正誤表 ISMS_140512

2014年9月8日
【該当商品】
※（）内はバージョン番号
・ISMS認証取得支援パッケージ（IP01.140520）
・ISMSサンプル文書集（IS01.140512 ）
・ISMS文書&書式テンプレート集（IS02.140512）
・ISMS 記録様式サンプル集（IS03.140512）
・ISMSサンプル文書集 [アップグレード版] （IS01ug.140512）
・ISMS文書&書式テンプレート集 [アップグレード版] （IS02ug.140512）
★規程書
COM-B01 文書管理規程.doc
2.11 文書の廃止 (1) 文書の廃止
〜承認を得て「内部文書記録管理台帳」の〜＞〜承認を得て「内部文書管理台帳」の〜
COM-B04 内部監査管理規程.doc
目次
「3 計画」「3.1 監査計画」「3.2 監査プログラムの作成・通知」が漏れているため、追記
3 計画
スタイル（⾒出し1）が未設定であったため設定
4.2 監査の実施（評価基準）
・規格の重要要件の完全⽋落＞・規格の重要要件の完全⽋落。
・重要人物が無視、知らず＞重要人物が無視、知らず。
・⼿順書と作業が不⼀致＞・⼿順書と作業が不⼀致。
・誤解を招く記述、表現が曖昧＞・誤解を招く記述、表現が曖昧。
・⼀部の部門の軽微な抜け＞・⼀部の部門の軽微な抜け。
ISMS-A02 ISMSマニュアル.doc
目次
7.4 ISMSの維持及び改善＞ 7.4 コミュニケーション
5.2 方針 c)
JISQ27001:2014 ＞ JIS Q 27001:2014
6.1.1 ⼀般
「リスクアマネジメント管理規程」＞「リスクマネジメント管理規程」
7.4 ISMSの維持及び改善
7.4 ISMSの維持及び改善＞ 7.4 コミュニケーション
ISMS-B07 情報セキュリティ運営管理規程
2.2 役割及び責任 (2)情報セキュリティ推進責任者 h)
JISQ27001:2014 ＞ JIS Q 27001:2014
4 情報処理設備の認可⼿続き (6)
〜承認を得なければなんらない。＞〜承認を得なければならない。
11.3 年間情報セキュリティ目標の設定 (1)情報セキュリティ目標の作成
ISO27001:2013（JISQ27001:2014）＞ JIS Q 27001：2014（ISO/IEC 27001：2013）
ISMS-B08 人的セキュリティ管理規程
3 雇用条件 (1)
〜機密保持に関すること。＞〜機密保持に関すること
4.2.2 教育・訓練体系管理者向け研修
《情報セキュリティ管理者以上で必要な知識の習得》＞情報セキュリティ管理者以上で必要な知識の習得
8 改訂履歴表
8 改訂履歴表＞ 7 改訂履歴表
※目次の変更
ISMS-B09 セキュリティ事件・事故管理規程
-1-
2014年9月8日
1.1 規程の位置付け
〜事象・インシデント及び弱点：セキュリティ⽋陥、〜＞〜事象・インシデント及び弱点（セキュリティ⽋陥）、〜
1.2 目的 (1)および(2)
〜事象・インシデント及び弱点：セキュリティ⽋陥、〜＞〜事象・インシデント及び弱点（セキュリティ⽋陥）、〜
2 責任及び⼿順
〜「通信・運用管理規程」の“11.2
システム使用状況の監視”に〜＞〜「通信・運用管理規程」の「11.2 システム使用状況の監視」に〜
3.2 情報セキュリティ事象及びセキュリティ弱点の報告
〜事象・インシデント及び弱点：セキュリティ⽋陥、〜＞〜象・インシデント及び弱点（セキュリティ⽋陥）、〜
〜巻末資料の「セキュリティ事件・事故の流れ」に〜＞〜「6 セキュリティ事件・事故の流れ」に〜
3.2.3 最終報告 (5)
〜実⾏されることとする。なお、〜＞〜実⾏する。なお、〜
5 懲戒⼿続き
〜の“5 懲戒⼿続き（A.7.2.3）”に〜＞〜の「5 懲戒⼿続き」に〜
セキュリティ事件・事故の流れ
セキュリティ事件・事故の流れ＞ 6 セキュリティ事件・事故の流れ
6 改訂履歴表
6 改訂履歴表＞ 7 改訂履歴表
※目次の変更
ISMS-B10 物理的・環境的管理規程
2.5 セキュリティを保つべき領域での作業 (4)
〜⾳声⼜はそのた記憶装置〜＞〜⾳声⼜はその他記憶装置〜
2.6 ⼀般の人の⽴寄り場所及び受渡場所
〜許可されていないアクセスを避けるたけ、〜＞〜許可されていないアクセスを避けるため、〜
3.1 装置の設置及び保護 (5)
〜を考慮しのぞきみ⾒など〜＞〜を考慮し、のぞきみ⾒など〜
3.2 サポートユーティリティ
〜装置の管理責任者は装置の継続的な可用性〜＞〜装置の管理責任者は、装置の継続的な可用性〜
〜完全性を確実にするために定期的に〜＞〜完全性を確実にするために、定期的に〜
3.3 ケーブル配線のセキュリティ
〜を断線や傍受から保護を⾏う。＞〜を断線や傍受から保護する。
3.7 資産の移動 (1)
〜3.5項「郊外にある装置のセキュリティ」に〜＞〜「3.5 構外にある設備のセキュリティ」に〜
ISMS-B11 通信・運用管理規程
2.1 操作⼿順書 (4)
作業中発⽣しうる、〜＞作業中発⽣し得る、〜
2.4 開発施設、試験施設及び運用施設の分離 (2)および(3)
〜ログ・オン⼿順〜＞〜ログオン⼿順〜
3 供給者が提供するサービスの管理
〜レベルを維持すること＞〜レベルを維持すること。
3.3 供給者が提供するサービスの変更に対する管理
〜変更を管理すること＞〜変更を管理すること。
4.2 システムの受け入れ (6)
〜新たな脅威にたいするリスク評価〜＞〜新たな脅威に対するリスク評価〜
5.1 マルウェアに対する管理策
〜意識させる⼿順を実施する＞〜意識させる⼿順を実施する。
8.1 取外し可能な媒体の管理 (1)および(2)
〜印刷されている紙につては、〜＞〜印刷されている紙については、〜
8.1 取外し可能な媒体の管理 (3)
〜情報セキュリティ管理者に許可を得え、〜＞〜情報セキュリティ管理者に許可を得て、〜
8.3 情報の取扱い⼿順 (1)
〜「アクセス管理規程」2.1アクセス制御方針に〜＞〜「アクセス管理規程」の「2.1 アクセス制御方針」に〜
8.3 情報の取扱い⼿順 (5)
・また、〜保護するため公衆の場での〜＞・また、〜保護するため、公衆の場での〜
9.1 情報転送の方針及び⼿順
-2-
2014年9月8日
第三者が居る場合オフィス内および、公共の場での〜＞第三者が居る場合、オフィス内および公共の場での〜
9.1 情報転送の方針及び⼿順 (2)
〜情報交換については、8.3 情報の取扱い⼿順に従う。＞〜情報交換については、「8.3 情報の取扱い⼿順」に従う。
9.2 情報転送に関する合意
外部組織と業務上契約が必要な場合は双方の〜＞〜外部組織と業務上契約が必要な場合は、双方の〜
9.4 電子的メッセージ通信
〜保護を⾏うため。（改⾏）次の事項について〜＞〜保護を⾏うため、次の事項について〜
11 ログ取得及び監視
〜検地すること。＞〜検知すること。
ISMS-B12 アクセス管理規程
2.1 アクセス制御方針
アクセス制御方針につては、ユーザ〜＞アクセス制御方針については、ユーザ〜
3.1 利用者登録及び登録削除、アクセスの提供
なお、本規定の“3.4 利用者アクセス権のレビュー”に〜＞なお、本規程の「3.4 利用者アクセス権のレビュー」に〜
ISMS-B13 システムの開発および保守管理規程
4.1 運用システムに関わるソフトウェアの導入 (2)
〜情報セキュリティ委員⻑⼜は、情報セキュリティ推進責任者の〜＞〜情報セキュリティ委員⻑⼜は情報セキュリティ推進責任者
の〜
5.2 システムの変更管理⼿順
〜危険性を最⼩限に抑えるために変更の実施〜＞〜危険性を最⼩限に抑えるために、変更の実施〜
5.4 パッケージソフトウェア変更に関する制限
パーケジソフトウェアの変更が必要な場合は〜＞パッケージソフトウェアの変更が必要な場合は〜
5.8 システムセキュリティの試験
〜「通信・運用管理規程」の“4.2 システムの受け入れ”に〜＞〜「通信・運用管理規程」の「4.2 システムの受け入れ」に〜
5.8 システムセキュリティの試験 c)
〜及び「通信・運用管理規程」の“4.2 システムの受け入れ” 〜＞〜及び「通信・運用管理規程」の「4.2 システムの受け入れ
」〜
6.1 技術的脆弱性の管理 (4)
〜緊急性に応じて変更管理⼿順（6.1 参照）⼜は〜＞〜緊急性に応じて、5.2 システムの変更管理⼿順」⼜は〜
6.2 ソフトウェアのインストールの制限
〜「適合性管理規程」の“2.2 知的財産権（IPR）に従い〜＞〜「適合性管理規程」の「2.2 知的財産権（IPR）」に従い〜
ISMS-B14 適合性管理規程
3.2 技術的順守点検
〜「物理的・環境的管理規定」－3.2 サポートユーティリティに〜＞〜「物理的・環境的管理規定」の「3.2 サポートユーティ
リティ」に〜
★様式
ISMS-B08-D01 誓約書（⾒本）
（左上）文書管理番号
ISMS-B07-1.00-D04 ＞ ISMS-B08-1.00-D01
ISMS-B08-D04 教育・研修アンケート
Q6 その他意⾒等をお聞かせください。
特にありません。＞（削除）
★様式（記入例）
COM-B01-D01 内部文書管理台帳（記入例）.xls
-3-
2014年9月8日
内部文書記録管理台帳 > 内部文書管理台帳
外部文書記録管理台帳 > 外部文書管理台帳
COM-B04-D04 内部監査チェックリスト̲ISMS（記入例）.xls
No46 関連文書および No56 関連文書
・リスクアマネジメント管理規程＞リスクマネジメント管理規程
ISMS-B06-D06 適用宣⾔書（記入例）.xls
A.8.1.1
定める。。 > 定める。
財産の台帳 > 資産の台帳
A.8.1.2
定める。。 > 定める。
A.8.1.3
定める。。 > 定める。
資産にに > 資産に
A.11.2.3
ケーブル配線のセキュリティ > 電源ケーブルの配線、ネットワークケーブルの配線を断線や傍受から保護するよう定める。
A.12.4.1
ログを採取しするよう > ログを採取するよう
A.16.1.6
是正・予防処置について > 是正処置について
A.17.2
Y >（削除）
ISMS-B06-D08 管理策有効性評価表（記入例）
A.14.2.8 ＞（追加）
セキュリティ機能の試験は，開発期間中に実施しなければならない。
セキュリティ機能の試験は，開発期間中に実施していますか？
推進責任者
業務・情報システムの管理者
試験している部署数 4
対象となる部署数 4
100% 100% 有効
①仕様書 ②運用変更申請書
ISMS-B08-D05 ⼒量認定要件表（記入例）
1 情報セキュリティ推進責任者
〜ISMSの運用及び維持管理ができること＞〜こと。
4 情報セキュリティアドバイザ
〜対策のアドバスができること＞〜こと。
ISMS-B09-D01 セキュリティ事件・事故報告書（記入例）
②対策処置
・上司へ状況を報告⇒関係各所への緊急連絡の実施。＞〜の実施。
-4-

Download Report