通信及び運用管理(A10)

悪意のあるコードに対する管理策[A10.4.1]

【管理策】
悪意のあるコードから保護するために、検出、予防及び回復のための管理策、並びに利用者に適切に意識させるための手順を実施しなければならない。
【解説】
悪意のあるコードには、Web画面の閲覧や電子メールのプレビューで感染し、メールアドレス帳やハードディスク内に保存されている受信メールの本文からメールアドレスを割り出して、コンピュータウイルスに感染した電子メールを送信するものもある。また、ハードディスク内に保存されている文書ファイルなどを無作為に添付して送信したりインターネット上に流出させたりするコンピュータウイルスもあるので、個人情報や機密情報が外部に漏えいする可能性もある。ソフトウェアや電子ファイルの入手および使用に関する方針（規程など）を策定するとともに、業務で使用するサーバーやパソコンなどを定期的に点検し、承認されていないファイルや許可されていない変更がないか、コンピュータウイルスなどの悪意のあるコードの対策ソフトウェアは最新になっているかなどを確認する必要がある。悪意のあるコードの対策は、組織内の１箇所でも対策が不十分な箇所があると、そこから被害が拡大する恐れがある。したがって、悪意のあるコードの対策について、社員などへの教育・訓練を継続的に行わなければならない。

モバイルコードに対する管理策[A10.4.2]

【管理策】
モバイルコードの利用が認可された場合は、認可されたモバイルコードが、明確に定められたセキュリティ方針に従って動作することを確実にする環境設定を行わなければならない。また、認可されていないモバイルコードを実行できないようにしなければならない。
【解説】
モバイルコードによっては魅力あるwebサイトの画面にしたりすることができる反面、悪用される可能性もあります。したがって、どのモバイルコードの利用を認可するかを定めるとともに、認可しないモバイルコードについては、実行を制御する必要があります。

情報の取扱手順[A10.7.3]

【管理策】
情報の取扱い及び保管についての手順は、その情報を認可されていない開示又は不正使用から保護するために、確立しなければならない。

【解説】
CD・MOなど可搬性のある記憶媒体や、重要な情報が記憶されている書類など紙媒体に関する管理手順を明確にし、それを組織にかかわる者に順守させる必要があります。

媒体の処分[A10.7.2]

【管理策】
媒体が不要になった場合は、正式な手順を用いて、セキュリティを保ち、かつ、安全に処分しなければならない。
【解説】
確実に処分する必要がある媒体かを明確にし、物理的な処分（破壊・溶解など）やデータの確実な消去を実施しなければなりません。