規格対応箇所
規格 | 規格項番 | タイトル |
---|---|---|
JIP-ISMS517 | 4.2.2 | 情報セキュリティリスク対応 |
要求されていること
決定した管理策をJIS Q 27001付属書A及びISO/IEC 27017に示す管理策と比較し、必要な管理策が見落とされていないことを検証します。
本項では、カテゴリ「CSP」の資産ごとにベースライン分析を実施、規格で要求されている管理策が適用できているかを確認します。SecureNaviでは、CSP資産ごとにベースライン分析結果を確認することができます。
- カテゴリ「CSP」「CSC」それぞれで実施する。
- 適用範囲のCSP、CSCの資産ごとに実施する。
- 例:提供するクラウドサービス「SecureNavi」をISMS-CLDの適用範囲として作成する場合、ベースライン分析結果は2つあることになります。
- SecureNavi(CSP)
- AWS(CSC)
- 例:提供するクラウドサービス「SecureNavi」をISMS-CLDの適用範囲として作成する場合、ベースライン分析結果は2つあることになります。
前項10. リスク対応の洗い出し にて実施済みと判断したリスク対応が、ベースライン分析画面に表出します。
リスク対応に紐づいている管理策は以下から確認することができます。
やること
1. ベースライン分析は資産(資産カテゴリー「3. ソフトウェア > 4. CSP」)ごとに行います。
まずはどのCSP資産に対するベースライン分析結果を表示するかを画面右側の「対象資産」プルダウンから選択をします。(デフォルトでは1番初めに登録したCSP資産が選択された状態です)
2. 「対象資産」のCSP資産を登録したときに自動で紐づいたリスク対策のうち、ステータス判断が「実施済」のものが管理策と紐づく社内ルールとして登録されます。
3. CSPの場合、管理策によっては外部への公開・開示が要求されています。管理策ごとに「開示必要」「開示不要」のラベルを設けているので、「開示必要」の管理策の「公開・開示箇所」に登録が必要です。(「開示不要」の項目の「公開・開示箇所」への登録は任意です)
4. できる限り全ての管理策を適用する(つまり、管理策に紐づくルールを作成し、社内で実施する)ことが望ましいですが、自社に関係のない項目は「適用除外」という選択を取ることができます。
適用除外をする場合は、「適用除外」をクリックし、適用除外する理由を入力して設定をします。
本項と同様に、CSCもベースライン分析を実施します。13. CSC資産を対象にベースライン分析を行う にて進めていきましょう。