JIS Q 27001:2014の管理策について-36

今回は、「13.2 情報の転送」です。

13.2 情報の転送
目的:組織の内部及び外部に転送した情報のセキュリティを維持するため。

13.2.1 あらゆる形式の通信設備を利用した情報転送を保護するために、正式な転送方針、手順及び
管理策を備える。

情報転送のために通信設備(電話、FAX、PC(電子メール、ファイル転送)、郵送等)を利用するための方針、管理策を備える必要があります。

  • 転送する情報を、盗聴、複製、改ざん、誤った経路での通信及び破壊から保護する
  • 電子メール等を通じて伝送される可能性のあるマルウェアを検出し、これらから保護するための手順
  • 添付ファイルによる電子情報の保護
  • 名誉き(毀)損、嫌がらせ、成りすまし、チェーンメールの転送、架空購入をしないこと
  • 情報の機密性、完全性及び真正性を保護するための暗号の利用
  • 国及び地域の法令及び規制に従った、全ての業務通信文の保持及び処分に関する指針
  • 外部のメールアドレスへの電子メールの自動転送に関する管理策及び制限
  • 秘密情報を漏えいしないように適切な予防策を講じることの、要員への助言
  • 留守番電話に残したメッセージの、認可されていない者による再生、共有システムに保管、又は誤ダイアルによる間違った先へ保管されることを防止するため、秘密情報を含んだメッセージを留守番電話に残さないこと
  • ファクシミリへの認可されていないアクセス、特定の番号にメッセージを送る故意又は偶然のプログラミング、誤ダイアル、又は間違って記憶した番号を用いることによる、誤った番号への文書及びメッセージの送付
  • 公共の場所、並びにセキュリティが確保されていない通信経路、出入りが自由なオフィス及び会議室では、秘密の会話はしないことを要員に意識させる

情報を転送する手段の全てについて、セキュリティ対策が必要となります。

13.2.2 合意では、組織と外部関係者との間の業務情報のセキュリティを保った転送について、取り
扱う。

外部との情報転送にあたり、契約条項等につぎのようなことを含める必要があります。

  • 送信、発送及び受領についての管理及び通知を行う責任
  • 追跡可能性及び否認防止を確実にするための手順
  • 梱包及び送信に関する必要最小限の技術標準
  • 預託条項
  • 運送業者を確認する規準
  • データ紛失等の情報セキュリティインシデントが発生した場合の責任及び賠償義務
  • 取扱いに慎重を要する又は重要な情報に対する、合意されたラベル付け
  • 情報及びソフトウェアの記録及び読出しに関する技術標準
  • 暗号鍵等の取扱いに慎重を要するものを保護するために必要とされる、特別な管理策
  • 転送中の情報についての、管理状況の履歴の維持
  • 容認できるアクセス制御のレベル
  • 転送中の情報及び物理的媒体を保護するための方針、手順及び標準類を確立及び維持、参照
  • 関連する業務情報の取扱いに慎重を要する度合いの反映

情報転送における契約上の取り決めを、外部委託先等と合意を得ておくことが重要です。

13.2.3 電子的メッセージ通信に含まれた情報は、適切に保護する。

電子メール等の電子的メッセージ通信に含まれた情報を保護するため、つぎのような対策が必要となります。

  • 組織が採用している分類体系に従った、認可されていないアクセス、改ざん又はサービス妨害からのメッセージの保護
  • 正しい送付先及びメッセージ送信を確実にする仕組み
  • サービスの信頼性及び可用性の確保
  • 電子署名のための要求事項等の法的考慮
  • インスタントメッセージ、ソーシャルネットワーク、ファイル共有等の外部サービスを利用する際の、事前承認
  • 公開されているネットワークからのアクセスを制御する、より強固な認証レベル

電子メールの添付ファイルに重要な情報が含まれる場合、パスワードの設定、暗号化を実施するなどの対策になります。

13.2.4 情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務契約のための要求事項は、
特定し、定めに従ってレビューし、文書化する。

秘密保持契約又は守秘義務契約のための要求事項には、つぎのうような項目を含める必要があります。

  • 法的に強制できる表現を用いて、秘密情報を保護するための要求事項
  • 外部関係者又は組織の従業員への適用
  • 当事者の種類、並びに当事者に許可される秘密情報のアクセス及び取扱いを考慮した、契約要素の選定又は追加
  • 保護される情報の定義
  • 秘密を無期限に保持する場合も含めた、契約の有効期間
  • 契約終了時に要求する処置
  • 認可されていない情報開示を避けるための、署名者の責任及び行為
  • 情報、企業秘密及び知的財産の所有権、並びにこれらの秘密情報の保護との関連
  • 秘密情報の許可された利用範囲、及び情報を利用する署名者の権利
  • 秘密情報に関する行為の監査及び監視の権利
  • 認可されていない開示又は秘密情報漏えいの、通知及び報告のプロセス
  • 契約終了時における情報の返却又は破棄に関する条件
  • 契約違反が発生した場合にとるべき処置
  • 要求事項の、定期的及びこれら要求に影響する変化が発生した場合のレビュー

次回は、「14 システムの取得、開発及び保守」の予定です。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA