JIS Q 27002:2024 詳細管理策の構成一覧
令和7年8月29日|p.97
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
(合 ( ) ) )
(泊961第800 16
②詳細管理策の構造化:JISQ2702:2024では手引内に下線の付いた小見出しが設け
られている(例:「5.9情報及びその他の関連資産の目録」における「目録」や「管理責任」
等)。本管理基準でもこれらを利用し、詳細管理策内で同様の小見出し(Uで括られている事
項)を設けている(付番無し)。
『管理策基準」の内容は次のとおりである。
5組織的管理策
5a組織的管理
5a-5.1情報セキュリティのための方針群
5a-5.2情報セキュリティの役割及び責任
5a-5.3職務の分離
5a-5.4管理層の責任
5a-5.5関係当局との連絡
5a-5.6専門組織との連絡
5a-5.7脅威インテリジェンス
5a-5.8プロジェクトマネジメントにおける情報セキュリティ
5b資産管理
5b-5.9情報及びその他の関連資産の目録
5b-5.10情報及びその他の関連資産の許容される利用
5b-5.11資産の返却
5b-5.12情報の分類
5b-5.13情報のラベル付け
5b-5.14情報の転送
5cアクセス権管理
5c-5.15アクセス制御
5c-5.16識別情報の管理
5c-5.17認証情報
5c-5.18アクセス権
5d供給者管理
5d-5.19供給者関係における情報セキュリティ
5d-5.20供給者との合意における情報セキュリティの取扱い
5d-5.21ICTサプライチェーンにおける情報セキュリティの管理
5d-5.22供給者のサービス提供の監視、レビュー及び変更管理
5d-5.23クラウドサービスの利用における情報セキュリティ
5e インシデント管理
5e-5.24情報セキュリティインシデント管理の計画策定及び準備
5e-5.25情報セキュリティ事象の評価及び決定
5e-5.26情報セキュリティインシデントへの対応
5e-5.27情報セキュリティインシデントからの学習
5e-5.28証拠の収集
5f事業継続における情報セキュリティ管理
5f-5.29事業の中断・阻害時の情報セキュリティ
5f-5.30事業継続のためのICTの備え
5gコンプライアンス管理
5g-5.31法令、規制及び契約上の要求事項
5g-5.32知的財産権
5g-5.33記録の保護
5g-5.34プライバシー及びPIIの保護
5g-5.35情報セキュリティの独立したレビュー
5g-5.36情報セキュリティのための方針群、規則及び標準の順守
5g-5.37操作手順書
6人的管理策
6a人的管理
6a-6.1選考
6a-6.2雇用条件
6a-6.3情報セキュリティの意識向上、教育及び訓練
6a-6.4懲戒手続
6a-6.5雇用の終了又は変更後の責任
6a-6.6秘密保持契約又は守秘義務契約
6a-6.7リモートワーク
6a-6.8情報セキュリティ事象の報告
7物理的管理策
7a物理的領域の管理
7a-7.1物理的セキュリティ境界
7a-7.2物理的入退
7a-7.3オフィス、部屋及び施設のセキュリティ
7a-7.4物理的セキュリティの監視
7a-7.5物理的及び環境的脅威からの保護
7a-7.6セキュリティを保つべき領域での作業
7a-7.7クリアデスク・クリアスクリーン
7b装置の管理
7b-7.8装置の設置及び保護
7b-7.9構外にある資産のセキュリティ
7b-7.10記憶媒体
7b-7.11サボートユーティリティ
7b-7.12ケーブル配線のセキュリティ
7b-7.13装置の保守
7b-7.14装置のセキュリティを保った処分又は再利用
8技術的管理策
8a情報アクセスの管理
8a-8.1利用者エンドポイント機器
8a-8.2特権的アクセス権
8a-8.3情報へのアクセス制限
8a-8.4ソースコードへのアクセス
8a-8.5セキュリティを保った認証
8a-8.6容量・能力の管理
8b 情報資産運用に関する管理
8b-8.7マルウェアに対する保護
8b-8.8技術的ぜい弱性の管理
8b-8.9構成管理