
情報システムのセキュリティ要求事項 |
セキュリティは情報システムの欠くことのできない部分であることを確実にすること |
12.2
業務ソフトウェアでの正確な処理 |
業務用ソフトウェアにおける情報の誤り、消失、許可されていない変更または誤用を防止するため |
12.3
暗号による管理策 |
暗号手段によって、情報の機密性、真正性または完全性を保護するため |
12.4
システムファイルのセキュリティ |
システムファイルのセキュリティを確実にするため |
12.5
開発及びサポートプロセスにおけるセキュリティ |
業務用ソフトウェアシステムのソフトウェアおよび情報のセキュリティを維持するため |
12.6
技術的ぜい弱性管理 |
公開された技術的脆弱性の悪用によって生じるリスクを低減するため |
13
情報セキュリティインシデントの管理 |
13.1
情報セキュリティの事象及び弱点の報告 |
情報システムに関連する情報セキュリティの事象および弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため |
13.2
情報セキュリティインシデントの管理及びその改善 |
情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため |
14
事業継続管理 |
14.1
事業継続管理における情報セキュリティの側面 |
情報システムの重大な故障または災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、また事業活動および重要な業務プロセスの時機を失しない再開を確実にするため |
15
順守 |
15.1
法的要求事項の順守 |
法令、規則または契約上のあらゆる義務、およびセキュリティ上のあらゆる要求事項に対する違反を避けるため |
15.2
セキュリティ方針及び標準の順守、並びに技術的順守 |
組織のセキュリティ方針および標準類へのシステムの遵守を確実にするため |
15.3
情報システムの監査に対する考慮事項 |
情報システムに対する監査手続の有効性を最大限にするため、およびシステムの監査プロセスへの干渉および/またはシステムの監査プロセスからの干渉を最小限にするため |
