ISO/IEC 27001/27002:2022改訂対応
テレワーク時代のISMS(情報セキュリティマネジメントシステム)ガイドブック
職場・リモートワークで留意すべき重要ポイント
-
池田 秀司 著
図書
2,970 円(税込)
本体価格:2,700 円
ISBN:9784542305496
発売年月日:2022-12-16
-
A5判・144頁
商品コード:330549【概要】
近年、ワークライフバランスの推進や業務効率化などの観点からテレワークの推進が進められていましたが、新型コロナウイルスの流行に伴い、テレワークを採用する組織が急激に増えました。十分な準備期間もなくテレワークの運用を開始した組織も多く、情報セキュリティリスクに対して、本格的な対応はこれからという組織も多いかと思います。
本書では、テレワークが増えている中で、ISMS認証取得済み組織、これから取得予定の組織、または自主的にISMSに取り組む組織が運用を進めるにあたって、ISO/IEC 27001:2022の改正内容が考慮された、留意すべき重要ポイントを取り上げています。その上で各章ごとに、各々の役割ですべきことが具体的な示されたガイドブックとなっております。
【目次】
第1章 要求事項に対して留意すべき重要ポイント
1.1 リモートワークの導入における外部及び内部の課題を決定する
1.2 リモートワークに関連する利害関係者のニーズ及び期待を理解する
1.3 外部及び内部の課題,利害関係者の要求事項を踏まえ,ISMSの適用範囲を決定する
1.4 ISMSの確立,実施,維持,継続的な改善のプロセスにリモートワークの運用を取り入れる
1.5 トップマネジメントが主体となって,ISMSに関するリーダーシップ及びコミットメントを実証する
1.6 組織における外部及び内部の課題,利害関係者の要求事項を考慮し,リスク及び機会を決定する
1.7 情報セキュリティリスクアセスメントを実施する
1.8 情報セキュリティリスク対応を実施する
1.9 情報セキュリティ目標を必要に応じて見直す
1.10 ISMSに必要な資源を決定し,提供する
1.11 リモートワーク導入により,必要とされる要員の力量に変更が生じていないか確認する
1.12 ISMSにかかわる関係者の認識を高めるための対策を行う
1.13 ISMSに関連する内部及び外部のコミュニケーションプロセスの見直しを行う
1.14 文書化した情報の管理を適切に行う
1.15 ISMS運用の計画と管理を行う
1.16 ISMSの主要なプロセスについて監視,測定,分析及び評価を行う
1.17 ISMSを継続的に改善する
1.18 不適合を発見したら,是正処置などの対応を行う第2章 管理策に対して留意すべき重要ポイント
2.1 情報セキュリティのための方針群をレビューする
2.2 リモートワークに使用する利用者終端装置(例:モバイルパソコンなど)を適切に管理する
2.3 リモートワークのセキュリティ対策を実施する
2.4 情報セキュリティの意識向上,教育及び訓練を実施する
2.5 情報及びその他の関連資産の利用の許容範囲に関するルールを定める
2.6 情報及びその他の関連資産への物理的及び論理的アクセスを制御するためのルールを定める
2.7 モバイル機器などの組織の構外で使用する装置を保護する
2.8 クリアデスク・クリアスクリーン対策を実施する
2.9 リモートワーク環境におけるネットワークのセキュリティを確保する第3章 トップマネジメントが行うこと
3.1 リモートワークを導入するか否かの意思決定を行う
3.2 情報セキュリティリスクアセスメントを実施する
3.3 情報セキュリティ体制の見直しを行う
3.4 情報セキュリティ方針の見直しを行う
3.5 トピック固有の個別方針(例:対策基準,実施手順など)の見直しを行う
3.6 リモートワークによって想定される情報セキュリティリスクへの対応を行う
3.7 情報セキュリティ教育の実施を支援する
3.8 情報セキュリティインシデント対応体制の見直しを行う
3.9 供給者(委託先を含む)管理の状況を把握する
3.10 マネジメントレビューにより,ISMSの全体プロセスを把握し,継続的に改善するための機会を提供する第4章 管理責任者及び推進事務局が行うこと
4.1 ISMS適用範囲及びISMS認証登録範囲に関する方針を明確にする
4.2 情報資産台帳の更新を行う
4.3 情報セキュリティリスクアセスメントを実施する
4.4 トップマネジメントに情報セキュリティリスクアセスメントの結果をフィードバックし,リスク対応に関する方針を決定することの支援を行う
4.5 情報セキュリティ方針,トピック固有の個別方針を含むISMS関連文書の見直しを行う
4.6 組織共通の上位の情報セキュリティ目標の見直しを行う
4.7 リモートワーク実施者が日々の業務で留意すべき事項を情報セキュリティ教育プログラムとして取り纏め,情報セキュリティ教育を実施する
4.8 情報セキュリティインシデント対応体制の見直しを行う
4.9 供給者(委託先を含む)管理の状況をトップマネジメントが把握することを支援する
4.10 最新のセキュリティ脅威動向の把握を行う第5章 情報システム管理者が行うこと
5.1 情報システムの開発の企画段階から情報セキュリティを実装する
5.2 情報システムに関連する情報資産台帳の維持・更新,情報システムの構成管理を実施する
5.3 データ漏えい防止対策を実施する
5.4 特権管理を適切に実施する
5.5 アクセス制御対策を実施する
5.6 アカウントの認証管理を実施する
5.7 マルウェアに対する保護対策を実施する
5.8 セキュリティバッチ適用などの脆弱性管理を実施する
5.9 データ及び通信の暗号化保護対策を実施する
5.10 情報システムのログ管理を実施する
5.11 クラウドサービスの利用を管理する第6章 推進担当者が行うこと
6.1 変化する部門が取り扱う情報あるいは情報に関連する資産を把握し,変更が生じた場合には速やかに情報資産台帳に反映する
6.2 想定される情報セキュリティリスクに対して現場目線での対策を推進する
6.3 部門レベルの情報セキュリティ目標を策定し,定期的に監視,測定と分析及び評価を行う
6.4 情報セキュリティに関する定期的な点検を実施する
6.5 部門関係者の情報セキュリティ意識を高めるための取組みを行う
6.6 情報セキュリティインシデント発生を未然に防止し,万が一発生した場合には迅速な対応と処置を行う第7章 内部監査員が行うこと
7.1 リモートワークを監査テーマとした内部監査の計画を作成する
7.2 重点的に内部監査で確認すべきチェック項目を検討する
7.3 プロセスの繋がりを意識して内部監査を実施する
7.4 技術的検証を含む監査を実施する
7.5 WEB会議方式で内部監査を実施する場合の有効な方法を検討する第8章 リモートワーク実践者が行うこと
8.1 自身の自宅などの環境について情報セキュリティリスクアセスメント・リスク対応を実施する
8.2 自宅などの作業環境にアクセスする可能性のある家族などに対して情報セキュリティ教育を実施する
8.3 端末/認証装置/書類などの管理を行う
8.4 自宅などのネットワーク環境の認識を高める
8.5 無線LANのセキュリティ対策を実施する
8.6 マルウェア対策を実施する
8.7 WEB会議におけるセキュリティ対策を実施する
8.8 日々の運用点検を実施する
8.9 情報セキュリティインシデントについて適切な対応を行う
8.10 情報セキュリティ監査などに積極的に協力する付録1 テレワーキング実施手順(例)
付録2 テレワーキングチェックシート(例)
付録3 リスクアセスメント結果(例)
付録4 内部監査チェックリスト(例)【概要】
・ISO/IEC 27001 規格原本、邦訳版はこちら
・ISO/IEC 27001 関連書籍はこちら
・ISO/IEC 27000 関連セミナーはこちら
・ISO/IEC 27001 認証審査はこちら