SecureNaviが例示する社内ルールには、社内規程などの別資料に詳細を記載すると関連付けている文言もあります。「XX規程を定める」と記載した場合は、審査時にその規程の提示を求められることがあります。
もちろん例示を変更いただいて構いませんが、いったん例示の中で別資料(社内ルール以外の情報)との関連性がある項目を以下に記載しますので、ルール踏襲の際はご注意ください。(カッコ内の番号はJIS Q 27001:2023の管理策項番です)
資料の提示を求められる管理策
- 7.1.2(新6.5) 雇用条件
- 雇用契約書(秘密保持に関する内容記載)
- 7.2.3(新6.4) 懲戒手続き
- 就業規則(一般的に就業規則内に懲戒手続きを定めることが多い)
- 7.3.1(新6.5) 雇用の終了又は変更に関する責任
- 退職時の秘密保持に関する誓約書
- 8.1.4(新5.11) 資産の返却
- 退職時のチェックリスト
- 8.2.2(新5.13) 情報のラベル付け
- キャビネット、バインダーへのラベル(機密情報の場所がわかる目印)
- 8.3.2(新7.14) 媒体の処分
- 廃棄証明書
- 8.3.3(新7.10) 物理的媒体の輸送
- 配達記録(配達の状況が追跡可能な記録)
- 11.1.1(新7.1) 物理的セキュリティ境界
- オフィスのフロア図
- 11.1.2(新7.2) 物理的入退管理
- サーバエリア入退室の記録
- (新規格のみ)オフィスへの入退室ログ、監視カメラ記録
- 11.2.7(新7.14) 装置のセキュリティを保った処分又は再利用
- 廃棄証明書
- 12.1.1(新5.37) 操作手順書
- バックアップ手順、バックアップからの復元手順、機器の暗号化手順
- 12.1.2(新8.32) 変更管理
- システム変更、リリースの実施記録
- 12.4.1(新5.28) イベントログ取得
- 操作ログの保管
- 15.1.2(新5.20) 供給者との合意におけるセキュリティの取り扱い
- 供給者との契約(秘密保持に関する内容、漏洩発生した場合の報告に関する取り決め)
- 18.1.3(新5.33) 記録の保護
-
文書(一定期間の保管が求められる、経理関係書類や労務関係書類など)
-
そのほか、独自のルールで「機器のメンテナンスリスト」「機器の廃棄手順書」「システムリリース手順書」「セキュアコーディング規程」を作成された場合は、上記同様審査時に提示を求められることを想定ください。
目視確認を求められる管理策
また、以下は資料ではありませんが、物理的対策やSW設定での対策を定めているため、審査の際に対策状況の目視確認を求められることが多いです。
- 11.1.4(新7.5) 外部及び環境の脅威からの保護
- 電子機器類への転倒防止対策
- 11.1.5(新7.6) セキュリティを保つべき領域での作業
- ホワイトボードの内容を消去
- 11.2.2(新7.11) サポートユーティリティ
- UPS設置、代替策
- 11.2.3(新7.12) ケーブル配線のセキュリティ
- ケーブル類の敷設状況
- 11.2.9(新7.7) クリアデスク・クリアスクリーン方針
- プリンタに書類放置確認
- 12.1.3(新8.6) 容量・能力の管理
- 容量、能力の監視アラート設定
- 12.2.1(新8.7) マルウェアに対する管理策
- マルウェア対策ソフトの定期更新設定
- 12.3.1(新8.13) 情報のバックアップ
- バックアップ対象のサーバ・システム名称と、その頻度(要見直し)
- 14.2.1(新8.27) セキュリティに配慮した開発のための方針
- セキュリティに考慮した開発方針(プロジェクト憲章・非機能要件など)
- 18.2.3(新5.36, 8.8, 8.27) 技術的順守のレビュー
- 第三者の脆弱性診断の受診
また、社内ルールの中で監視測定に設定されることの多い項目を、FAQ「監視測定にて、設定が推奨される社内ルールはあるか?」にて記載していますので、こちらもご参考ください