JIS Q 27001:2014の管理策について-37

今回は「14 システムの取得、開発」から「14.1 情報システムのセキュリティ要求事項」です。

14 システムの取得、開発及び保守
14.1 情報システムのセキュリティ要求事項目的:ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分で
あることを確実にするため。これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含む。

14.1.1 情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含める。

情報セキュリティに関連する要求事項は、情報システムに関する要求事項として次のようなものを含めます。

  • 方針及び規則に由来する順守の要求事項、脅威のモデリング、インシデントのレビューなどを用い特定する
  • 特定作業の結果は、文書化し、全ての利害関係者によってレビューする
  • 利用者認証の要求事項を導き出すために、利用者が提示する識別情報に対して求める信頼のレベルを定める
  • 業務上の利用者のほか、特権を与えられた利用者及び技術をもつ利用者に対する、アクセスの提供及び認可のプロセスを定める
  • 利用者及び運用担当者に対する、各自の義務及び責任の通知を明確にする
  • 関連する資産の保護の要求、特に、可用性、機密性及び完全性に関する保護の要求を明確にする
  • ログ取得及び監視、並びに否認防止の要求事項のような、業務プロセスに由来する要求事項を定める
  • 他のセキュリティ管理策によって義務付けられる要求事項を定める(例えば、ログ取得及び監視のインターフェース、情報漏えい検知システム)
  • 製品を入手する際には、正式な試験及び調達プロセスに従う
  • 製品の供給者との契約は、明確にされたセキュリティ要求事項を規定する
  • 製品のセキュリティの機能性が指定された要求を満たさない場合は、発生するリスク及び関連する管理策を、製品を購入する前に再考する
  • ソフトウェア及びサービスと整合する製品のセキュリティ構成に関して、入手可能な手引を用いて、これを評価し、実施する
  • 製品を受け入れる基準は、特定したセキュリティ要求事項を満たすことの確証を与える機能の観点で定める
  • 製品は、入手する前に製品を受け入れる基準に照らして評価する
  • 機能の追加によって、許容できない追加のリスクを取り込まないことを確実にするために、レビューする

情報システム、ソフトウェア製品、ASPやクラウドサービスを導入・更新・廃止するための、情報セキュリティ要求事項を定め、ライフスタル全体にわたりセキュリティ対策が適用されるものとします。
例えば、情報システムの開発を外部に依頼するにあたっての要求事項を明確化すること、ソフトウェア製品を購入する基準を明確することなどです。

次回は、「14.1.2」と「14.1.3」の予定です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA