JIS Q 27001:2014の管理策について-27
今回は、「12.運用のセキュリティ」から12.1.1および12.1.2です。
12 運用のセキュリティ
12.1 運用の手順及び責任
目的:情報処理設備の正確かつセキュリティを保った運用を確実にするため。
運用の手順・責任については、情報処理設備の正確かつセキュリティを保った運用を確実にすることが目的となります。
12.1.1 操作手順は、文書化し、必要とする全ての利用者に対して利用可能とする。
コンピュータの起動・停止の手順、 バックアップ、装置の保守、媒体の取扱い、コンピュータ室及びメールの取扱いの管理・ 安全等の手順を文書化し、全ての利用者に対して利用可能とする必要があります。
手順には、次の内容が必要です。
- システムの導入及び構成を含む操作上の指示
- 情報の処理及び取扱いを含む操作上の指示
- バックアップを含む操作上の指示
- スケジュール作成に関する要求事項を含む操作上の指示
- 作業中に発生し得る、誤り又はその他の例外状況の処理についての指示
- システムが故障した場合の再起動及び回復の手順を含む操作上の指示
- 監査証跡及びシステムログ情報の管理を含む操作上の指示
- 監視手順を含む操作上の指示
特別な情報処理設備がない場合でも、媒体やメール等に関する運用(操作)手順は必要となります。
12.1.2 情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更は、管理する。
組織、業務プロセス、設備、システムの変更管理には、次の内容が必要となります。
- 重要な変更の特定および記録
- 変更作業の計画およびテスト
- 変更の潜在的影響のアセスメント
- 変更の承認プロセス
- 全ての関係者への通知
- トラブル発生時の回復・代替手順の確立
- 責任体制の確立
- 変更に関わる全ての監査ログの保持
特別な情報処理設備がない場合でも、組織、建物設備、業務プロセスが変更となる場合には管理策の検討が必要となります。
次回は、「12.運用のセキュリティ」から12.1.3および12.1.4の予定です。
