ISO27001の附属書A 管理策とは #6

【管理の目的】
業務用ソフトウェアでの情報の正確な処理を確保するため。

【管理策の選択項目】
1　入力データの妥当性確認
2　内部処理の管理
3　メッセージの完全性
4　出力データの妥当性確認

【管理策の説明】
業務用ソフトウェアの入力データの妥当性、内部処理の妥当性、メッセージの完全性、出力データの妥当性を確認する必要があります。

A.12.3　暗号による管理策

【管理の目的】
情報を暗号化することにより、情報の機密性、正確性を確保するため。

【管理策の選択項目】
1　暗号による管理策の利用方針
2　かぎ（鍵）管理

【管理策の説明】
情報を暗号化するためと、鍵（暗号を復号するため）の管理策を策定する必要があります。
例、見積りメールの暗号化、持ち運び媒体の暗号化など。

A.12.4　システムファイルのセキュリティ

【管理の目的】
システムファイルのセキュリティを確保するため。

【管理策の選択項目】
1　運用ソフトウェアの管理
2　システム試験データの保護
3　プログラムソースコードへのアクセス制限

【管理策の説明】
業務システムの管理方法、試験データ、プログラム開発の管理策を策定する必要があります。

A.12.5　開発及びサポートプロセスにおけるセキュリティ

【管理の目的】

【管理策の選択項目】
1　変更管理手順
2　オペレーティングシステム変更後の業務用ソフトウェアの技術的レビュー
3　パッケージソフトウェアの変更に対する制限
4　情報の漏えい
5　外部委託によるソフトウェア開発

【管理策の説明】
業務システムの変更には正式な変更管理手順を使用し、 OSの変更のの業務用ソフトウェアの動作を検証する必要があります。
パッケージソフトウェアの変更はコントロールする必要があります。パッケージソフトウェアにスパイウエアの機能等がないか検証する必要があります。
外部委託によるソフトウェア開発について管理策を策定する必要があります。

A.12.6　技術的ぜい弱性管理

【管理の目的】
Webサイト等で公開された技術的ぜい弱性（OS、ブラウザ、パッケージソフトウェアのセキュリティホール）を突いた外部からの攻撃を防ぐため。

【管理策の選択項目】
1　技術的ぜい弱性の管理

【管理策の説明】
利用中の情報システムに関するぜい弱性（セキュリティホール）情報は常に収集、評価して更新（プログラムのパッチ等）を適用するか判定する必要があります。

A.13 情報セキュリティインシデントの管理

A.13.1　情報セキュリティの事象及び弱点の報告

【管理の目的】
情報セキュリティの事象と弱点の速やかな報告体制を確立するため。

【管理策の選択項目】
1　情報セキュリティの事象の報告
2　セキュリティ弱点の報告

【管理策の説明】
情報セキュリティの事象は速やかに管理者に報告する体制を策定する必要があります。
情報システムの利用者はセキュリティの弱点を発見した場合報告する必要があります。

A.13.2　情報セキュリティインシデントの管理及びその改善

【管理の目的】
情報セキュリティインシデントの速やかな報告体制を確立するため。

【管理策の選択項目】
1　責任及び手順
2　情報セキュリティインシデントからの学習
3　証拠の収集

【管理策の説明】
情報セキュリティインシデントの対応手順と体制をを策定する必要があります。
インシデントを事例としてとらえ対応策と再発防止策を策定する必要があります。
情報セキュリティインシデントの証拠（アクセスログやエビデンス）は収集、保管する必要があります。

ISO27001の附属書Aとは #7