JIS Q 27001:2014の管理策について-32
今回は、「12.5 運用ソフトウェアの管理」です。
12.5 運用ソフトウェアの管理
目的:運用システムの完全性を確実にするため。
12.5.1 運用システムに関わるソフトウェアの導入を管理するための手順を実施する。
アプリケーション、ライブラリ、オペレーティングシステムの導入、更新に関する手順を定め、実施する必要があります。
手順には、次の項目を含める必要があります。
- ソフトウェア等の更新は、適切な管理層の認可に基づき、適切な技術力を有する管理者だけが実施する
- ソフトウェア等の導入、更新は、事前に十分に試験に成功した後に導入する
- ソフトウェア等の試験は、他システムへの影響も考慮する
- ソフトウェア等の試験は、運用環境では実施しない
- 変更時の手順を文書化し、手順には問題発生時の復帰手順も含める
ご自分のPC等では、緊急性の高いセキュリティパッチを除き、アップデートはある程度時間を置いて、不具合等の情報を確認してから実施すべきです。
次回は、「12.6 技術的ぜい弱性管理」です。