From 764c8dc5137db0c8f74bbba6fb32f2c96282ddf6 Mon Sep 17 00:00:00 2001 From: okash1n <48118431+okash1n@users.noreply.github.com> Date: Sat, 13 Jun 2026 09:10:57 +0900 Subject: [PATCH 1/2] =?UTF-8?q?feat:=20A.7=20=E7=89=A9=E7=90=86=E7=9A=84?= =?UTF-8?q?=E7=AE=A1=E7=90=86=E7=AD=96=E3=81=AE=E8=A9=B3=E7=B4=B0=E3=83=9A?= =?UTF-8?q?=E3=83=BC=E3=82=B8=E3=82=92=E8=BF=BD=E5=8A=A0=EF=BC=88A.7.5/7.7?= =?UTF-8?q?/7.9/7.10/7.11=EF=BC=89?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/.vitepress/config.mts | 5 + docs/controls/a-7-10.md | 180 ++++++++++++++++++++++++++++++++++ docs/controls/a-7-11.md | 194 +++++++++++++++++++++++++++++++++++++ docs/controls/a-7-5.md | 186 +++++++++++++++++++++++++++++++++++ docs/controls/a-7-7.md | 176 +++++++++++++++++++++++++++++++++ docs/controls/a-7-9.md | 168 ++++++++++++++++++++++++++++++++ docs/controls/index.md | 20 +++- 7 files changed, 924 insertions(+), 5 deletions(-) create mode 100644 docs/controls/a-7-10.md create mode 100644 docs/controls/a-7-11.md create mode 100644 docs/controls/a-7-5.md create mode 100644 docs/controls/a-7-7.md create mode 100644 docs/controls/a-7-9.md diff --git a/docs/.vitepress/config.mts b/docs/.vitepress/config.mts index f28dd59..ba4a4b4 100644 --- a/docs/.vitepress/config.mts +++ b/docs/.vitepress/config.mts @@ -196,8 +196,13 @@ export default withMermaid( { text: 'A.7.2 物理的入退', link: '/controls/a-7-2' }, { text: 'A.7.3 オフィス・施設のセキュリティ', link: '/controls/a-7-3' }, { text: 'A.7.4 物理的セキュリティの監視', link: '/controls/a-7-4' }, + { text: 'A.7.5 物理的・環境的脅威からの保護', link: '/controls/a-7-5' }, { text: 'A.7.6 セキュリティ領域での作業', link: '/controls/a-7-6' }, + { text: 'A.7.7 クリアデスクとクリアスクリーン', link: '/controls/a-7-7' }, { text: 'A.7.8 装置の設置及び保護', link: '/controls/a-7-8' }, + { text: 'A.7.9 構外にある資産のセキュリティ', link: '/controls/a-7-9' }, + { text: 'A.7.10 記憶媒体', link: '/controls/a-7-10' }, + { text: 'A.7.11 サポートユーティリティ', link: '/controls/a-7-11' }, { text: 'A.7.12 ケーブル配線のセキュリティ', link: '/controls/a-7-12' }, { text: 'A.7.13 装置の保守', link: '/controls/a-7-13' }, { text: 'A.7.14 装置の処分又は再利用', link: '/controls/a-7-14' } diff --git a/docs/controls/a-7-10.md b/docs/controls/a-7-10.md new file mode 100644 index 0000000..f0520e7 --- /dev/null +++ b/docs/controls/a-7-10.md @@ -0,0 +1,180 @@ +# A.7.10 記憶媒体 + +## 管理策の概要 + +| 項目 | 内容 | +|------|------| +| 管理策タイプ | 予防的 | +| 情報セキュリティ特性 | 機密性、完全性、可用性 | +| サイバーセキュリティ概念 | 防御 | +| 運用能力 | 物理的セキュリティ、資産管理 | +| セキュリティドメイン | 保護 | + +## 目的 + +記憶媒体を、組織の分類体系と取扱い要件に従って、取得から利用、輸送、廃棄までのライフサイクル全体で管理します。USB メモリや外付けディスクなどの記憶媒体は、小型で持ち運びが容易なため、紛失・盗難による情報漏洩のリスクが特に高い資産です。媒体の管理ルールを明確にすることで、保存された情報の漏洩・改ざん・喪失を防ぎます。 + +## 実施のポイント + +### 管理対象となる記憶媒体 + +管理対象とする媒体の範囲を明確に定義します。代表的な対象は以下のとおりです。 + +- USB メモリ・SD カード等のリムーバブルメディア +- 外付け HDD / SSD +- CD / DVD / Blu-ray 等の光学メディア +- バックアップ用磁気テープ +- PC・サーバー・複合機等に内蔵されたディスク(廃棄・再利用時) + +そもそも記憶媒体を使わずに済む業務フロー(許可されたクラウドストレージでの共有など)へ移行することも、リスクを減らす有効な手段です。媒体の利用は業務上の必要性がある場合に限定します。 + +### ライフサイクル全体での管理 + +媒体は次の各段階で一貫して管理します。 + +| 段階 | 主な管理策 | +|------|------------| +| 取得・登録 | 会社が調達した媒体のみ使用、管理台帳への登録、管理番号ラベルの貼付 | +| 利用 | 利用申請・承認、暗号化の必須化、私物媒体の使用禁止 | +| 保管 | 施錠可能なキャビネットでの保管、保管場所と責任者の明確化 | +| 輸送 | 暗号化、施錠ケースの使用、受け渡し記録の作成 | +| 再利用 | 復元不可能な方式でのデータ消去、消去結果の確認・記録 | +| 廃棄 | 物理破壊または確実な消去、廃棄記録(証明書)の保管 | + +保存する情報の機密レベルに応じて、暗号化の要否や保管・輸送方法などの取扱い基準を変えます。媒体には情報の分類が分かるラベル付けを行います。 + +### 媒体の利用・返却フロー + +```mermaid +flowchart TD + A[利用申請] --> B[上長承認] + B --> C[媒体の貸出・台帳記録] + C --> D[暗号化設定の確認] + D --> E[業務での利用] + + E --> F[利用終了・返却] + F --> G[データ消去] + G --> H{再利用する?} + + H -->|Yes| I[消去結果を確認し施錠保管] + H -->|No| J[物理破壊して廃棄] + J --> K[廃棄記録の保管] + + style B fill:#e3f2fd + style G fill:#fff3e0 + style J fill:#ffebee +``` + +### 輸送時の保護 + +媒体を拠点間や社外へ輸送する際は、以下の対策を講じます。 + +1. **暗号化**: 輸送する媒体内のデータは必ず暗号化する +2. **物理的保護**: 施錠可能なケース・封緘可能な封筒を使用する +3. **信頼できる輸送手段**: 信頼できる配送業者の利用、または担当者による手渡し +4. **受け渡し記録**: 発送者・受領者・日時・媒体の管理番号を記録する +5. **受領確認**: 到着後に受領者が内容を確認し、発送者へ連絡する + +### 再利用・廃棄時のデータ消去 + +媒体を再利用または廃棄する際は、保存されていた情報が復元できない状態にします。「ごみ箱を空にする」「フォーマットする」だけでは、データが復元できる場合があるため不十分です。 + +| 方式 | 概要 | 適用場面 | +|------|------|----------| +| 上書き消去 | 専用ソフトウェアで全領域にデータを上書き | HDD・USB メモリの再利用 | +| 暗号化消去 | 暗号化済み媒体の暗号鍵を破棄 | 暗号化を徹底している媒体 | +| 磁気消去 | 強磁気で記録を破壊(媒体は再利用不可) | 磁気テープ・HDD の廃棄 | +| 物理破壊 | 裁断・破砕・穿孔により媒体自体を破壊 | 廃棄全般、消去不能な媒体 | + +外部の廃棄業者に委託する場合は、破壊・消去の完了を証明する書類(廃棄証明書)を受領し、保管します。 + +## 実装例 + +### 記憶媒体管理規則(例) + +```yaml +記憶媒体管理規則: + + 利用条件: + 許可媒体: 会社が貸与する暗号化機能付き USB メモリのみ + 私物媒体: 使用禁止 + 申請: 利用前に上長の承認を得る + 台帳: 総務部が管理台帳で貸出・返却を管理 + + 取扱い基準: + 極秘情報: 媒体への保存禁止(クラウドの専用領域のみ) + 秘密情報: 暗号化必須、構外持出しは別途申請 + 社外秘情報: 暗号化必須 + 公開情報: 制限なし + + 保管: + 場所: 総務部の施錠キャビネット + 棚卸: 半期に1回、台帳と現物を照合 + + 紛失時: + 報告先: 上長および ISMS 管理責任者へ直ちに報告 + 対応: インシデント対応手順に従う + + 再利用・廃棄: + 再利用: 専用ソフトで上書き消去し、消去結果を記録 + 廃棄: 物理破壊(委託時は廃棄証明書を受領・保管) +``` + +### 記憶媒体管理台帳テンプレート + +| 管理番号 | 種類 | 機密レベル | 利用者 | 貸出日 | 返却日 | 状態 | +|----------|------|------------|--------|--------|--------|------| +| USB-0045 | USB メモリ(暗号化) | 秘密 | 山田太郎 | 2025-01-27 | 2025-01-27 | 保管中 | +| USB-0046 | USB メモリ(暗号化) | 社外秘 | 鈴木一郎 | 2025-01-28 | - | 貸出中 | +| HDD-0012 | 外付け HDD | 秘密 | - | - | - | 廃棄済(2025-01-20) | + +### 記憶媒体利用申請(例) + +```yaml +記憶媒体利用申請: + + 申請者情報: + 氏名: 山田太郎 + 所属: インフラ部 + 社員番号: EMP001 + + 利用情報: + 媒体: USB メモリ(管理番号: USB-0045) + 利用期間: 2025-01-27(当日返却) + 利用目的: サーバー定期メンテナンス用ツールの持込み + 保存する情報: メンテナンス用スクリプト(社外秘) + 構外持出し: なし + + 承認: + 上長: 佐藤部長(承認済) + 台帳記録: 田中(総務部・記録済) + + 返却時確認: + データ消去: 実施済(上書き消去) + 消去確認者: 鈴木一郎 +``` + +### データ消去・廃棄記録テンプレート + +| 項目 | 記録内容 | +|------|----------| +| 実施日 | 2025-01-20 | +| 対象媒体 | 外付け HDD(管理番号: HDD-0012) | +| 処理区分 | 廃棄 | +| 処理方法 | 物理破壊(廃棄業者委託) | +| 証明書 | 廃棄証明書 受領済(証跡番号: CERT-2025-003) | +| 実施者 | 田中(総務部) | +| 確認者 | 佐藤部長 | + +## 関連する管理策 + +- [A.5.9 情報およびその他の関連資産の目録](/controls/#a-5-9) - 媒体の資産目録への登録 +- [A.5.12 情報の分類](/controls/#a-5-12) - 分類に応じた取扱い基準の設定 +- [A.5.13 情報のラベル付け](/controls/#a-5-13) - 媒体への分類ラベルの貼付 +- [A.7.14 装置のセキュリティを保った処分又は再利用](/controls/a-7-14) - 内蔵ディスクを含む装置の処分・再利用 +- [A.8.10 情報の削除](/controls/a-8-10) - 不要となった情報の確実な削除 + +## 参考情報 + +- [従業員向けセキュリティガイドライン - 4.6 記憶媒体の取扱い](/isms/guidelines/employee-security-guideline#_4-6-記憶媒体の取扱い-a-7-10) - 従業員向けの具体的なルール +- [仮想組織の設定 - 機密レベル定義](/templates/virtual-organization#機密レベル定義) - 取扱い基準の前提となる分類 diff --git a/docs/controls/a-7-11.md b/docs/controls/a-7-11.md new file mode 100644 index 0000000..f5b62a5 --- /dev/null +++ b/docs/controls/a-7-11.md @@ -0,0 +1,194 @@ +# A.7.11 サポートユーティリティ + +## 管理策の概要 + +| 項目 | 内容 | +|------|------| +| 管理策タイプ | 予防的・検知的 | +| 情報セキュリティ特性 | 完全性、可用性 | +| サイバーセキュリティ概念 | 防御・検知 | +| 運用能力 | 物理的セキュリティ | +| セキュリティドメイン | 保護 | + +## 目的 + +情報処理設備を、電源障害やサポートユーティリティの障害から保護します。電源・空調・通信回線などのユーティリティが停止すると、サーバーの異常停止によるデータ破損や、サービス停止による業務中断が発生します。ユーティリティの冗長化・監視・定期点検により、障害の予防と早期検知を実現します。 + +## 実施のポイント + +### 対象となるユーティリティの特定 + +情報処理設備を支えるユーティリティを洗い出し、障害時の影響を評価します。 + +| ユーティリティ | 障害時の主な影響 | 主な対策 | +|----------------|------------------|----------| +| 電源 | サーバー異常停止、データ破損 | UPS、非常用発電機、サージ保護 | +| 空調・換気 | 機器の過熱による故障・停止 | 空調の冗長化、温湿度監視 | +| 通信回線 | サービス・業務システムの利用不能 | 回線の二重化、キャリア分散 | +| 給水・排水 | 空調停止(水冷式の場合)、漏水被害 | 設置場所の選定、漏水検知 | +| 消防・防災設備 | 火災時の被害拡大 | 法定点検、火災報知機との連動 | + +賃借ビルに入居している場合は、受電設備や非常用発電機などビル側で管理される設備も多いため、自社の管理範囲とビル管理会社の管理範囲を契約・覚書で明確にしておきます。 + +### 電源障害への段階的な備え + +停電の継続時間に応じて、対策を段階的に設計します。 + +| 障害の規模 | 想定される状況 | 対策 | +|------------|----------------|------| +| 瞬断・電圧変動 | 落雷、系統切替 | UPS・サージプロテクタで吸収 | +| 短時間の停電(〜30分) | ビル設備の不具合 | UPSで稼働を継続し、復電を待機 | +| 長時間の停電(30分〜) | 地域停電、災害 | UPS稼働中にサーバーを計画シャットダウン | +| 広域・長期の障害 | 大規模災害 | 事業継続計画に基づきDR環境へ切替 | + +UPSは「停電中も動かし続ける」ためではなく、「安全にシャットダウンする時間を確保する」ための装置と位置づけ、必要なバックアップ時間から容量を決定します。 + +### 障害の検知と対応フロー + +ユーティリティの異常を早期に検知できるよう、監視とアラート通知を整備します。 + +```mermaid +flowchart TD + A[設備監視
温湿度センサー・UPS監視・回線監視] --> B{異常検知?} + B -->|No| A + B -->|Yes| C[担当者へ自動通知] + + C --> D{障害の種類} + D -->|停電| E[UPSへ自動切替] + D -->|空調異常| F[室温の監視を強化] + D -->|回線障害| G[バックアップ回線へ切替] + + E --> H{短時間で復電見込み?} + H -->|Yes| I[復電待機・状況監視] + H -->|No| J[サーバーの計画シャットダウン] + + F --> K{室温が閾値超過?} + K -->|Yes| J + K -->|No| I + + G --> I + + J --> L[ビル管理会社・保守業者へ連絡] + L --> M[復旧後に起動・正常性確認] + M --> N[障害記録の作成・再発防止の検討] + + style C fill:#e3f2fd + style J fill:#ffebee +``` + +### 定期点検と保守 + +ユーティリティ設備は、導入して終わりではなく、定期的な点検で機能を維持します。 + +- **UPS**: バッテリーは消耗品のため、定期点検と寿命に応じた交換計画を立てる +- **空調**: フィルター清掃・冷媒点検を定期的に実施する +- **非常用電源**: ビル側設備の場合は、ビル管理会社の点検結果を入手・確認する +- **監視センサー**: アラートが実際に通知されるかを定期的にテストする +- **切替試験**: 可能な範囲で、UPS切替やバックアップ回線切替の動作試験を行う + +点検結果は記録として保持し、異常や劣化の兆候があれば計画的に対処します。 + +### 通信回線の冗長化 + +クラウドサービスを提供・利用する組織では、通信回線も重要なユーティリティです。 + +1. **回線の二重化**: 異なるキャリア・異なる経路の回線を契約する +2. **自動切替**: 主回線の障害時にバックアップ回線へ自動で切り替わる構成にする +3. **モバイル回線の備え**: 固定回線が全断した場合の代替手段を用意する +4. **クラウド側の冗長化**: 本番環境はリージョン・アベイラビリティゾーンの分散で補完する + +## 実装例 + +### サポートユーティリティ管理基準(本社サーバールーム) + +```yaml +サポートユーティリティ管理基準: + + 対象: 本社サーバールーム(開発環境用) + + 電源: + UPS: + 容量: サーバー全負荷で30分以上 + 動作: 停電時に自動切替、10分経過で復電見込みがない場合は + 計画シャットダウンを開始 + 点検: 年1回(保守業者)、バッテリー交換は5年周期 + サージ保護: ラック系統の全コンセントに設置 + 非常用発電機: ビル共用設備(ビル管理会社が法定点検を実施、 + 点検結果を年1回入手) + + 空調: + 構成: 専用空調2系統(1系統停止でも運転継続可能) + 設定: 温度22℃ / 湿度50% + 点検: フィルター清掃は四半期ごと、定期点検は年1回 + + 監視: + 温湿度センサー: 各ラックに設置 + アラート閾値: + 温度: 28℃以上 + 湿度: 65%以上または30%以下 + UPS監視: SNMPで監視システムに連携 + 通知先: インフラ部オンコール担当(Slack + 電話) + + 通信回線: + 主回線: キャリアA(光専用線) + バックアップ回線: キャリアB(別経路) + 切替: ルーターによる自動切替 + 切替試験: 年1回 + + 責任分界: + 自社管理: UPS、サーバールーム空調、温湿度センサー、回線機器 + ビル管理会社: 受電設備、非常用発電機、消防設備、給排水 +``` + +### ユーティリティ点検記録テンプレート + +| 項目 | 記録内容 | +|------|----------| +| 点検日 | 2025-02-14 | +| 対象設備 | UPS(資産番号: UPS-0001)、サーバールーム空調1・2系統 | +| 点検種別 | 定期点検(年次) | +| 点検内容 | UPSバッテリー診断、無負荷切替試験、空調フィルター清掃 | +| 結果 | UPS: 正常(バッテリー残寿命 約2年)、空調: 正常 | +| 異常・特記事項 | UPSバッテリーは2027年交換予定として更新計画に登録 | +| 点検者 | 山田太郎(インフラ部)、保守業者立会い: 鈴木一郎 | +| 確認者 | 佐藤部長 | + +### 停電発生時の対応記録(例) + +```yaml +ユーティリティ障害記録: + + 記録番号: UTL-2025-001 + 発生日時: 2025-03-05 14:20 + 検知方法: UPS監視アラート(停電検知) + + 障害内容: ビル全体の停電(受電設備の不具合) + + 対応経過: + - 14:20 UPSへ自動切替、インフラ部に自動通知 + - 14:25 山田太郎がビル管理会社へ状況確認(復電見込み不明) + - 14:30 計画シャットダウン開始(開発環境サーバー) + - 15:40 復電をビル管理会社から連絡 + - 16:00 サーバー起動、正常性確認完了 + + 影響: 開発環境が約1.5時間利用不可(本番環境はクラウドのため影響なし) + + 再発防止・改善: + - ビル管理会社との連絡経路を緊急連絡網に追記 + - シャットダウン手順書の記載順序を見直し + + 記録者: 山田太郎 + 確認者: 田中(ISMS事務局) +``` + +## 関連する管理策 + +- [A.7.5 物理的および環境的脅威からの保護](/controls/a-7-5) - 停電の原因となる災害・脅威への対策 +- [A.7.8 装置の設置及び保護](/controls/a-7-8) - 装置側の設置環境・電源保護 +- [A.5.30 事業継続のためのICTの備え](/controls/a-5-30) - 長時間のユーティリティ障害時の事業継続 +- [A.8.6 容量・能力の管理](/controls/#a-8-6) - 電源容量・空調能力を含む容量計画 + +## 参考情報 + +- [事業継続計画](/isms/plans/business-continuity-plan) - 停電・インフラ障害を想定インシデントに含む計画 +- [仮想組織の設定 - 拠点情報](/templates/virtual-organization#拠点情報) - 本社サーバールーム・クラウド環境の前提 diff --git a/docs/controls/a-7-5.md b/docs/controls/a-7-5.md new file mode 100644 index 0000000..0c38919 --- /dev/null +++ b/docs/controls/a-7-5.md @@ -0,0 +1,186 @@ +# A.7.5 物理的および環境的脅威からの保護 + +## 管理策の概要 + +| 項目 | 内容 | +|------|------| +| 管理策タイプ | 予防的 | +| 情報セキュリティ特性 | 機密性、完全性、可用性 | +| サイバーセキュリティ概念 | 防御 | +| 運用能力 | 物理的セキュリティ | +| セキュリティドメイン | 保護 | + +## 目的 + +自然災害や、意図的・偶発的な物理的脅威(火災、水害、地震、停電等)によるインフラへの損害を防ぐための保護対策を設計し、実装します。物理的・環境的脅威は、情報そのものだけでなく、情報を処理する設備や拠点全体の可用性に大きな影響を与えます。拠点の立地や施設の特性を踏まえてリスクを評価し、計画的に対策を講じることが重要です。 + +## 実施のポイント + +### 物理的・環境的脅威の特定 + +まず、自組織の拠点がどのような脅威に晒されているかを洗い出します。脅威は自然災害だけでなく、人為的なものも含めて幅広く検討します。 + +| 脅威の分類 | 例 | 主な影響 | +|------------|-----|----------| +| 自然災害 | 地震、台風、水害、落雷、大雪 | 建物・設備の損壊、長時間の業務停止 | +| 火災 | 近隣火災、施設内の失火、電気火災 | 設備の焼損、記録媒体の喪失 | +| 水漏れ | 配管の破損、空調ドレンの詰まり、上階からの漏水 | 機器の故障、漏電 | +| インフラ障害 | 停電、空調故障、通信回線の切断 | システム停止、機器の過熱 | +| 人為的脅威 | 破壊行為、周辺での騒乱・事故 | 設備の損壊、拠点への立入不能 | + +脅威の特定にあたっては、自治体が公開するハザードマップや、ビル管理会社からの情報(耐震性能、非常用電源の有無等)も活用します。 + +### リスク評価と対策導入の流れ + +特定した脅威ごとに発生可能性と影響度を評価し、優先順位を付けて対策を導入します。導入後も監視・点検・見直しを継続するサイクルを回します。 + +```mermaid +flowchart TD + A[脅威の特定] --> B[ハザードマップ・立地条件の確認] + B --> C[リスク評価] + C --> D{リスクレベル} + + D -->|高| E[設備対策の導入] + D -->|中| F[運用対策・監視の導入] + D -->|低| G[現状維持・定期見直し] + + E --> H[環境監視センサーの設置] + F --> H + + H --> I[定期点検・保守] + I --> J[訓練・事業継続計画との連携] + J --> K[年次見直し] + K --> C + + style C fill:#e3f2fd + style E fill:#fff3e0 + style J fill:#e8f5e9 +``` + +### 脅威別の保護対策 + +脅威ごとに「予防」と「検知・対応」の両面から対策を整備します。 + +| 脅威 | 予防対策 | 検知・対応策 | +|------|----------|--------------| +| 火災 | 可燃物の持込制限、電源タップ・配線の定期点検 | 煙感知器、消火器・消火設備の設置 | +| 水漏れ | サーバールームを水回りから離して配置、機器のラック搭載 | 漏水センサー、緊急時の電源遮断手順 | +| 地震 | ラック・棚の固定、転倒防止器具、耐震性のあるビルの選定 | 発生後の損傷点検手順、安否確認 | +| 停電 | UPS の設置、ビル非常用電源の給電範囲の確認 | 電源監視、自動シャットダウン設定 | +| 空調障害・過熱 | 空調の冗長化、定期保守 | 温湿度センサー、閾値超過時のアラート | + +本番環境をクラウドで運用している場合でも、オフィス内のサーバールームやネットワーク機器、書庫などは自組織で保護する必要があります。 + +### 環境監視と定期点検 + +対策は導入して終わりではなく、継続的な監視と点検によって有効性を維持します。 + +- **環境監視センサー**: 温度・湿度・漏水・煙などを常時監視し、閾値を超えた場合は担当者へ自動通知する +- **定期点検**: 消火設備、UPS、空調、転倒防止器具などを定期的に点検し、記録を残す +- **是正対応**: 点検で見つかった不備は期限を決めて改善し、完了を確認する + +### 事業継続との連携 + +物理的・環境的脅威は、対策を講じても完全には防げません。被害が発生した場合に重要業務を継続・復旧できるよう、[事業継続計画](/isms/plans/business-continuity-plan)と連携させます。 + +1. **想定インシデントの整合**: BCP が想定する自然災害・停電等のシナリオと、本管理策で特定した脅威を一致させる +2. **復旧優先順位の共有**: 重要システムの目標復旧時間(RTO)を踏まえ、保護対策の優先度を決める +3. **代替手段の確保**: DR 環境(別リージョン等)への切替手順や、代替勤務場所(リモートワーク)を整備する +4. **訓練への組込み**: 避難訓練や事業継続訓練に、物理的脅威のシナリオを組み込む + +## 実装例 + +### 物理的・環境的脅威対策基準 + +```yaml +物理的・環境的脅威対策基準: + + 対象拠点: + - 本社(シーサイドビル 8F) + - 福岡開発センター(テックビル 5F) + + 本社サーバールーム: + 火災対策: + - 煙感知器の設置(ビル防災設備と連動) + - 消火器の設置(年1回点検) + - 可燃物(段ボール等)の持込禁止 + 水害対策: + - 漏水センサーの設置(空調ドレン付近) + - 機器はすべてラック搭載(床への直置き禁止) + 地震対策: + - サーバーラックの床固定 + - 転倒防止ベルト・耐震マットの使用 + 電源対策: + - UPS の設置(停電時の自動シャットダウン連動) + - ビル非常用電源の給電範囲を管理会社に確認 + 空調対策: + - 専用空調2系統による冗長化 + - 温湿度センサーによる常時監視 + + 福岡開発センター: + 方針: ローカルサーバーなしのため、オフィス一般対策を適用 + 対策: + - 消火器の設置場所の周知 + - 書庫・棚の転倒防止固定 + - ハザードマップの確認(年1回) + + 運用体制: + 対策の導入・保守: インフラ部 + 点検記録の管理: 総務部 + 承認: セキュリティ担当 田中 +``` + +### 環境監視センサー設定 + +```yaml +環境監視設定: + + 対象: 本社サーバールーム + + センサーと閾値: + 温度: + 正常範囲: 18〜27℃ + 警告: 28℃以上で通知 + 重大: 32℃以上で通知・緊急対応 + 湿度: + 正常範囲: 40〜60% + 警告: 範囲外で通知 + 漏水: + 検知時: 即時通知、電源遮断の要否を判断 + 煙: + 検知時: ビル防災設備への自動通報 + + 通知先: + 警告: インフラ部チャットチャンネル + 重大: インフラ部オンコール担当 + 総務部 + + 記録: + 監視ログ保存期間: 1年間 + アラート対応記録: 対応完了まで記録し、月次で振り返り +``` + +### 設備点検記録テンプレート + +| 項目 | 記録内容 | +|------|----------| +| 点検日 | 2025-02-10 | +| 対象設備 | サーバールーム UPS、消火器、漏水センサー | +| 点検者 | 山田太郎(インフラ部) | +| 点検内容 | UPS バッテリー状態確認、消火器の有効期限確認、漏水センサーの動作テスト | +| 結果 | UPS 正常、消火器は有効期限内、センサー正常 | +| 指摘事項 | 空調2号機のフィルター汚れ → 次回保守時に交換 | +| 是正期限 | 2025-03-31 | +| 確認者 | 鈴木一郎 | +| 承認 | 佐藤部長 | + +## 関連する管理策 + +- [A.7.1 物理的セキュリティ境界](/controls/a-7-1) - 保護対象となる領域・境界の定義 +- [A.7.8 装置の設置及び保護](/controls/a-7-8) - 装置単位での環境的脅威からの保護 +- [A.5.29 事業の中断・阻害時の情報セキュリティ](/controls/#a-5-29) - 中断・阻害時のセキュリティ維持 +- [A.5.30 事業継続のためのICTの備え](/controls/a-5-30) - 被災時に ICT を継続するための備え + +## 参考情報 + +- [事業継続計画](/isms/plans/business-continuity-plan) - 物理的脅威を想定インシデントに含む BCP テンプレート +- [仮想組織の設定 - 拠点情報](/templates/virtual-organization#拠点情報) - 拠点・設備構成の前提 diff --git a/docs/controls/a-7-7.md b/docs/controls/a-7-7.md new file mode 100644 index 0000000..3f5fd25 --- /dev/null +++ b/docs/controls/a-7-7.md @@ -0,0 +1,176 @@ +# A.7.7 クリアデスクとクリアスクリーン + +## 管理策の概要 + +| 項目 | 内容 | +|------|------| +| 管理策タイプ | 予防的 | +| 情報セキュリティ特性 | 機密性 | +| サイバーセキュリティ概念 | 防御 | +| 運用能力 | 物理的セキュリティ | +| セキュリティドメイン | 保護 | + +## 目的 + +紙媒体やリムーバブル記憶媒体に対するクリアデスク規則と、情報処理設備に対するクリアスクリーン規則を定め、適切に実施します。机上や画面に放置された情報は、来訪者・清掃業者・他部門の従業員など、本来アクセス権限のない者の目に触れたり、持ち去られたりするリスクがあります。離席時・退社時に情報が放置されない状態を組織の習慣として定着させることで、日常業務に潜む情報漏洩リスクを低減します。 + +## 実施のポイント + +### クリアデスク規則の策定 + +机上やその周辺に放置されやすい情報資産を洗い出し、対象物ごとに取扱いルールを定めます。 + +| 対象物 | ルール | +|--------|--------| +| 機密文書・帳票 | 離席時・退社時は施錠可能なキャビネットへ保管 | +| リムーバブル記憶媒体(USBメモリ等) | 使用後は速やかに施錠保管、机上への放置禁止 | +| 付箋・手書きメモ | パスワード・アカウント情報の書き残し禁止 | +| 印刷物 | 出力後は速やかに回収、プリンターへの放置禁止 | +| ホワイトボード | 会議終了時に消去、機密情報の書き残し禁止 | +| 不要になった書類 | シュレッダーまたは機密文書回収ボックスで廃棄 | + +### クリアスクリーン規則の策定 + +画面に表示された情報を保護するため、以下のルールを定めます。 + +1. **手動ロックの徹底**: 離席時は必ず画面をロックする(ショートカットキーを周知) +2. **自動ロックの強制**: 一定時間(例: 10分)無操作で自動的に画面ロックする設定を全端末に適用 +3. **ロック解除の認証**: 画面ロック解除時にパスワード等の認証を必須とする +4. **画面の配置**: 来訪者の動線から画面が見えない向きにモニターを配置 +5. **のぞき見対策**: 社外・リモートワークでの作業時はプライバシーフィルターを使用 + +自動ロックの設定は個人任せにせず、MDM やグループポリシーで組織的に強制することが重要です。 + +### 離席・退社時の手順 + +従業員が迷わず実践できるよう、離席の場面ごとに手順を整理して周知します。 + +```mermaid +flowchart TD + A[席を離れる] --> B{どのくらい離れる?} + + B -->|短時間の離席| C[画面をロック] + C --> D[機密文書・媒体を机上に出したままにしない] + D --> E[離席] + + B -->|退社・長時間の離席| F[画面ロックまたはシャットダウン] + F --> G[書類・記憶媒体を施錠保管] + G --> H[机上に情報資産が残っていないか確認] + H --> I[キャビネット・ロッカーの施錠確認] + I --> J[退社] + + style C fill:#e3f2fd + style G fill:#fff3e0 +``` + +### 共用設備・共用エリアへの展開 + +クリアデスク・クリアスクリーンは個人の机だけでなく、情報が放置されやすい共用設備にも適用します。 + +- **プリンター・複合機**: 認証印刷(ICカードをかざして出力する方式)の導入により、印刷物の放置を仕組みで防止 +- **会議室**: 退室時のホワイトボード消去と配付資料の回収を、会議主催者の責任として明確化 +- **フリーアドレス席**: 退社時に机上へ何も残さない運用とし、書類・私物は個人ロッカーへ保管 +- **リモートワーク環境**: 家族等の同居者からも画面・書類が見えないよう、作業環境のルールを定める + +### 遵守状況の点検 + +規則は策定して終わりではなく、定期的に遵守状況を確認し、形骸化を防ぎます。 + +| 点検方法 | 頻度 | 実施者 | +|----------|------|--------| +| 執務エリアの巡回点検 | 月1回 | ISMS事務局・部門セキュリティ担当者 | +| 退社後の机上抜き打ち確認 | 四半期に1回 | ISMS事務局 | +| 画面ロック設定の技術的確認 | 月1回(MDMで自動集計) | 情報システム担当 | +| 内部監査での確認 | 年1回 | 内部監査チーム | + +点検結果は記録し、指摘が多い部門には再教育を実施するなど、意識向上の取り組みと連動させます。 + +## 実装例 + +### クリアデスク・クリアスクリーン規程(例) + +```yaml +クリアデスク・クリアスクリーン規程: + + 適用範囲: + 対象者: 全従業員(派遣社員・常駐の業務委託要員を含む) + 対象場所: 本社、福岡開発センター、リモートワーク環境 + + クリアデスク: + 執務エリア(フリーアドレス): + - 退社時は机上に書類・記憶媒体・私物を一切残さない + - 書類・記憶媒体は個人ロッカーに施錠保管 + - 機密レベル「秘密」以上の書類は総務部管理の施錠キャビネットに保管 + 会議室: + - 退室時にホワイトボードを消去 + - 配付資料・メモの回収を会議主催者が確認 + プリンター: + - 認証印刷を導入(ICカードをかざして出力) + - 出力した印刷物は速やかに回収 + + クリアスクリーン: + 手動ロック: + タイミング: 離席時は必ず実施 + 操作方法: Windows は Win+L、Mac は Control+Command+Q + 自動ロック: + 設定: 10分間無操作で画面ロック + 適用方法: MDMで全端末に強制適用(個人での変更不可) + 画面の保護: + - モニターは来訪者の動線から見えない向きに配置 + - 社外・リモートワーク時はのぞき見防止フィルターを使用 + + リモートワーク時の追加ルール: + - 同居者から画面・書類が見えない環境で作業する + - 機密情報は原則印刷しない(やむを得ず印刷した場合は使用後シュレッダー処分) + - 業務終了後は会社システムからログアウトする + + 違反時の対応: + 初回: 口頭での注意と是正 + 繰り返し: 部門セキュリティ担当者から上長へ報告、再教育を実施 +``` + +### クリアデスク巡回点検記録テンプレート + +| 項目 | 記録内容 | +|------|----------| +| 点検日 | 2025-01-31 | +| 点検者 | 田中(ISMS事務局) | +| 対象エリア | 本社8F 執務エリア | +| 点検結果 | 指摘2件 | +| 指摘事項1 | 机上に顧客向け提案書が放置(対応: 山田太郎が回収し施錠保管) | +| 指摘事項2 | プリンターに印刷物が放置(対応: 鈴木一郎に注意、本人が回収) | +| 是正確認 | 佐藤部長が当日中に是正完了を確認 | +| 特記事項 | 認証印刷の導入後、印刷物の放置は減少傾向 | + +### 画面ロック設定の確認記録(例) + +```yaml +画面ロック設定確認: + + 確認日: 2025-01-31 + 確認者: 鈴木一郎(情報システム担当) + 確認方法: MDM管理コンソールでの設定適用状況の集計 + + 結果: + 対象端末数: 152台 + 自動ロック設定適用済み: 150台 + 未適用: 2台(修理交代機、設定漏れ) + + 対応: + - 未適用2台は当日中に設定を適用 + - 交代機の貸出手順に設定確認のチェック項目を追加 + + 報告先: 田中(ISMS管理責任者) +``` + +## 関連する管理策 + +- [A.7.3 オフィス、部屋および施設のセキュリティ](/controls/a-7-3) - 施錠可能なキャビネット等、保管環境の物理的セキュリティ +- [A.8.1 利用者エンドポイント機器](/controls/#a-8-1) - 画面ロックを含む端末側の保護対策 +- [A.6.3 情報セキュリティの意識向上、教育および訓練](/controls/#a-6-3) - クリアデスク・クリアスクリーンを習慣として定着させる教育 + +## 参考情報 + +- [情報の許容される利用方針 - 4. 禁止事項](/isms/policies/acceptable-use-policy#_4-禁止事項) - 情報資産の取扱いに関する禁止事項 +- [従業員向けセキュリティガイドライン - 4.3 クリアデスク・クリアスクリーン](/isms/guidelines/employee-security-guideline#_4-3-クリアデスク・クリアスクリーン-a-7-7) - 従業員向けの具体的なルール例 +- [仮想組織の設定 - 物理的環境](/templates/virtual-organization#物理的環境) - オフィスレイアウト・フリーアドレス等の前提条件 diff --git a/docs/controls/a-7-9.md b/docs/controls/a-7-9.md new file mode 100644 index 0000000..9e0b987 --- /dev/null +++ b/docs/controls/a-7-9.md @@ -0,0 +1,168 @@ +# A.7.9 構外にある資産のセキュリティ + +## 管理策の概要 + +| 項目 | 内容 | +|------|------| +| 管理策タイプ | 予防的 | +| 情報セキュリティ特性 | 機密性、完全性、可用性 | +| サイバーセキュリティ概念 | 防御 | +| 運用能力 | 物理的セキュリティ、資産管理 | +| セキュリティドメイン | 保護 | + +## 目的 + +オフィスの外(構外)に持ち出された資産を保護します。ノートPCや書類などの資産は、構外に出た瞬間からオフィスの物理的セキュリティ対策の保護を受けられなくなり、紛失・盗難・のぞき見などのリスクが大きく高まります。持出しの承認手続と構外での保護ルールを定め、資産の所在を追跡できる状態を維持することで、これらのリスクを低減します。 + +## 実施のポイント + +### 対象となる資産の特定 + +構外に持ち出される可能性のある資産を洗い出し、管理対象を明確にします。 + +- ノートPC・タブレット・スマートフォン +- USBメモリ・外付けHDDなどの記憶媒体 +- 紙の書類(契約書、提案書、設計書等) +- モバイルルーター・認証トークンなどの周辺機器 +- リモートワーク用に従業員宅へ常時配置される機器 + +一時的な持出し(外出・出張)と、リモートワークのような恒常的な構外利用では管理方法が異なります。恒常的な利用については、貸与時に利用条件を明示し、定期的な棚卸しで所在を確認する方式が現実的です。 + +### 持出しの承認手続 + +資産の持出しは、事前申請と承認に基づいて行います。承認の粒度はリスクに応じて調整し、日常的な持出しまで都度申請にすると形骸化するため、包括承認と都度承認を使い分けます。 + +| 持出しパターン | 承認方式 | 例 | +|----------------|----------|-----| +| 貸与PCの日常的な持出し | 貸与時に包括承認 | リモートワーク、日常の外出 | +| 記憶媒体の持出し | 都度申請・承認 | 顧客先へのデータ受渡し | +| 機密書類の持出し | 都度申請・承認 | 契約書の持参 | +| 海外への持出し | 都度申請 + 追加要件の確認 | 海外出張 | + +### 持出しから返却までの流れ + +```mermaid +flowchart TD + A[持出申請] --> B[上長承認] + B --> C{機密レベルの確認} + C -->|極秘・秘密を含む| D[資産管理担当の承認] + C -->|含まない| E[持出記録に登録] + D --> E + + E --> F[保護対策の確認
暗号化・パスワード等] + F --> G[持出し・構外で利用] + + G --> H{紛失・盗難?} + H -->|Yes| I[直ちに報告
インシデント対応へ] + H -->|No| J[返却] + + J --> K[返却確認・記録更新] + + style D fill:#e3f2fd + style I fill:#ffebee +``` + +### 構外での保護要件 + +構外では、場面ごとに以下の保護ルールを適用します。 + +| 場面 | 保護ルール | +|------|------------| +| 移動中 | 資産は常に手元に置く。車内放置・預け入れ荷物・網棚への放置は禁止 | +| 公共の場での作業 | のぞき見防止フィルターを使用し、機密情報を扱う作業は避ける | +| 自宅での保管 | 家族を含む第三者が業務情報に触れない場所に保管し、端末を共用しない | +| 通信 | 公衆Wi-Fiでの業務は禁止(会社貸与のモバイルルーターまたはVPNを使用) | +| 技術的保護 | ディスク全体の暗号化、ログインパスワード、リモートワイプの設定を必須とする | +| 持ち出す情報 | 業務に必要な最小限の情報のみ持ち出す | + +### 紛失・盗難時の対応と資産の追跡 + +紛失・盗難は「発生し得るもの」として、事後対応をあらかじめ準備します。 + +1. **即時報告**: 発見次第、時間外でも直ちに報告する窓口を周知する +2. **リモート対応**: MDM等によるリモートロック・リモートワイプを実行する +3. **被害評価**: 持出記録から、失われた資産と含まれる情報を特定する +4. **外部対応**: 警察への届出、必要に応じて顧客・関係者への連絡を行う + +また、持出記録とMDMの登録情報を定期的な資産棚卸しと照合し、所在不明の資産がないかを確認します。返却されないまま放置された資産は紛失と区別がつかなくなるため、長期間返却記録のない持出しは定期的に洗い出してフォローします。 + +## 実装例 + +### 資産持出申請書 + +```yaml +資産持出申請: + + 申請者情報: + 氏名: 山田太郎 + 所属: 営業部 + 社員番号: EMP001 + + 持出資産: + - 資産名: 貸与ノートPC + 資産番号: PC-0123 + 含まれる情報: 顧客提案書(社外秘) + - 資産名: 暗号化USBメモリ + 資産番号: USB-0045 + 含まれる情報: デモ環境データ(社外秘) + + 持出情報: + 持出先: 顧客A社(大阪市) + 持出期間: 2025-01-27 〜 2025-01-28 + 目的: 製品デモンストレーションの実施 + + 保護対策の確認: + - ディスク暗号化: 有効 + - リモートワイプ: 設定済み + - のぞき見防止フィルター: 装着済み + + 承認: + 上長: 佐藤部長(承認済) + 資産管理担当: 田中(承認済) +``` + +### 持出記録テンプレート + +| 持出日 | 資産番号 | 資産名 | 持出者 | 持出先 | 返却予定日 | 返却日 | 確認者 | +|--------|----------|--------|--------|--------|------------|--------|--------| +| 2025-01-27 | PC-0123 | ノートPC | 山田太郎 | 顧客A社 | 2025-01-28 | 2025-01-28 | 田中 | +| 2025-01-27 | USB-0045 | 暗号化USBメモリ | 山田太郎 | 顧客A社 | 2025-01-28 | 2025-01-28 | 田中 | +| 2025-01-29 | PC-0150 | ノートPC | 鈴木一郎 | 自宅(リモートワーク) | 包括承認 | - | 田中 | + +### 紛失・盗難時対応手順 + +```yaml +紛失・盗難時対応手順: + + 従業員の初動: + - 発見次第、直ちにISMS管理責任者へ報告(夜間・休日も連絡) + - 紛失した場所・時刻・状況を可能な範囲で整理 + - 心当たりのある場所・施設へ確認 + + 情報システム部門の対応: + - MDMによるリモートロック・リモートワイプの実行 + - 該当アカウントのパスワードリセット・セッション無効化 + - アクセスログの確認(不正利用の有無) + + 資産管理担当の対応: + - 持出記録から資産と含まれる情報の特定 + - 機密レベルに応じた影響評価 + - 警察への遺失物届・盗難届の提出支援 + + 事後対応: + - インシデント報告書の作成 + - 必要に応じて顧客・関係者への連絡 + - 再発防止策の検討(持出ルールの見直し等) +``` + +## 関連する管理策 + +- [A.6.7 リモートワーク](/controls/#a-6-7) - 恒常的な構外利用であるリモートワークのセキュリティ +- [A.8.1 利用者エンドポイント機器](/controls/#a-8-1) - 持ち出される端末そのものの保護 +- [A.5.9 情報およびその他の関連資産の目録](/controls/#a-5-9) - 持出し対象資産の特定の前提となる資産目録 +- [A.7.10 記憶媒体](/controls/a-7-10) - 記憶媒体の輸送・持出し時の保護 + +## 参考情報 + +- [従業員向けセキュリティガイドライン - 4.7 構外での資産管理](/isms/guidelines/employee-security-guideline#_4-7-構外での資産管理-a-7-9) - 従業員向けの持出しルール +- [仮想組織の設定 - リモートワーク環境](/templates/virtual-organization#リモートワーク環境) - 構外利用の前提となる環境設定の例 diff --git a/docs/controls/index.md b/docs/controls/index.md index 5824f9a..6f42611 100644 --- a/docs/controls/index.md +++ b/docs/controls/index.md @@ -862,7 +862,7 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 --- -### 7.5 物理的および環境的脅威からの保護 {#a-7-5} +### [7.5 物理的および環境的脅威からの保護](./a-7-5) {#a-7-5} > **関連テンプレート**: [事業継続計画](/isms/plans/business-continuity-plan) @@ -876,6 +876,8 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 **属性**: 予防的 | C・I・A | 防御 | 物理的セキュリティ +**関連**: [物理的および環境的脅威からの保護詳細](/controls/a-7-5) + --- ### [7.6 セキュリティを保つべき領域での作業](./a-7-6) {#a-7-6} @@ -896,7 +898,7 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 --- -### 7.7 クリアデスクとクリアスクリーン {#a-7-7} +### [7.7 クリアデスクとクリアスクリーン](./a-7-7) {#a-7-7} > **関連テンプレート**: [情報の許容される利用方針 - 4. 禁止事項](/isms/policies/acceptable-use-policy#_4-禁止事項)、[従業員向けセキュリティガイドライン - 4.3 クリアデスク・クリアスクリーン](/isms/guidelines/employee-security-guideline#_4-3-クリアデスク・クリアスクリーン-a-7-7) @@ -910,6 +912,8 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 **属性**: 予防的 | C | 防御 | 物理的セキュリティ +**関連**: [クリアデスクとクリアスクリーン詳細](/controls/a-7-7) + --- ### [7.8 装置の設置および保護](./a-7-8) {#a-7-8} @@ -930,7 +934,7 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 --- -### 7.9 構外にある資産のセキュリティ {#a-7-9} +### [7.9 構外にある資産のセキュリティ](./a-7-9) {#a-7-9} > **関連テンプレート**: [従業員向けセキュリティガイドライン - 4.7 構外での資産管理](/isms/guidelines/employee-security-guideline#_4-7-構外での資産管理-a-7-9) @@ -944,9 +948,11 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 **属性**: 予防的 | C・I・A | 防御 | 物理的セキュリティ、資産管理 +**関連**: [構外にある資産のセキュリティ詳細](/controls/a-7-9) + --- -### 7.10 記憶媒体 {#a-7-10} +### [7.10 記憶媒体](./a-7-10) {#a-7-10} > **関連テンプレート**: [従業員向けセキュリティガイドライン - 4.6 記憶媒体の取扱い](/isms/guidelines/employee-security-guideline#_4-6-記憶媒体の取扱い-a-7-10) @@ -960,9 +966,11 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 **属性**: 予防的 | C・I・A | 防御 | 物理的セキュリティ、資産管理 +**関連**: [記憶媒体詳細](/controls/a-7-10) + --- -### 7.11 サポートユーティリティ {#a-7-11} +### [7.11 サポートユーティリティ](./a-7-11) {#a-7-11} > **関連テンプレート**: [事業継続計画](/isms/plans/business-continuity-plan) @@ -976,6 +984,8 @@ ISO/IEC 27001:2022の附属書Aに規定される93の管理策について解 **属性**: 予防的・検知的 | I・A | 防御・検知 | 物理的セキュリティ +**関連**: [サポートユーティリティ詳細](/controls/a-7-11) + --- ### [7.12 ケーブル配線のセキュリティ](./a-7-12) {#a-7-12} From a558c921e8863403febcfdfdda3d9c6e9bca9736 Mon Sep 17 00:00:00 2001 From: okash1n <48118431+okash1n@users.noreply.github.com> Date: Sat, 13 Jun 2026 09:10:57 +0900 Subject: [PATCH 2/2] =?UTF-8?q?docs:=20=E5=85=AC=E9=96=8B=E6=B8=88?= =?UTF-8?q?=E3=81=BF=E3=82=B3=E3=83=B3=E3=83=86=E3=83=B3=E3=83=84=E3=81=AB?= =?UTF-8?q?=E5=90=88=E3=82=8F=E3=81=9B=E3=81=A6=E5=8F=A4=E3=81=84=E8=A8=98?= =?UTF-8?q?=E8=BF=B0=E3=82=92=E6=9B=B4=E6=96=B0?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- README.md | 4 ++-- docs/index.md | 4 ++-- docs/isms/index.md | 14 +++++++++++++- 3 files changed, 17 insertions(+), 5 deletions(-) diff --git a/README.md b/README.md index d754ee1..0c35c0f 100644 --- a/README.md +++ b/README.md @@ -107,8 +107,8 @@ npm test ## 今後の予定 -- ISMS 文書テンプレートの公開 -- テンプレートからの文書自動生成機能 +- 管理策解説の拡充(Annex A 全 93 管理策の詳細ページ) +- 文書自動生成機能の改善 - Google Docs / Word / Notion 版の制作 ## コントリビューション diff --git a/docs/index.md b/docs/index.md index 757ab95..865e93e 100644 --- a/docs/index.md +++ b/docs/index.md @@ -97,8 +97,8 @@ ISMS Guide は、ISO/IEC 27001:2022 に基づく情報セキュリティマネ 本サイトでは、以下の機能・コンテンツの追加を予定しています。 -- **ISMS 文書テンプレートの公開** - ISMSマニュアル、適用宣言書(SoA)、手順書、記録類のテンプレート(現在鋭意作成中) -- **文書自動生成機能** - テンプレートから組織ごとの文書一式を自動生成 +- **管理策解説の拡充** - Annex A 全 93 管理策の詳細ページを順次追加 +- **文書自動生成機能の改善** - テンプレートから組織ごとの文書一式を自動生成 - **複数フォーマット対応** - Google Docs版、Word版、Notion版の制作 ## コントリビューション diff --git a/docs/isms/index.md b/docs/isms/index.md index 67f6f2b..9b73c38 100644 --- a/docs/isms/index.md +++ b/docs/isms/index.md @@ -19,7 +19,11 @@ isms/ │ ├── information-security-policy.md │ ├── acceptable-use-policy.md │ ├── access-control-policy.md -│ └── supplier-security-policy.md +│ ├── supplier-security-policy.md +│ └── technical-security-policy.md +├── guidelines/ # ガイドライン +│ ├── employee-security-guideline.md +│ └── engineer-security-guideline.md ├── procedures/ # 手順書 │ ├── risk-assessment-procedure.md │ ├── incident-response-procedure.md @@ -112,6 +116,7 @@ Git を使用して文書のバージョン管理を行います。 | 情報の許容される利用方針 | `policies/acceptable-use-policy.md` | A.5.10 | | アクセス制御方針 | `policies/access-control-policy.md` | A.5.15 | | サプライヤー管理方針 | `policies/supplier-security-policy.md` | A.5.19-A.5.22 | +| 技術的セキュリティ方針 | `policies/technical-security-policy.md` | A.8.7-A.8.32 | | インシデント対応手順 | `procedures/incident-response-procedure.md` | A.5.24, A.5.26 | | 内部監査手順 | `procedures/internal-audit-procedure.md` | 9.2 | | 是正処置手順 | `procedures/corrective-action-procedure.md` | 10.2 | @@ -121,6 +126,13 @@ Git を使用して文書のバージョン管理を行います。 | 法的・規制要求事項一覧 | `registers/legal-requirements.md` | A.5.31 | | インシデント報告書 | `records/incident-report.md` | A.5.24 | +### ガイドライン + +| 文書名 | ファイル | 対象者 | +|--------|----------|--------| +| 従業員向けセキュリティガイドライン | `guidelines/employee-security-guideline.md` | 全従業員 | +| エンジニア向けセキュリティガイドライン | `guidelines/engineer-security-guideline.md` | 開発者・運用者 | + ## 注意事項 - 機密情報を含む文書は、リポジトリをプライベートに設定してください