審査を希望される方
取組手順
0. iSSOギャップ分析の受審:本審査受審の5か月以上前
iSSO認証資格審査員が組織を訪問し、規格に従って、組織の情報セキュリティ管理状況を明確にします。
現在の管理状況レベルを明らかにするほか、組織の情報管理課題を洗い出す事により、本審査に向けてのシステム構築が容易になります。
成果物:iSSOギャップ分析レポート
※iSSOギャップ分析は審査前オプションとなります。
1. 審査申し込み:本審査受審の4か月以上前
一般社団法人 情報セキュリティスタンダード沖縄協議会(「以下iSSO協議会」)のWebサイト(当サイト)から申し込みを行います。
指定により、関連情報を入力してください。
2. 審査費用の払い込み
審査担当組織より連絡が行われます。指定に従って費用の振り込みを行ってください。
3. 指定コンサルタントの選定:2.と同時
iSSO協議会指定のコンサルタントとご契約ください。標準的な費用はお問合せください。自組織で構築可能な要員がおいでになる場合、全構築を自ら行うことも可能です。
4. 構築:本審査受審まで
iSSOスタンダードに従って、組織の情報セキュリティ管理の仕組みを構築します。構築した手順は、情報セキュリティマニュアルとして、自組織書類を作成します。
5. 審査スケジュールの送付:本審査前1か月程度
指定審査登録機関から本審査実施スケジュールが送られます。同意の連絡をお願いいたします。
6. 本審査
審査スケジュールに従い、審査員が訪問します。構築した情報セキュリティ関連文書、記録などを収集のうえ、審査対応願います。
7. 是正がある場合
本審査で不適合が指摘された場合、それを記載した審査報告書が発行されます。指示に従い、自組織での是正処置を決め、指定審査登録機関へ40日以内に報告してください。
是正手順に問題がなければ、指定審査登録機関から「認証決定通知書」が送付されると同時に、iSSO協議会に対して、認証決定の連絡が行われます。
8. 認証書の発行
審査終了60日後「iSSO認証証明書」を発行します。
9. 認証の登録と公開:8.と同時
「iSSO認証証明書」を発行すると同時に、当機構データベースに認証取得の登録をいたします。
これらは、Webサイト(当サイト)で公開されます。
10. 継続審査:1年後
概ね4か月前、指定審査機関から継続審査の連絡が行われます。
iSSO審査の要件
iSSO認証は組織規模に応じたセキュリティを担保しつつ、コスト面に配慮した認証です。
審査を希望される方は、iSSOの取組手順、審査要件、及び認証費用をご確認下さい。
1. 適用範囲
この規格は、「一般社団法人 情報セキュリティスタンダード沖縄協議会」が制定し、情報セキュリティを確立し、実施し、維持し、継続的に改善するための要求事項について規定する。この規格が規定する要求事項は、適用するすべての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10及び、箇条11詳細管理策すべての要求事項を実施しなければならない。
2. 参照規格
この規格は、国際規格ISO/IEC27001:2013を参照する。
3. 用語及び定義
この規格で用いる主な用語及び定義は,JIS Q 27000 に準拠する。
4. 組織の状況
組織における情報セキュリティの必要性を整理し、適用範囲を定義しなければならない
5. リーダーシップ
5.1. 基本方針
経営者により承認された情報セキュリティ基本方針があり、公開されていなければならない
5.2. 役割及び責任
情報セキュリティ管理責任者が任命されなければならない
6. 保有する情報の整理
組織で重要な情報は、目録を作成しなければならない
7. 支援のための資源
7.1. 教育
年間のセキュリティ教育計画が定められ、規定のポイントを取得しなければならない
7.2. 文書管理
文書管理手順が作成され、情報セキュリティマニュアルを作成しなければならない
8. 実行
年間のセキュリティ活動計画を文書化し、実行しなければならない
9. 評価
9.1. 年間評価
自己チェックシートにより、年間一度以上の評価を行い、結果は記録され、保存されなければならない
9.2. 経営者への報告
毎年一度、経営者、情報セキュリティ管理責任者が出席して活動状況の確認を行わなければならない。結果は記録され、保存されなければならない
10. 改善
組織内規定に違反する事項が発生した場合、セキュリティ事故改善シートにより改善処置が考案され、実行されなければならない。これらは記録され、保存されなければならない。
11. 詳細管理策
| A001 モバイル機器 | 組織外で利用するPCについて、管理規定を作成しなければならない |
|---|---|
| A002 従業者の責任 | 全従業者を対象として、次の規定を作成しなければならない。 雇用時:セキュリティ責任を明示した契約書に署名する。 雇用終了時:情報資産を返却する。 |
| A003 情報の取り扱い | 重要な書類は識別され、施錠管理されなければならない。 |
| A004 持ち出し可能な媒体 | 持出し可能な媒体(USBメモリ、外付HDなど)は特定され、管理手順を作らなければならない。 |
| A005 印刷物の処分 | 秘密情報の記載された紙媒体は、シュレッダー処分しなければならない。 |
| A006 アクセス制御 | サーバの共有領域が管理され、重要な情報へのアクセスは制限されなければならない。 |
| A007 利用者登録 | ITシステムの利用者には、個別にアカウント、パスワードを発行しなければならない。 |
| A008 利用者削除 | 雇用終了時には、時間を空けず、アカウント、パスワードを削除しなければならない。 |
| A009 エリア管理 | 執務エリア、IT機器収納エリアを明確にし、ロック等の外部進入を防ぐ仕組みを設けなければならない。これらはCCTVなどで監視されなければならない。 |
| A010 機器の保守管理 | 重要なIT機器は、保守をしなければならない。また、必要な機器は適切にクロック同期を行わなければならない。 |
| A011 機器の廃棄 | IT機器の廃棄について、情報を削除する手順を実行しなければならない。 |
| A012 クリアスクリーン | クリアスクリーン手順を実行しなければならない。 |
| A013 ウイルス対策 | すべてのIT機器には、適切なウィルス管理を実施しなければならない。 |
| A014 バックアップ | 重要な情報が識別され、定期的なバックアップが行わなければならない。 |
| A015 データの交換 | 電子データの交換(メール、外部共有ディスク、SNS)について、管理を実行しなければならない。 |
| A016 フリーウエア管理 | 利用できるソフトウエアが定められ、管理されなければならない。 |
| A017 委託先管理 | 利用する委託先業者は、適切なセキュリティ管理を行わなければならない。 |
| A018 インシデント | 情報セキュリティインシデントを定義し、責任と権限を含む手順を確立しなければならない。 |
| A019 ライセンス管理 | 保有するソフトウエアについて、ライセンス管理を行わなければならない。 |
| A020 個人情報管理 | 個人情報保護法の適用範囲について、安全管理を行わなければならない。 |
