事業継続における情報セキュリティ管理策およびICT備えに関するガイドライン
令和7年8月29日|p.121
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
5e-5.28.5保存した証拠の価値を強化するために、入手可能であれば、要員及
びツールの適格性を示す証明書又はその他適切な手段を追求する。
ディジタル証拠が組織の枠又は法域を越える場合、組織は必要とさ
れる情報をディジタル証拠として収集することが法的に認められて
いることを確認する。
5f事業継続における情報セキュリティ管理
5f-5.29 事業の中断阻害時の情報セキュリティ
管理策:組織は、事業の中断・阻害時に情報セキュリティを適切なレベルに維持する方法を計
画する。
目的:事業の中断・阻害時に情報及びその他の関連資産を保護するため、
詳細管理策
(1961 WG)
f-5.29.1組織は、事業の中所・阻害時に情報セキュリティ管理策を適応させ
るための自らの要求事項を決定する。
56-5.29.2 情報セキュリティ要求事項は、 事業継続マネジメントプロセスに含
める。
5f-5.29.3
5.29.3中断又は障害後に重要な事業プロセスにおける情報のセキュリティ
を維持又は復旧するために、計画を策定し、実施し、試験し、レビュー
し、評価する。
if-5.294情報のセキュリティは、必要なレベル及び必要な時間内に復旧する。
5f-5.29.5 維持する。
a) 事業継続計画及びICT継続計画における情報セキュリティ
管理策、支援システム及びツール
報
b)事業の中断・阻害時に既存の情報セキュリティ管理策を維持
するためのプロセス
發展官
c) 事業の中断阻害時に維持できない情報セキュリティ管理策
を補う管理策
5f-5.30事業継続のためのICTの備え
官
管理策:事業継続の目的及びICT継続の要求事項に基づいて、 実施
(合 月 日67日62日62 8 121
し、維持し、試験する。
目的:事業の中断・阻害時に組織の情報及びその他の関連資産の可用性を確実にするため。
詳細管理策
(5f-5.30参考)事業継続に関するICTの備えは、事業の中断・阻害時にも組織の
日計平
・目的が継続して満たされることを確実にするための、事業継続マネ
ジメント及び情報セキュリティマネジメントの重要な構成要素であ
る。
5f-5.30.ICT継続の要求事項を、事業影響度分析(BIA)の結果をもと
に規定する場合、そのBIAプロセスでは、影響の種類及び評価基
準を用いて、 製品及びサービスを提供する事業活動の中断阻害か
ら生じる影響を経時的に評価する。
5f-5.30.2事業の中断・阻害の結果として生じる影響の大きさ及び期間を用い
1988888
て優先する活動を特定し、 これに目標復旧時間 (RTO) を設定し
た後、 優先する活動の支援にどの資源が必要かを決定
する。
優先する事業活動を支援する資源にもRTOを定め、 これらの資源
の一部としてICTサービスを含める。
(51-5.30参考)ICTサービスに係るBIAを拡張して、事業の中所・阻害時の活
動を支援するために必要な、 容
量能力の要求事項、 及び情報の目標復旧時点(RPO) を定める
121
ことが可能である。
5gコンプライアンス管理
5f-5.30.4
ICTサービスに関わるBIA及びリスクアセスメントの結果に基
づいて、組織は、事業の中断・阻害の前、中断・阻害中及び中断・
阻害の後の選択肢を考慮したICT継続戦略を特定し、選択する。
5f-5.30.5
ICTサービスに必要な可用性レベルを満たし、重要なプロセスの
中断又は失敗後に求められる時間内に回復するために、この戦略に
基づいて計画を作成し、実装し、試験する。
(5f-5.30.5参考)
事業継続戦略は、一つ以上のソリューションから成る可能性がある。
5f-5.30.6
組織は、次の事項を確実にする。
a)事業の中断・阻害に備え、それを緩和し、それに対応するた
めに、必要な責任、権限及び力量をもつ要員が支援する適切
な組織構造を備えている。
b)組織がICTサービスの中断・阻害を管理する方法を詳述し
た、対応及び復旧手順を含むICT継続計画について、次を
実施する。
1)演習及びテストを通じた定期的な評価
2)経営陣による承認
c)ICT継続計画は、次のICT継続に関する情報を含む。
1)BIAで特定した事業継続の要求事項及び目的を満た
すためのパフォーマンス及び容量・能力の仕様
2)優先するICTサービスそれぞれのRTO及びそれら
の構成要素を復旧する手順
3)情報として定義された優先するICT資源のRPO及
び情報を復旧する手順
5gコンプライアンス管理