情報セキュリティ対策基準(スタンダード)の作り方(10)

sae
2023-05-18
2023-05-18

こんにちは、saeです。 

今回は、前回に続いて情報セキュリティ対策基準の5章の管理基準について解説します。 

5.10 外部開発、運用環境におけるセキュリティでは、開発環境の分離や接続方法についての記述と、電源や入退出等のインフラ環境のセキュリティについて記述します。基本的には開発環境と本番環境は分ける必要があり、データの受け渡し方法等、実状を踏まえながら記述する必要があります。

5.10 外部開発、運用環境におけるセキュリティ

多数の内外スタッフが関与する開発・運用においては、データの機密性・完全性・可用性を確保するため、環境面・運用面での必要な対策を行う。具体的には、必要に応じて以下の対策を行う。

・開発環境、テスト環境、本番環境およびアクセス権限の分離。

 ・本番環境への資源移行の制限、または開発担当者の本番環境へのアクセス制限

 ・開発環境での本番データ利用制限、開発担当者への本番データ貸し出し管理

 ・セキュリティ事故に備えたバックアップ採取

 ・センター運用管理規程の策定・整備、運用手順・事故管理手順の作成・徹底

 ・運用作業状況、システム稼動状況のモニタリング(監視)とロギング(記録)

 ・電源設備の保護と停電対策

 ・ネットワーク機器・ケーブルの保護と多重化

 ・安全な場所(高レベルの制限区域)への機器設置、または施錠管理

 ・必要に応じた暗号化技術の導入

・外部委託による開発および運用におけるセキュリティ確保策の実施(外部委託管理)

5.11  データおよびソフトウェアの交換では、必要に応じて守秘義務契約やデータやソフトウェアの交換に伴うリスク調査等の対策について記述します。

5.11 データおよびソフトウェアの交換

データセンター外社内組織および社外組織とのデータやソフトウェアの交換・授受は、最低限必要な範囲に限定する。交換・授受が必要な場合は、情報漏洩など情報セキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。

・セキュリティ遵守に関する公式の合意、または契約締結

・情報セキュリティ管理責任者によるリスク評価と承認

 

5.12 データの保管および入出庫では、データセンターで扱う情報の保管方法や持ち出しについて記述します。実際の設備や運用を踏まえて決定する必要があります。

5.12 データの保管および入出庫

データセンターで扱う情報資産が記録されたメディアについては、情報漏洩や不正利用などセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う

 ・各組織でのメディア保管場所の設置と施錠

 ・メディア利用処理(入出力処理)の制限、およびメディア利用に関する履歴の記録・保管

 ・重要データ保管用のデータ保管庫の設置、および入出庫に関する履歴の記録・保管

   ・データセンターへのメディアの持ち込み・持ち出し管理、個人使用の記憶メディアの持ち込み禁止