JIS Q 27001:2014の管理策について－29

今回は「12.2 マルウェアからの保護」です。

12.2 マルウェアからの保護
目的：情報及び情報処理施設がマルウェアから保護されることを確実にするため。

情報・情報処理施設がマルウェアから保護されることを確実にすることが目的です。
マルウェアとは「悪意があるプログラム（malicious　software）」の略語で、不具合を起こす意図で作成されたソフトウェアの総称です。

12.2.1 マルウェアから保護するために、利用者に適切に認識させることと併せて、検出、予防及び回復のための管理策を実施する。

マルウェア対策として、マルウェアの利用者の認識と合わせて、検出、予防、回復のために次のような対策が考えられます。

• マルウェアの検出、修復ソフトウェアの導入
• 認可されていないソフトウェアの使用禁止
• 悪意のあるWebサイトへのアクセス禁止
• 外部ネットワーク及び媒体でのソフトウェア入手時の対策の実施
• 最新のセキュリティ情報の入手、及び周知

万が一の場合を想定した事業継続計画も必要な対策のひとつです。
バックアップの範囲や周期など、単にデータのバックアップではなく事業継続の観点からの検討が必要となります。

次回は「12.3　バックアップ」の予定です。