Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ISO/IEC 27001:2022 来年の移行審査に向けて 検討中の新規格対応の話/ISMS

ISO/IEC 27001:2022 来年の移行審査に向けて 検討中の新規格対応の話/ISMS

引越しや庭木の剪定などの出張・訪問サービスのプラットフォーム「くらしのマーケット」を運営する、みんなのマーケット株式会社です。
ISMSの規格が改訂されたので、来年の移行審査に向けて検討中の新規格対応についてお話します。

▼みんなのマーケットは一緒に働く仲間を募集しています!
https://minma.jp/recruit

More Decks by みんなのマーケット株式会社/ Minma Inc.

Transcript

  1. 2 はじめに(想定読者)
 弊社では2020年2月に情報セキュリティマネジメントシステム(ISMS)の国際認証規格である
 「ISO/IEC 27001」を取得し、今日まで維持しています。
 
 取得した認証は3年間有効ですが、維持するには毎年維持審査をクリアし、更新する際も審査をクリアする
 必要があります。また、ISMS規格が改訂された際も新しい規格に則って、情報セキュリティ対策を徹底する
 必要があり、3年以内に移行審査を受ける必要があります。
 ※規格は2022年10月に改訂(日本語版は2023年9月に発行)されました。

    
 
 弊社では一度更新審査を受け、2025年に維持審査と共に移行審査を受ける予定です。
 そのため、現在規格改訂に伴い社内の情報セキュリティルール等について見直しをしています。
 
 このスライドでは、弊社での規格改訂の対応内容についてご紹介します。
 同じく規格改訂対応中の方、これからISMSに取り組んでいく方のご参考になれば幸いです。

  2. 3 【ISO/IEC 27001の構成】
  「本文」と「附属書A」から成り立っています。
 
  ・本文   :ISMSを構築する上で、必ず対応しなければならない事項が記載されています。         
         

    リスクアセスメント、内部監査、マネジメントレビュー等。
  ・附属書A:本文に記載されている要求事項を実現するために、具体的にどのような管理が必要なのかが
        記載されています。
 
 【変更点】
  ・本文   :軽微な変更(言い回しが異なる/内容が分割されて小項目が追加された)のみなため、 
         本スライド内では割愛します。
  ・附属書A:カテゴリが纏められてコンパクトになり管理策の数は減少しましたが、新たな管理策が11個 増えました。本スライド内では、新規追加された管理策をピックアップし対策内容について
 ご紹介します(極力費用対効果を高める方法で検討しています)。
 ISMSの規格の今回の変更点

  3. 4 新規追加された管理策(既に対応済のため今回は対応しない項目について)
 新規追加された11個の管理策のうち、9個は既にこれまでから対応・運用できているため、
 今回は新規での対応はしないこととしました(軽微なマニュアル修正はあり)。
 下記、現状の対応内容についてご紹介します。
 ※2024年5月現在の情報であり、今後方針が変わる可能性もあります。 
 
 • 5.7

    脅威インテリジェンス 
 ※セキュリティ脅威に関する情報を収集、分析して社内活用することが求められています。 
 →セキュリオというサービスを利用して最新の情報セキュリティ事情を収集し、定期的にその内容を含む 
   テストを実施しています。また、情シス担当者以外にも気付いた社員が各々、情報セキュリティに関する 
 情報をSlackで共有しています。 
 
 • 5.23 クラウドサービスの利用における情報セキュリティ 
 ※クラウドサービスの選定基準、利用手続き、管理方法、終了手続きのルール化等の対応が求められています。 
 →新規にサービスを利用する際は専用フォームでの申請を必須としており、サービスは一つのシートに 
   纏めて管理しています。マニュアルにも利用手続き、終了時のフロー等を記載しており、退職者が発生 
   した都度アカウントの棚卸しを行っています。 

  4. 5 • 5.30 事業継続のためのICTの備え 
 ※非常時でもシステムが継続的に利用できるようにすることが求められています。 
 →年に1回BCP試験を実施しており、弊社が運営しているくらしのマーケットのソースコードやデータ 
  

    ベースのバックアップデータのリストアを実施しています。 
 
 • 7.4 物理的セキュリティの監視 
 ※従業員不在時の入退室の監視が求められています。 
 →従業員不在時は執務エリアを施錠&動体検知を作動させています(施錠、解錠時はログが残る)。 
  そのため、何か/誰かが侵入した際は警備会社へ通知され、そこから情報を得ることができるように 
   なっています。
 
 • 8.10 情報の削除
 ※不要な情報を削除することが求められています。 
 →情報資産は台帳に纏めて 保管期限等を記載しており、定期的に情報資産の見直しを実施しています。 
   その際、保管期限が過ぎているデータや不要なデータを削除しています。 
 新規追加された管理策(既に対応済のため今回は対応しない項目について)

  5. 6 • 8.12 データ漏えい防止
 ※システムやネットワークに対し、情報漏えい防止機能を設定することが求められています。 →出店者/ユーザーへ情報を送信するツールには、送信禁止ワードや送信前確認の設定をしています。  
 
 • 8.16

    監視活動
 ※システムやネットワークに不正な挙動がないことを確認することが求められています。 
 →セキュリティソフトやシステム側で異常を検知するよう設定しており、異常を検知した際はアラートが通知され、 
   ログを元に確認できるようにしています。 
 
 • 8.23 ウェブフィルタリング
 ※Webサイトへのアクセスを管理することが求められています。 
 →全社員の端末へセキュリティソフトを導入しており、悪意のあるコンテンツを含む Webサイトを検出しブロック   しています。 • 8.28 セキュリティに配慮したコーディング 
 ※コーディング規約の制定や、脆弱性が含まれないコードを作成することが求められています。     →コーディング規約を制定し、それに則ってコーディング、レビューを実施しています。 新規追加された管理策(既に対応済のため今回は対応しない項目について)

  6. 8 • 8.11 データマスキング 
 ※必要に応じて個人情報をマスキング(伏せ字)することが求められています。 
 →万が一情報が漏洩した際、被害を最小限に抑えるため、外部共有可能なシステム等で扱っている 
  

    情報はアクセス権の見直しや不要となったデータの削除を定期的に実施しています。 
   その他のシステムで扱っている情報についても閲覧者は担当者のみとしています。 
   さらなる情報管理強化のため、権限者毎の閲覧範囲の設定の精緻化にも取り組んでまいります。 
 
   また、弊社ではリモートワークの社員が9割のため、主にSlackでコミュニケーションを行っています。 
   個人情報を扱うやり取りについては全社員が閲覧可能なチャンネル上ではやり取りしないことを徹底し 
   ています。弊社では社員増加スピードが加速しているため、定期的な注意喚起を励行していく予定です。 
 
 新規追加された管理策(現在対応内容について検討中の項目について)