リスク対応・社内ルール
- V2環境で、社内ルールに<独自のルール>を追加したい場合の操作方法
- 情報資産と管理策の関係性(ISO27001:2013)
- 情報資産と管理策の関係性(ISO27001:2022)
- 定めたルールは、審査時にどれくらいの粒度で確認されるか?(その場でなにか提示が必要な場合はあるか?)
- 審査を受けるにあたってリスク対応の進捗は「完了」している必要がありますか?
- 附属書A.7.1.2 雇用条件について、情報セキュリティの責任は、全て雇用契約書に記載する必要があるか?
- 附属書A.6.4 懲戒手続について、組織規模的に就業規則の作成がまだ行われていない場合は、どのように定めるべきでしょうか?
- 附属書A.11.1.2 物理的入退管理策について、部外者が入室する際は必ず社員が帯同しているのですが、入退室記録まで必要でしょうか?
- 附属書A.12.1.1 操作手順書について、すでに社内で作成済みですが、SecureNaviへ転記する必要はありますか?
- 附属書A.12.1.4 環境の分離について、どの程度実現することが求められますか?
- 附属書A.12.2.1 マルウェア対策について、ウイルス対策ソフトの導入は必須でしょうか?
- 附属書A.12.3.1 情報のバックアップについて、対象のシステムは自社/外部サービスの区別はあるか?
- 附属書A.14.2.9 システムの受入れ試験について、対象のシステムは自社/委託開発の区別はあるか?
- 附属書A.14.3.1 試験データの保護について、データの種類は個人情報を想定すればいいか?
- 附属書A.17 事業継続マネジメントについて、天災等はシステム復旧時間など読めない部分があると思いますが、どこまでリスク対応を明示する必要がありますか?
- 附属書A.17.1.1 情報セキュリティ継続の計画について、外部のインフラサービス起因の場合の計画はどう考えるべきか?
- 附属書A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価について、どのレベルの検証が求められますか?
- 附属書A.18.2.3 技術的順守のレビューについて、脆弱性検査は外部の診断サービスを受けるべきか?