English 入会のご案内・お申し込み
JASA会員 ログイン CAIS・QISEIA ログイン
サイバーセキュリティに関するガイドラインを公開しました

2018年3月2日

特定非営利活動法人日本セキュリティ監査協会(本部:東京都江東区、会長:慶應義塾大学名誉教授 土居範久)は、ISMSを適用している組織が、サイバーセキュリティ対策を行うための2つのマネジメントガイドラインを公開しました。

公開したのは、「サイバーセキュリティ対策マネジメントガイドライン」とサプライヤーに求められる「管理された非格付け情報の保護対策マネジメントガイドライン」です。サイバーセキュリティ対策については、米国政府が重要インフラ向けに策定した「重要インフラのサイバーセキュリティ対策向上のためのフレーム(Framework for Improving Critical Infrastructure Cybersecurity – NIST)」と、これに関連してサプライヤーが順守すべきに管理された「非格付け情報の保護対策(NIST SP800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations)」が世界的に用いられています。二つのガイドラインは、各々の基準と ISMS のための国際標準である ISO/IEC27001 及び ISO/IEC27002 とを各々比較し、ISMS に不足している、あるいはより明確にした方がいい内容を、ISO の規格に従って整理したものです。

サイバーセキュリティ対策マネジメントガイドラインについては、特に検知やインシデント対応、事業継続などについての記述が多く、予防が重点である ISMS に対して、初期被害を受けた後の対処の際に重要な内容が多く記載されています。管理された非格付情報の保護対策マネジメントガイドラインにおいては、初期被害を受けた後の対処の際に重要な内容とともに、ベースラインとして最低限行うべき内容が明記されており、一定以上の強度をもつセキュリティ対策の具体例が分かります。

サイバーセキュリティ対策は ISMS とは異なる手順が必要となります。しかし、これを ISMS と全く切り離して行うことは対策の効率を下げるので、両者を連携させる必要があります。わが国では ISMS の認証取得事業者数が 5,000 を超えていることから、ISMS の体制を基盤に、サイバーセキュリティ対策や調達先として求められる非格付け情報の保護対策をすることが、よいといえます。

当協会のガイドラインがこれらの企業のサイバーセキュリティ対策強化の一助となることを期待しています。

なお、資料は下記からダウンロードできます。

サイバーセキュリティに関するガイドライン 資料ダウンロード

本件に関するお問い合わせ

特定非営利活動法人日本セキュリティ監査協会(JASA) 事務局 担当:永宮
〒135-0016 東京都江東区東陽3-23-21プレミア東陽町ビル
E-mail:office@jasa.jp