「セキュリティ要求事項の分析及び仕様化(A.14.1.1)」の具体的な管理策はどのようなものが一般的でしょうか?
2 情報システムのセキュリティ要求事項
2.1 セキュリティ要求事項の分析及び仕様化(A.14.1.1)
についてですが、具体的な管理策はどのようなものが一般的でしょうか?
当社においての社内システムは財務/給与等のパッケージおよび自社開発の小規模な工数管理システム程度です。
その他、システム開発は受託によるシステム開発業務はありますが、この管理策については認証などのアカウント管理、AD等によるネットワーク管理程度以外に適切な管理策が思いつきません。
「A.14.1.1 情報セキュリティ要求事項の分析及び仕様化」は、新規システムの導入や既存のシステム改善を行う場合において、事前に仕様を明示するための管理策となります。
仕様を明確化するとともに、その内容を確認し、問題がないことを承認してから導入することが求められています。
一般的には、仕様として以下のようなものが求められることになります。
・容量
・性能
・ソフトウェア及びミドルウェアの内容
・セキュリティ上の優位点及び注意点
・セキュリティ機能
組織の状況に応じて上記だけとは限りませんので、あくまで参考程度としてください。
なお、お客様のシステムをベースに考慮すると、以下のようなことも言えるかと思います。
(1) 財務/給与等のパッケージ の場合
何のソフトかは分かりませんが、”勘定奉行”などであればセキュリティ機能も搭載されています。
その機能のみを、全て適用することでOKと考えることもできます。
(2) 自社開発の小規模な工数管理システム程度 の場合
どこまでのセキュリティ機能を持たせるかは色々な考え方があるかと思います。
思いついている”認証などのアカウント管理、AD等によるネットワーク管理”でもOKだと思います。
ちなみに、「一般的な管理策」ではなく、自社としてその資産に対してどこまでのセキュリティ機能を要求するかを考えることが必要となります。
「ISMS-B06 リスクマネジメント管理規程」に準拠して、リスクアセスメント(詳細リスクアセスメント)を行いセキュリティ機能(対策)を決定することとなります。
上記の(1)および(2)のシステムについては、資産として台帳に登録してリスクアセスメントを行うはずなので、結果、自社が考えたセキュリティの管理策になるかと思います。
※IPAが以下HPで公開している「セキュリティ要件検討支援ツール」を使用するとかもありです。
https://www.ipa.go.jp/security/fy18/development/localgov/
