No.245　ISO情報セキュリティマネジメントシステム［以下ISMS］その13

ITコラム
2018年2月21日

ISO 飛鳥　石橋一史によるITコラム
～帝国ニュースに掲載されたものを紹介していきます～

今回は“システムの取得、開発及び保守”について、この目的は、組織が情報システムを取得したり、システムを開発する立場の組織が注意しなければならない事柄を述べている。これには、公衆ネットワークサービスを提供する組織も含まれる。

具体的には、情報の管理項目として、情報の盗難・外部からの侵入・盗み見などの不正行為、あるいは委託先との秘守義務違反などによる契約紛争、並びに認可されていない開示及び変更から保護策を講じるように定められている。

また、アプリケーションサービスのトランザクション（情報のやり取り）の管理策には、不完全な通信、誤った通信経路設定、認可されていないメッセージの変更、認可されていない開示、認可されていないメッセージの複製又は再生が挙げられている。

システムを開発する立場で重要なこととして、システムの変更する際の管理手順の明確化がある。この変更管理点については、品質管理でも特に重要視されている。

小噺：子供「鶴は千年、亀は何年てほんと？」父「そうだな」子供「友達が縁日で買ってきた亀、翌日死んじゃったよ。父「じゃあ、それが万年目だったんだよ」

合同会社ASCA Auditors Society for Conformity Assessment