現在SecureNaviに登録されている管理策の名称は、ISO 27001:2023付属書A(日本語訳版)をベースに記載しておりますが、先日のJISQ27001:2023発行に伴い、JIS Q 27001:2023付属書Aの管理策名称に合わせて変更を行います。
変更処理は2023年10月中に実施します。完了し次第、リリースノートに掲載します。
SecureNavi画面としては
- 社内ルール一覧画面
- 適用宣言書(「改訂を推奨」が表示されます)
- 情報セキュリティマニュアル(「改訂を推奨」が表示されます)
- 規格との対応表
の表示が変更になります。あくまで名称表示の変更となりますため、お客様の登録されたデータに影響はありません。
新旧比較は以下の通りです。
管理策 | ISO 27001:2023 付属書A(日本語訳版) | JIS Q 27001:2023 付属書A |
5 | 組織的管理策 | 組織的管理策 |
5.1 |
情報セキュリティのための方針群
|
情報セキュリティのための方針群 |
5.2 | 情報セキュリティの役割及び責任 | 情報セキュリティの役割及び責任 |
5.3 | 職務の分離 | 職務の分離 |
5.4 | 経営陣の責任 | 管理層の責任 |
5.5 | 関係当局との連絡 | 関係当局との連絡 |
5.6 | 専門組織との連絡 | 専門組織との連絡 |
5.7 | 脅威インテリジェンス | 脅威インテリジェンス |
5.8 | プロジェクトマネジメントにおける情報セキュリティ | プロジェクトマネジメントにおける情報セキュリティ |
5.9 | 情報及びその他の関連資産の目録 | 情報及びその他の関連資産の目録 |
5.10 | 情報及びその他の関連資産の利用の許容範囲 | 情報及びその他の関連資産の許容される利用 |
5.11 | 資産の返却 | 資産の返却 |
5.12 | 情報の分類 | 情報の分類 |
5.13 | 情報のラベル付け | 情報のラベル付け |
5.14 | 情報転送 | 情報の転送 |
5.15 | アクセス制御 | アクセス制御 |
5.16 | アイデンティティ管理 | 識別情報の管理 |
5.17 | 認証情報 | 認証情報 |
5.18 | アクセス権 | アクセス権 |
5.19 | 供給者関係における情報セキュリティ | 供給者関係における情報セキュリティ |
5.20 | 供給者との合意における情報セキュリティの取り扱い | 供給者との合意における情報セキュリティの取扱い |
5.21 | ICTサプライチェーンにおける情報セキュリティの管理 | 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 |
5.22 | 供給者のサービス提供の監視、レビュー、および変更管理 | 供給者のサービス提供の監視、レビュー及び変更管理 |
5.23 | クラウドサービスの使用のための情報セキュリティ | クラウドサービスの利用における情報セキュリティ |
5.24 | 情報セキュリティインシデント管理計画と準備 | 情報セキュリティインシデント管理の計画策定及び準備 |
5.25 | 情報セキュリティ事象の評価及び決定 | 情報セキュリティ事象の評価及び決定 |
5.26 | 情報セキュリティインシデントへの対応 | 情報セキュリティインシデントへの対応 |
5.27 | 情報セキュリティインシデントからの学習 | 情報セキュリティインシデントからの学習 |
5.28 | 証拠の収集 | 証拠の収集 |
5.29 | 障害時の情報セキュリティ | 事業の中断・阻害時の情報セキュリティ |
5.30 | 事業継続のためのICT の準備 | 事業継続のためのICT の備え |
5.31 | 法律、法令、規制及び契約上の要求事項 | 法令、規制及び契約上の要求事項 |
5.32 | 知的財産権 | 知的財産権 |
5.33 | 記録の保護 | 記録の保護 |
5.34 | プライバシー及び個人を特定できる情報 (PII) の保護 | プライバシー及び個人識別可能情報(PII)の保護 |
5.35 | 情報セキュリティの独立したレビュー | 情報セキュリティの独立したレビュー |
5.36 | 情報セキュリティのための方針群、規則及び標準の順守 | 情報セキュリティのための方針群、規則及び標準の順守 |
5.37 | 操作手順書 | 操作手順書 |
6 | 人的管理策 | 人的管理策 |
6.1 | 選考 | 選考 |
6.2 | 雇用条件 | 雇用条件 |
6.3 | 情報セキュリティの意識向上、教育及び訓練 | 情報セキュリティの意識向上、教育及び訓練 |
6.4 | 懲戒手続 | 懲戒手続 |
6.5 | 雇用の終了後又は変更後の責任 | 雇用の終了又は変更後の責任 |
6.6 | 秘密保持契約又は守秘義務契約 | 秘密保持契約又は守秘義務契約 |
6.7 | リモートワーク | リモートワーク |
6.8 | 情報セキュリティ事象の報告 | 情報セキュリティ事象の報告 |
7 | 物理的管理策 | 物理的管理策 |
7.1 | 物理的セキュリティ境界 | 物理的セキュリティ境界 |
7.2 | 物理的入退 | 物理的入退 |
7.3 | オフィス、部屋及び施設のセキュリティ | オフィス、部屋及び施設のセキュリティ |
7.4 | 物理的なセキュリティ監視 | 物理的セキュリティの監視 |
7.5 | 物理的及び環境的な脅威からの保護 | 物理的及び環境的脅威からの保護 |
7.6 | セキュリティを保つべき領域での作業 | セキュリティを保つべき領域での作業 |
7.7 | クリアデスク及びクリアスクリーン | クリアデスク・クリアスクリーン |
7.8 | 装置の設置及び保護 | 装置の設置及び保護 |
7.9 | 構外にある資産のセキュリティ | 構外にある資産のセキュリティ |
7.10 | 記憶媒体 | 記憶媒体 |
7.11 | サポートユーティリティ | サポートユーティリティ |
7.12 | ケーブル配線のセキュリティ | ケーブル配線のセキュリティ |
7.13 | 装置の保守 | 装置の保守 |
7.14 | 装置のセキュリティを保った処分又は再利用 | 装置のセキュリティを保った処分又は再利用 |
8 | 技術的管理策 | 技術的管理策 |
8.1 | ユーザーエンドポイント機器 | 利用者エンドポイント機器 |
8.2 | 特権的アクセス権 | 特権的アクセス権 |
8.3 | 情報へのアクセス制限 | 情報へのアクセス制限 |
8.4 | ソースコードへのアクセス | ソースコードへのアクセス |
8.5 | セキュリティに配慮した認証 | セキュリティを保った認証 |
8.6 | 容量・能力の管理 | 容量・能力の管理 |
8.7 | マルウェアからの保護 | マルウェアに対する保護 |
8.8 | 技術的ぜい弱性の管理 | 技術的ぜい弱性の管理 |
8.9 | 構成管理 | 構成管理 |
8.10 | 情報の削除 | 情報の削除 |
8.11 | データマスキング | データマスキング |
8.12 | データ漏えい防止 | データ漏えい防止 |
8.13 | 情報のバックアップ | 情報のバックアップ |
8.14 | 情報処理施設の冗長性 | 情報処理施設・設備の冗長性 |
8.15 | ログ取得 | ログ取得 |
8.16 | 監視活動 | 監視活動 |
8.17 | クロックの同期 | クロックの同期 |
8.18 | 特権的なユーティリティプログラムの使用 | 特権的なユーティリティプログラムの使用 |
8.19 | 運用システムに関わるソフトウェアの導入 | 運用システムへのソフトウェアの導入 |
8.20 | ネットワークセキュリティ | ネットワークセキュリティ |
8.21 | ネットワークサービスのセキュリティ | ネットワークサービスのセキュリティ |
8.22 | ネットワークの分離 | ネットワークの分離 |
8.23 | Webフィルタリング | ウェブフィルタリング |
8.24 | 暗号の使用 | 暗号の使用 |
8.25 | セキュリティに配慮した開発のライフサイクル | セキュリティに配慮した開発のライフサイクル |
8.26 | アプリケーションのセキュリティ要求事項 | アプリケーションセキュリティの要求事項 |
8.27 | セキュリティに配慮したシステムアーキテクチャとエンジニアリングの原則 | セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 |
8.28 | セキュアコーディング | セキュリティに配慮したコーディング |
8.29 | 開発及び受入時のセキュリティ試験 | 開発及び受入れにおけるセキュリティテスト |
8.30 | 外部委託による開発 | 外部委託による開発 |
8.31 | 開発環境、試験環境及び運用環境の分離 | 開発環境、テスト環境及び本番環境の分離 |
8.32 | 変更管理 | 変更管理 |
8.33 | 試験情報 | テスト用情報 |
8.34 | 監査試験時の情報システムの保護 | 監査におけるテスト中の情報システムの保護 |