SSLサービスの管理策について
当社の利用する情報資産の「サービス」に、SSLも入れるべきと考えております。
SSLサービスには有効期限があるわけですが、このサービス利用を維持・管理することは、ISO 27001の管理策のどれに該当すると解釈すればよいのでしょうか。
サービス利用の更新を忘れまたは怠った場合、通信が暗号化されない可能性がでてくるため、電子的メッセージ通信(A.10.8.4)の保護が保てなくなることはわかります。
このほかに、維持管理の管理策やSSL契約情報を管理する管理策がいずれに該当するのかがよくわかりません。
よろしくお願いします。
情報資産のサービスとしての「SSL」の管理策として考えられのは、ご指摘の「A.10.8.4 電子的メッセージ通信」の他、「SSL」は、第三者が提供するサービスであることを考えると、以下の2つの管理策も該当すると考えられるかと思います。
・「A.6.2.3 第三者との契約におけるセキュリティ」
・「A.10.2 第三者が提供するサービスの管理」
上記以外にも、組織の状況によって関連する管理策もあるかと思います。
ご参考までに。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
