適用宣言書
管理策の適用の採否、実施状況を管理します。
5 組織的管理策
| 管理策 | 採否 | 実施状況 | 採否の理由 |
|---|---|---|---|
| 5.1 情報セキュリティのための方針 | 採 |
未実施 |
(未記入) |
| 5.10 情報及びその他の関連資産の利用の許可 | 採 |
未実施 |
(未記入) |
| 5.11 資産の返却 | 採 |
未実施 |
(未記入) |
| 5.12 情報の分類 | 採 |
未実施 |
(未記入) |
| 5.13 情報のラベル付け | 採 |
未実施 |
(未記入) |
| 5.14 情報転送 | 採 |
未実施 |
(未記入) |
| 5.15 アクセス制御 | 採 |
未実施 |
(未記入) |
| 5.16 識別情報管理 | 採 |
未実施 |
(未記入) |
| 5.17 認証情報 | 採 |
未実施 |
(未記入) |
| 5.18 アクセス権 | 採 |
未実施 |
(未記入) |
| 5.19 供給者関係における情報セキュリティ | 採 |
未実施 |
(未記入) |
| 5.2 情報セキュリティの役割及び責任 | 採 |
未実施 |
(未記入) |
| 5.20 供給者との合意における情報セキュリティの取扱い | 採 |
未実施 |
(未記入) |
| 5.21 情報通信技術(ICT)サプライチェーンにおける | 採 |
未実施 |
(未記入) |
| 5.22 供給者サービスの監視、レビュー及び変更管理 | 採 |
未実施 |
(未記入) |
| 5.23 クラウドサービス利用のための情報セキュリティ | 採 |
未実施 |
(未記入) |
| 5.24 情報セキュリティインシデント管理の計画及び準備 | 採 |
未実施 |
(未記入) |
| 5.25 情報セキュリティ事象の評価及び決定 | 採 |
未実施 |
(未記入) |
| 5.26 情報セキュリティインシデントへの対応 | 採 |
未実施 |
(未記入) |
| 5.27 情報セキュリティインシデントからの学習 | 採 |
未実施 |
(未記入) |
| 5.28 証拠の収集 | 採 |
未実施 |
(未記入) |
| 5.29 混乱時の情報セキュリティ | 採 |
未実施 |
(未記入) |
| 5.3 職務の分離 | 採 |
未実施 |
(未記入) |
| 5.30 事業継続のためのICT対応準備 | 採 |
未実施 |
(未記入) |
| 5.31 法的、法令、規制及び契約上の要求事項 | 採 |
未実施 |
(未記入) |
| 5.32 知的財産権 | 採 |
未実施 |
(未記入) |
| 5.33 記録の保護 | 採 |
未実施 |
(未記入) |
| 5.34 プライバシー及び個人識別情報(PII)の保護 | 採 |
未実施 |
(未記入) |
| 5.35 情報セキュリティの独立したレビュー | 採 |
未実施 |
(未記入) |
| 5.36 情報セキュリティのための方針、規則及び標準の遵守 | 採 |
未実施 |
(未記入) |
| 5.37 文書化された運用手順 | 採 |
未実施 |
(未記入) |
| 5.4 経営陣の責任 | 採 |
未実施 |
(未記入) |
| 5.5 当局との連絡 | 採 |
未実施 |
(未記入) |
| 5.6 専門組織との連絡 | 採 |
未実施 |
(未記入) |
| 5.7 脅威インテリジェンス | 採 |
未実施 |
(未記入) |
| 5.8 プロジェクトマネジメントにおける情報セキュリティ | 採 |
未実施 |
(未記入) |
| 5.9 情報及びその他の関連資産の目録 | 採 |
未実施 |
(未記入) |
6 人的管理策
| 管理策 | 採否 | 実施状況 | 採否の理由 |
|---|---|---|---|
| 6.1 選考 | 採 |
未実施 |
(未記入) |
| 6.2 雇用条件 | 採 |
未実施 |
(未記入) |
| 6.3 情報セキュリティの意識向上、教育及び訓練 | 採 |
未実施 |
(未記入) |
| 6.4 懲戒プロセス | 採 |
未実施 |
(未記入) |
| 6.5 雇用の終了又は変更後の責任 | 採 |
未実施 |
(未記入) |
| 6.6 秘密保持又は守秘義務契約 | 採 |
未実施 |
(未記入) |
| 6.7 リモートワーク | 採 |
未実施 |
(未記入) |
| 6.8 情報セキュリティ事象の報告 | 採 |
未実施 |
(未記入) |
7 物理的管理策
| 管理策 | 採否 | 実施状況 | 採否の理由 |
|---|---|---|---|
| 7.1 物理的セキュリティ境界 | 採 |
未実施 |
(未記入) |
| 7.10 記憶媒体 | 採 |
未実施 |
(未記入) |
| 7.11 サポートユーティリティ | 採 |
未実施 |
(未記入) |
| 7.12 ケーブル配線のセキュリティ | 採 |
未実施 |
(未記入) |
| 7.13 機器の保守 | 採 |
未実施 |
(未記入) |
| 7.14 機器のセキュアな処分又は再利用 | 採 |
未実施 |
(未記入) |
| 7.2 物理的入退室 | 採 |
未実施 |
(未記入) |
| 7.3 オフィス、部屋と施設のセキュリティ | 採 |
未実施 |
(未記入) |
| 7.4 物理的セキュリティの監視 | 採 |
未実施 |
(未記入) |
| 7.5 物理的及び環境的脅威からの保護 | 採 |
未実施 |
(未記入) |
| 7.6 セキュリティ領域での作業 | 採 |
未実施 |
(未記入) |
| 7.7 クリアデスク・クリアスクリーン | 採 |
未実施 |
(未記入) |
| 7.8 機器の設置と保護 | 採 |
未実施 |
(未記入) |
| 7.9 オフサイト資産のセキュリティ | 採 |
未実施 |
(未記入) |
8 技術的管理策
| 管理策 | 採否 | 実施状況 | 採否の理由 |
|---|---|---|---|
| 8.1 利用者エンドポイント機器 | 採 |
未実施 |
(未記入) |
| 8.10 情報の削除 | 採 |
未実施 |
(未記入) |
| 8.11 データマスキング | 採 |
未実施 |
(未記入) |
| 8.12 データ漏えい防止 | 採 |
未実施 |
(未記入) |
| 8.13 情報のバックアップ | 採 |
未実施 |
(未記入) |
| 8.14 情報処理設備の冗長性 | 採 |
未実施 |
(未記入) |
| 8.15 ログ取得 | 採 |
未実施 |
(未記入) |
| 8.16 監視活動 | 採 |
未実施 |
(未記入) |
| 8.17 クロック同期 | 採 |
未実施 |
(未記入) |
| 8.18 特権的ユーティリティプログラムの使用 | 採 |
未実施 |
(未記入) |
| 8.19 運用システムへのソフトウェアのインストール | 採 |
未実施 |
(未記入) |
| 8.2 特権的アクセス権 | 採 |
未実施 |
(未記入) |
| 8.20 ネットワークセキュリティ | 採 |
未実施 |
(未記入) |
| 8.21 ネットワークサービスのセキュリティ | 採 |
未実施 |
(未記入) |
| 8.22 ネットワークの分離 | 採 |
未実施 |
(未記入) |
| 8.23 Webフィルタリング | 採 |
未実施 |
(未記入) |
| 8.24 暗号の使用 | 採 |
未実施 |
(未記入) |
| 8.25 セキュア開発ライフサイクル | 採 |
未実施 |
(未記入) |
| 8.26 アプリケーションセキュリティ要求事項 | 採 |
未実施 |
(未記入) |
| 8.27 セキュアシステムアーキテクチャ及び設計原則 | 採 |
未実施 |
(未記入) |
| 8.28 セキュアコーディング | 採 |
未実施 |
(未記入) |
| 8.29 開発及び受入れにおけるセキュリティ試験 | 採 |
未実施 |
(未記入) |
| 8.3 情報アクセス制限 | 採 |
未実施 |
(未記入) |
| 8.30 外部委託開発 | 採 |
未実施 |
(未記入) |
| 8.31 開発、試験及び運用環境の分離 | 採 |
未実施 |
(未記入) |
| 8.32 変更管理 | 採 |
未実施 |
(未記入) |
| 8.33 試験情報 | 採 |
未実施 |
(未記入) |
| 8.34 監査試験中の情報システムの保護 | 採 |
未実施 |
(未記入) |
| 8.4 ソースコードへのアクセス | 採 |
未実施 |
(未記入) |
| 8.5 セキュアな認証 | 採 |
未実施 |
(未記入) |
| 8.6 容量管理 | 採 |
未実施 |
(未記入) |
| 8.7 マルウェアに対する保護 | 採 |
未実施 |
(未記入) |
| 8.8 技術的脆弱性管理 | 採 |
未実施 |
(未記入) |
| 8.9 構成管理 | 採 |
未実施 |
(未記入) |