SSLサービスの管理策について
当社の利用する情報資産の「サービス」に、SSLも入れるべきと考えております。
SSLサービスには有効期限があるわけですが、このサービス利用を維持・管理することは、ISO 27001の管理策のどれに該当すると解釈すればよいのでしょうか。
サービス利用の更新を忘れまたは怠った場合、通信が暗号化されない可能性がでてくるため、電子的メッセージ通信(A.10.8.4)の保護が保てなくなることはわかります。
このほかに、維持管理の管理策やSSL契約情報を管理する管理策がいずれに該当するのかがよくわかりません。
よろしくお願いします。
情報資産のサービスとしての「SSL」の管理策として考えられのは、ご指摘の「A.10.8.4 電子的メッセージ通信」の他、「SSL」は、第三者が提供するサービスであることを考えると、以下の2つの管理策も該当すると考えられるかと思います。
・「A.6.2.3 第三者との契約におけるセキュリティ」
・「A.10.2 第三者が提供するサービスの管理」
上記以外にも、組織の状況によって関連する管理策もあるかと思います。
ご参考までに。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
