JASA、ISMS運用組織向けにガイドライン - 初期被害対処など盛り込む

日本セキュリティ監査協会（JASA）は、ISMSを運用している組織に向けてセキュリティ対策に関する2種類のガイドラインを公開した。

同ガイドラインは、情報セキュリティ管理に関する規格「JIS Q 27001:2014」を実装している組織において、ISMSを活かしつつセキュリティ対策を実施するための要求事項を取りまとめたもの。

米国立標準技術研究所（NIST）よりガイドラインとして「重要インフラのサイバーセキュリティ対策向上のためのフレームワーク（NIST SP800-171）」や「非格付け情報の保護対策」が公開されているが、ISMSに適合しない部分もあり、同協会がISOに準拠するよう整理したという。

「サイバーセキュリティ対策マネジメントガイドライン」では、検知やインシデント対応、事業継続などに言及。予防に重点が置かれている「ISMS」の運営組織向けに被害への初動対応など盛り込んだ。

また「管理された非格付情報の保護対策マネジメントガイドライン」では、サプライヤーに求められる事項を整理。管理された非格付け情報の保護対策を実施するためのガイドラインで、被害を受けた後の初期対応に求められる事項と、最低限行うべきセキュリティ対策のベースラインなどについて記載されている。

（Security NEXT - 2018/03/05 ） ツイート

PR

関連記事

1Qの脆弱性届出は99件 - ウェブサイト関連が低水準
ランサムウェアへの対処を学ぶカードゲーム - JC3が無償公開
「クレカセキュリティGL」が改訂 - ECの対策強化など盛り込む
4Qの脆弱性届出は163件 - ウェブサイト関連が約2.6倍
JPNIC、「RPKIを活用した不正経路対策ガイドライン」 - ISPに対策呼びかけ
有価証券報告書の提出期限の延長承認、サイバー攻撃も考慮
「セキュリティ対応組織の教科書 3.2版」が公開 - 実例など収録、評価シートも刷新
3Qの脆弱性届出は116件 - 前四半期から4.5％増
「DNSSEC」のハンズオン勉強会をハイブリッド開催 - JPNIC
2Qの脆弱性届け出は112件 - 前四半期から半減