ISO27001情報セキュリテイ指導実績

ISO27001情報セキュリテイのコンサルについては、過去にまだISO27001を取得する企業が少ない2008年(平成20年)に埼玉県の深谷市のソウトウエア開発、人材派遣業の60名ほどの企業様に指導をしまして、無事ISO27001を取得されました。本当にISO27001を取得される企業様が少ない時期でしたので埼玉県でも早くISO27001を取得された企業様だったことを覚えています

コンサルにおける重要点

情報セキュリテイ管理策に基づく指導になります

5.7 脅威インテリジェンス                                      情報セキュリティの脅威に関連する情報を収集及び分析し,脅威インテリジェンスを構築しなければならない。

5.9 情報及びその他の関連資産の目録
情報及びその他の関連資産の目録を,それぞれの管理責任者を含めて作成し,維持しなければならない。

5.11 資産の返却
要員及び必要に応じてその他の利害関係者は,雇用,契約又は合意の変更又は終了時に,自らが所持する組織の資産の全てを返却しなければならない。

5.13 情報のラベル付け
情報のラベル付けに関する適切な一連の手順は,組織が採用した情報分類体系に従って策定し,実施しなければならない。

5.15 アクセス制御
情報及びその他の関連資産への物理的及び論理的アクセスを制御するための規則を,事業上及び情報セキュリティの要求事項に基づいて確立し,実施しなければならない。

5.19 供給者関係における情報セキュリティ
供給者の製品又はサービスの利用に関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め,実施しなければならない。

5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
ICT 製品及びサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め,実施しなければならない。

5.24 情報セキュリティインシデント管理の計画策定及び準備
組織は,情報セキュリティインシデント管理のプロセス,役割及び責任を定め,確立し,伝達することによって,情報セキュリティインシデント管理を計画し,準備しなければならない。

5.26 情報セキュリティインシデントへの対応
情報セキュリティインシデントは,文書化した手順に従って対応しなければならない。

5.29 事業の中断・阻害時の情報セキュリティ
組織は,事業の中断・阻害時に情報セキュリティを適切なレベルに維持する方法を計画しなければならない。

5.30 事業継続のためのICTの備え
事業継続の目的及びICT 継続の要求事項に基づいて,ICT の備えを計画し,実施し,維持し,試験しなければならない。

5.37 操作手順書
情報処理設備の操作手順は,文書化し,必要とする要員に対して利用可能にしなければならない。

6.3 情報セキュリティの意識向上,教育及び訓練
組織の要員及び関連する利害関係者は,職務に関連する組織の情報セキュリティ方針,トピック固有の方針及び手順についての,適切な,情報セキュリティに関する意識向上プログラム,教育及び訓練を受けなければならず,また,定常的な更新を受けなければならない。

6.7 リモートワーク
組織の構外でアクセス,処理又は保存される情報を保護するために,要員が遠隔で作業をする場合のセキュリティ対策を実施しなければならない。

7.1 物理的セキュリティ境界
情報及びその他の関連資産のある領域を保護するために,物理的セキュリティ境界を定め,かつ,用いなければならない。

7.5 物理的及び環境的脅威からの保護
自然災害及びその他の意図的又は意図的でない,インフラストラクチャに対する物理的脅威などの物理的及び環境的脅威に対する保護を設計し,実装しなければならない。

7.8 装置の設置及び保護
装置は,セキュリティを保って設置し,保護しなければならない。

7.12 ケーブル配線のセキュリティ
電源ケーブル,データ伝送ケーブル又は情報サービスを支援するケーブルの配線は,傍受,妨害又は損傷から保護しなければならない。

8.5 セキュリティを保った認証
セキュリティを保った認証技術及び手順を,情報へのアクセス制限,及びアクセス制御に関するトピック固有の方針に基づいて備えなければならない。

8.8 技術的ぜい弱性の管理
利用中の情報システムの技術的ぜい弱性に関する情報を獲得しなければならない。また,そのようなぜい弱性に組織がさらされている状況を評価し,適切な手段をとらなければならない。

8.12 データ漏えい防止
データ漏えい防止対策を,取扱いに慎重を要する情報を処理,保存又は送信するシステム,ネットワーク及びその他の装置に適用しなければならない。

8.16 監視活動
情報セキュリティインシデントの可能性を評価するために,ネットワーク,システム及びアプリケーションについて異常な挙動がないか監視し,適切な処置を講じなければならない。