2020-02-12 / 最終更新日時 : 2020-02-12 officemasami 情報セキュリティ関連

JIS Q 27001:2014の管理策について-34

今回は、「12.7 情報システムの監査に対する考慮事項」です。

12.7 情報システムの監査に対する考慮事項
目的:運用システムに対する監査活動の影響を最小限にするため。

12.7.1 運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意する。

運用システムの監査による業務プロセスへの影響を最小限に抑えるため、次のような対策が必要となります。

  • システム及びデータへのアクセスに関する監査要求事項は、適切な管理層の承認を得る。
  • 技術監査における試験の範囲を、事前に確認し、管理する。
  • 監査における試験は、読出し専用のアクセスに限定する。
  • 監査における試験では、読出し専用以外のアクセスは、複製に対してだけ許可し、それらの複製は、監査が完了した時点で消去する。
  • 監査における試験がシステムの可用性に影響する可能性がある場合、試験の実施は営業時間外とする
  • 監査における試験を実施する際には、参照用の証跡を残すために、全てのアクセスを監視し、ログを収集する。

運用システムの監査は、業務に影響を与えないよう、細心の注意と綿密な計画を立て、必要最小限のアクセスとすべきです。

次回は、「13 通信のセキュリティ」の予定です。

カテゴリー
情報セキュリティ関連

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


情報セキュリティ関連

前の記事

「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
2020-01-28
個人情報保護関連

次の記事

「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」に関する意見募集の結果について
2020-02-13