地方公共団体に関する情報セキュリティ監査に関するガイドライン(総務庁)

まるちゃん経由

これは、もう最高!!!総務庁頑張った。本当に頑張った。

セキュリティ監査をする上で必須のISO27001ベースの監査項目群。。。てか、ISO27001の内部監査にも使えるし、ISO27001の外部監査でも使われそうなものです。
特に監査項目がすばらしい。

第3 章 情報セキュリティ監査項目
 3.1. 対象範囲
 3.2. 組織体制
 3.3. 情報資産の分類と管理方法
 3.4. 物理的セキュリティ
  3.4.1. サーバ等の管理
  3.4.2. 管理区域(情報システム室等)の管理
  3.4.3. 通信回線及び通信回線装置の管理
  3.4.4. 職員等のパソコン等の管理
 3.5. 人的セキュリティ
  3.5.1. 職員等の遵守事項
  3.5.2. 研修・訓練
  3.5.3. 事故、欠陥等の報告
  3.5.4. ID及びパスワード等の管理
 3.6. 技術的セキュリティ
  3.6.1. コンピュータ及びネットワークの管理
  3.6.2. アクセス制御
  3.6.3. システム開発、導入、保守等
  3.6.4. 不正プログラム対策
  3.6.5. 不正アクセス対策
  3.6.6. セキュリティ情報の収集
 3.7. 運用
  3.7.1. 情報システムの監視
  3.7.2. 情報セキュリティポリシーの遵守状況の確認
  3.7.3. 侵害時の対応
  3.7.4. 外部委託
  3.7.5. 例外措置
  3.7.6. 法令遵守
  3.7.7. 懲戒処分等