ISO27002管理策の考察
はじめに 1.管理策の概要 2.具体的な実施例 2-1)合意文書による遵守事項の維持 a)監視手法 b)レビュー内容 c)評価内容 2-2)セキュリティ事象、インシデント、及び問題に対する適切な管理 a)監視手法 b)レビュー内容 c)評価内容 2-3)供…
はじめに 管理策の概要 具体的な実施例 1.取得したICT製品に関する構成情報の理解 2.取得したICT製品のセキュリティ機能とその設定に関する理解 3.取得したICT製品の完全性・真正性の確保 4.その他 クラウドサービスの利用 まとめ 参考資料 脚注 は…
はじめに 1.管理策の概要 2.具体的な実施例 2.1.供給者との関係性を理解し、リスクアセスメントによりセキュリティ要件を明らかにする 1)情報の特定 2)リスクアセスメント ① 作成(Creat) ② 保存(Store) ③ 使用(Use) ④ 共有(Share) ⑤ ア…
はじめに 1.管理策の概要 2.具体的な実施例 1)状況の設定 ① 適用範囲 ② 組織と供給者の関係性 ③ 役割と責任 ④ 実施のタイミング ⑤ 実施手法 ⑥ リスクの重大性を決定するための基準 ⑦ リスクが受容可能かどうかを決定するための基準 ⑧ リスク対応の選択…
はじめに 管理策の概要 認証情報の管理プロセス(手順)を明らかにする理由 具体的な実施例 1. 脆弱な管理(保護)状態を引き起こさないための管理策 2. 脆弱な資格情報の利用を避けるための管理策 3. 認証情報を奪取しようとする脅威から保護するための管理…
はじめに 管理策の概要 脅威インテリジェンスが必要とされる背景 より効果的・効率的なセキュリティ管理 サイバーセキュリティ上の脅威への検知・対応の速やかな実施 分類 1. 戦略インテリジェンス(Strategic Intelligence) 定義: 活用例: 2. 戦術インテ…
はじめに 「ID管理」とは? ID(Identity)とは? identity(ID)とidentifier(識別子) IDについてまとめ IDライフサイクルについて IDの状態について IDの状態遷移について 具体的な実施例 Enrolment(登録)時に考慮すべき事項の例: ・ID登録時の身元確…
はじめに 「アクセス制御」とは? 具体的な実施例 アクセス制御の概念 1.アクセス要求 2.識別 3.認証 4.認可 5.監査証跡 個別方針へ含めるべき内容 1.セキュリティの基本原則 2.関連する管理策の内容: その他 まとめ 参考資料 脚注 はじめに …
はじめに 「情報のラベル付け」とは? 具体的な実施例 情報の分類の伝達を容易にする(正確に伝達する) 情報の処理と管理を自動化する オブジェクトストレージの利用拡大 ラベル付け手順策定の際に考慮すべき事項 まとめ 参考資料 脚注 はじめに 情報セキュ…
はじめに 「情報の分類」とは? 具体的な実施例 リスクとの関連性 分類基準の例 個別方針への記載内容例 その他 分類の名称 情報の分類の一貫性 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「情報の…
はじめに 「情報及びその他関連資産の目録」とは? 具体的な実施例 管理責任について 目録により管理すべき資産の種類 目録により管理すべき項目 まとめ 参考資料 その他 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類…
はじめに 「プロジェクトマネジメントにおける情報セキュリティ」とは? プロジェクトの定義 具体的な実施例 個別方針で考慮すべき事項 プロジェクトに関連する管理策の例 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策と…
はじめに 「専門組織との連絡」とは? 具体的な実施例 公的機関による注意喚起情報他 セキュリティに関する情報を発信している団体 各業界団体のISAC (Information Sharing and Analysis Center) 専門家の育成と認定を行う団体 セキュリティに関連する学会 …
はじめに 「関係当局との連絡」とは? 具体的な実施例 主に可用性が損なわれるインシデント発生時の連絡先例 主に機密性が損なわれるインシデント発生時の連絡先例 セキュリティ全般に係るインシデント発生時の連絡先例 まとめ 参考資料 脚注 はじめに 情報…
はじめに 「マネジメントの責任」とは? マネジメントについて 具体的な実施例 他の管理策との関連性 具体的な実施例 その他 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「マネジメントの責任」につ…
はじめに 「職務の分離」とは? 具体的な実施例 「職務の分離」が十分に機能しないとどうなるのか? その他 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「職務の分離」について、主要なガイドライン…
はじめに 「情報セキュリティの役割及び責任」とは? 具体的な実施例 その他 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「情報セキュリティの役割及び責任」について、主要なガイドラインを参考に…
はじめに 「情報セキュリティのための方針」とは? 具体的な実施例 誰に示すのか? 何を定めるのか? 方向性を示す方針内容の例 支持に関連する方針内容の例 法令、規制、契約上、事業上の要求事項の方針への反映について いつ定めるのか? 誰が定めるのか? …
