情報の分類に関する管理策 (5b-5.12)
令和7年8月29日|p.111
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
5b-5.12情報の分類
管理策:情報は、機密性、完全生、可用性及び関連する利害関係者の要求事項に基づく組織の
情報セキュリティのニーズに従って分類する。
目的:組織における情報の重要度に従って、情報の保護のニーズを特定し、理解することを
確実にするため。
詳細管理策
5b-5.12.1組織は、情報の分類に関するトピック固有の方針を確立し、それを
全ての関連する利害関係者に伝達する。
5b-5.12.2組織は、分類体系において、機密性、完全性及び可用性の要求事項
を考慮する。
5b-5.12.3情報の分類及び関連する保護管理策では、情報を共有又は制限する
ため、情報の完全性を保護するため、及び可用性を保証するための
111 1 1
事業上のニーズ、並びに情報の機密性、完全性及び可用性に関する
法的要求事項を考慮する。
(5b-5.12参考)情報以外の資産も、その資産に保管する情報、その資産で処理する
情報、又は他の形で取り扱う若しくは保護する情報の分類に合わせ
て分類することが可能である。
Sh-5.12.4情報の管理責任者は、その情報の分類に対してアカウンタビリティ
を負う。
Eb-5.12.5分類体系には、分類の規則及びその分類を後にレビューするための
111
基準を含める。
ib-5.12.6分類の結果は、ライフサイクルを通じた情報の価値,取扱いに慎重
を要する度合い、及び重要度の変化に従って更新する。
5b-5.12.7分類体系は、アクセス制御に関するトビック固有の方針と整合して
いて、組織のそれぞれの事業上のニーズに対応できる。
5h-5.12.8分類は、情報の侵害が組織に与える影響のレベルによって決定する
ことが可能である。分類体系で定義したそれぞれのレベルには、分
類体系の適用において意味をもつ名称を付ける。
分類体系は、全員が情報及び該当するその他の関連資産を同じ方法
で分類できるよう、組織全体にわたって一貫し、組織の手順に含ま
れている。
(5b-5.12.9参考)
・これによって、全員が保護に関する要求事項について共通した理解
をもち、適切な保護を適用できるようになる。
-5.12.10情報共有を含む他の組織との合意は、他の組織から共有された情報
の分類を特定し、分類レベルを解釈するための手順を含む。
(5b-5.12.10参考)組織内で使用する分類体系は、レベルの名称が類似している場合で
も、他の組織で使用する体系と異なる可能性がある。さらに、組織
間で移動する情報は、分類体系が同じであっても、各組織の状況に
依存して分類が異なる場合がある。異なる体系間の対応は、情報に
ついて同等の取扱い及び保護方法を探すことによって決定すること
が可能である。