「劇場・音楽堂等機能強化推進事業」業務委託（令和８年４月～令和９年３月）

「劇場・音楽堂等機能強化推進事業」業務委託（令和８年４月～令和９年３月） 入札公告次のとおり一般競争入札に付します。 なお、本入札に係る契約締結は、本件業務に係る令和８年度本予算が成立し、交付決定がなされることを条件とするものです。 令和８年１月１６日独立行政法人日本芸術文化振興会理事長 長谷川 眞理子１．調達概要(１)件 名 「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)(２)履行場所 受託者の事業所他(３)概 要 本件は、「劇場・音楽堂等機能強化推進事業」に関し、広報業務や助成対象活動実施に係る業務等を委託するものである。 (４)履行期間 令和８年４月１日(水)から令和９年３月３１日(水)まで(５)本調達は、価格と技術等を総合的に評価して落札者を決定する総合評価落札方式を実施する。 ２．競争参加資格(１)独立行政法人日本芸術文化振興会会計規程第１６条及び第１７条の規定に該当しない者であること。 なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 (２)独立行政法人日本芸術文化振興会一般競争(指名競争)参加資格において、令和７年度の「役務の提供等」で「Ａ」又は「Ｂ」等級の認定を受けている者であること(会社更生法(平成１４年法律第１５４号)に基づき更生手続開始の申立てがなされている者又は民事再生法(平成１１年法律第２２５号)に基づき再生手続開始の申立てがなされている者については、手続開始の決定後に一般競争参加資格の再認定を受けている者であること。 )。 なお、全省庁統一資格において当該資格を有する者は、同等級の認定を受けている者とみなす。 (３)会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなされている者(上記(２)の再認定を受けた者を除く。 )でないこと。 (４)競争参加資格確認申請書(以下「申請書」という。)及び競争参加資格確認資料(以下「資料」という。)の提出期限の日から競争執行の時までの期間に、独立行政法人日本芸術文化振興会、文部科学省又は文部科学省関係機関から取引停止又は指名停止の処分を受けていないこと。 (５)入札に参加しようとする者の間に資本関係又は人的関係がないこと(入札説明書参照)。 (６)個人情報の取扱いについて適切な保護措置を講ずる体制を整備しており、情報セキュリティマネジメントシステム【ＪＩＳ Ｑ ２７００１(ＩＳＯ／ＩＥＣ２７００１)】認証又はプライバシーマークを取得済であること。 (７)本件の仕様書に定めるサービスを提供するにあたり、クラウドを利用したサービスを用いる場合には、以下の要件を満たすものでなければならない。 ①当該サービスは、原則として「政府情報システムのセキュリティ評価制度(ISMAP)」に登録されているサービスを用いること。 ②ISMAP登録外のサービスを用いる場合には、ISMAPにおいて定められたセキュリティ基準を満たすサービスであり、かつ、それを証明すること。 (８)総合評価の評価項目において必須の項目としている要求要件を全て満たす技術等を提案した者であること。 (入札説明書別添１参照)(９)契約担当役(独立行政法人日本芸術文化振興会 理事長)が別に指定する反社会的勢力に該当しない旨の誓約書に誓約できる者であること。 ３．総合評価に関する事項(１)落札者の決定方法入札参加者は、価格及び技術等をもって入札に参加し、独立行政法人日本芸術文化振興会会計規程実施細則第６条の規定に基づいて作成された予定価格の制限の範囲内で有効な入札を行った者のうち、入札価格の得点に技術等の各評価項目の得点の合計を加えて得た数値(以下「評価値」という。)の最も高い者を落札者とする。 (２)総合評価の方法及び評価項目等詳細は、入札説明書別添１による。 ４．入札手続等(１)契約条項を示す場所、入札説明書の交付場所及び問合せ先〒１０２―８６５６ 東京都千代田区隼町４番１号独立行政法人日本芸術文化振興会 財務部契約課契約係 吉田電話番号 ０５０－１７５４－５９８１(直通)(２)入札説明書の交付期間及び方法入札説明書は、令和８年１月１６日(金)から独立行政法人日本芸術文化振興会ＨＰ(トップページ＞調達情報＞入札情報一覧)又は上記(１)にて交付する。 入札説明書の交付は無料とする。 (３)申請書及び資料の提出期間、場所及び方法令和８年１月１６日(金)から令和８年２月１８日(水)午後５時まで上記(１)に持参又は郵送(提出期間内必着、書留郵便等の配達記録が残るものに限る。)により提出すること。 ※(１)～(３)の受付は土曜日、日曜日及び祝日を除く午前１０時から午後５時までとする。 (４)競争執行の日時及び場所令和８年３月１２日(木)午後２時東京都千代田区隼町４番１号独立行政法人日本芸術文化振興会 国立劇場本館３階 第５会議室５．その他(１)手続において使用する言語及び通貨 日本語及び日本国通貨に限る。 (２)入札保証金及び契約保証金 免除(３)入札の無効 本公告に示した競争参加資格のない者のした入札、申請書又は資料に虚偽の記載をした者の入札、入札者に求められる義務を履行しなかった者のした入札、入札に関する条件に違反した入札、その他独立行政法人日本芸術文化振興会会計規程実施細則第１６条第１項各号に掲げる入札並びに郵便による入札、電子メールによる入札は無効とし、無効の入札を行った者を落札者としていた場合には落札決定を取り消す。 (４)誓約書の遵守 上記２．(９)の誓約書を提出せず、又は虚偽の誓約をし、若しくは誓約に反することとなったときは、当該者の入札を無効とし、落札者としていた場合には落札決定を取り消す。 (５)落札者の決定方法 独立行政法人日本芸術文化振興会会計規程実施細則第６条の規定に基づいて作成された予定価格の制限の範囲内で有効な入札を行った者のうち、評価値の最も高い者を落札者とする。 ただし、落札者となるべき者の入札価格が、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち評価値が最も高い者を落札者とすることがある。 (６)契約書作成の要否 要(７)関連情報を入手するための照会窓口 上記４．(１)に同じ。 (８)一般競争参加資格の認定を受けていない者の参加 上記２．(２)に掲げる一般競争参加資格の認定を受けていない者も上記４．(３)により申請書及び資料を提出することができるが、競争に参加するためには、競争執行時において、当該資格の認定を受け、かつ、競争参加資格の確認を受けていなければならない。 (９)「独立行政法人が行う契約に係る情報の公表について」(独立行政法人日本芸術文化振興会ＨＰトップページ＞調達情報)を参照の上、その内容について同意了承すること。 ( 参照：https://www.ntj.jac.go.jp/about/procurement/info.html )(１０)詳細は入札説明書による。 1入 札 説 明 書「「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)」に係る入札公告に基づく一般競争入札については、関係法令に定めるもののほか、この入札説明書によるものとする。 １．公告日 令和８年１月１６日２．契約担当役等契約担当役独立行政法人日本芸術文化振興会 理事長 長谷川 眞理子３．調達概要(１)件 名 「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)(２)履行場所 受託者の事業所他(３)概 要 別紙仕様書のとおり。 (４)履行期間 令和８年４月１日(水)から令和９年３月３１日(水)まで(５)本調達は、価格と技術等を総合的に評価して落札者を決定する総合評価落札方式を実施する。 ４．競争参加資格(１)独立行政法人日本芸術文化振興会会計規程第１６条及び第１７条の規定に該当しない者であること。 なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 (２)独立行政法人日本芸術文化振興会一般競争(指名競争)参加資格において、令和７年度の「役務の提供等」で「Ａ」又は「Ｂ」等級の認定を受けている者であること(会社更生法(平成１４年法律第１５４号)に基づき更生手続開始の申立てがなされている者又は民事再生法(平成１１年法律第２２５号)に基づき再生手続開始の申立てがなされている者については、手続開始の決定後に一般競争参加資格の再認定を受けている者であること。 )。 なお、全省庁統一資格において当該資格を有する者は、同等級の認定を受けている者とみなす。 (３)会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなされている者(上記(２)の再認定を受けた者を除く。 )2でないこと。 (４)競争参加資格確認申請書(以下「申請書」という。)及び競争参加資格確認資料(以下「資料」という。)の提出期限の日から競争執行の時までの期間に、独立行政法人日本芸術文化振興会(以下「振興会」という。)、文部科学省又は文部科学省関係機関から取引停止又は指名停止の処分を受けていないこと。 (５)入札に参加しようとする者の間に以下の基準のいずれかに該当する関係がないこと。 ①資本関係次のいずれかに該当する二者の場合。 (イ)子会社等(会社法(平成１７年法律第８６号)第２条第３号の２に規定する子会社等をいう。 以下同じ。 )と親会社等(同条第４号の２に規定する親会社等をいう。以下同じ。)の関係にある場合(ロ)親会社等を同じくする子会社等同士の関係にある場合②人的関係次のいずれかに該当する二者の場合。 ただし、(イ)については、会社等(会社法施行規則(平成１８年法務省令第１２号)第２条第３項第２号に規定する会社等をいう。 以下同じ。 )の一方が民事再生法(平成１１年法律第２２５号)第２条第４号に規定する再生手続が存続中の会社等又は更生会社(会社更生法(平成１４年法律第１５４号)第２条第７項に規定する更生会社をいう。 )である場合を除く。 (イ)一方の会社等の役員(会社法施行規則第２条第３項第３号に規定する役員のうち、次に掲げる者をいう。以下同じ。)が、他方の会社等の役員を現に兼ねている場合１)株式会社の取締役。 ただし、次に掲げる者を除く。 (ⅰ)会社法第２条第１１号の２に規定する監査等委員会設置会社における監査等委員である取締役(ⅱ)会社法第２条第１２号に規定する指名委員会等設置会社における取締役(ⅲ)会社法第２条第１５号に規定する社外取締役(ⅳ)会社法第３４８条第１項に規定する定款に別段の定めがある場合により業務を執行しないこととされている取締役２)会社法第４０２条に規定する指名委員会等設置会社の執行役３)会社法第５７５条第１項に規定する持分会社(合名会社、合資会社又は合同会社をいう。)の社員(同法第５９０条第１項に規定する定款に別段の定めがある場合により業務を執行しないこととされている社員を除く。)４)組合の理事3５)その他業務を執行する者であって、１)から４)までに掲げる者に準ずる者(ロ)一方の会社等の役員が、他方の会社等の管財人を現に兼ねている場合(ハ)一方の会社等の管財人が、他方の会社等の管財人を現に兼ねている場合③その他入札の適正さが阻害されると認められる場合組合とその構成員が同一の入札に参加している場合その他上記①又は②と同視しうる資本関係又は人的関係があると認められる場合。 (６)個人情報の取扱いについて適切な保護措置を講ずる体制を整備しており、情報セキュリティマネジメントシステム【ＪＩＳ Ｑ ２７００１(ＩＳＯ／ＩＥＣ２７００１)】認証又はプライバシーマークを取得済であること。 (７)本件の仕様書に定めるサービスを提供するにあたり、クラウドを利用したサービスを用いる場合には、以下の要件を満たすものでなければならない。 ①当該サービスは、原則として「政府情報システムのセキュリティ評価制度(ISMAP)」に登録されているサービスを用いること。 ②ISMAP 登録外のサービスを用いる場合には、ISMAP において定められたセキュリティ基準を満たすサービスであり、かつ、それを証明すること。 (８)総合評価の評価項目において必須の項目としている要求要件を全て満たす技術等を提案した者であること。 (別添１「総合評価基準」参照)(９)契約担当役が別に指定する反社会的勢力に該当しない旨の誓約書に誓約できる者であること。 ５．担当部課及び担当者〒１０２－８６５６ 東京都千代田区隼町４番１号独立行政法人日本芸術文化振興会 財務部契約課契約係担当者 吉田電話 ０５０－１７５４－５９８１(直通)６．総合評価に関する事項(１)落札者の決定方法入札参加者は、価格及び技術等をもって入札に参加し、独立行政法人日本芸術文化振興会会計規程実施細則第６条の規定に基づいて作成された予定価格の制限の範囲内で有効な入札を行った者のうち、入札価格の得点に技術等の各評価項目の得点の合計を加えて得た数値(以下「評価値」という。)の最も高い者を落札者とする。 (２)総合評価の方法及び評価項目等4詳細は、別添１「総合評価基準」による。 ７．入札者に要求される事項この一般競争に参加を希望する者は、仕様書に示した役務を履行できることを証明する書類を下記８．(１)①の提出期間に提出しなければならない。 入札者は、入札日の前日までの間において、契約担当役から当該書類に関し説明を求められた場合は、それに応じなければならない。 ８．競争参加資格の確認等(１)本競争の参加希望者は上記４．に掲げる競争参加資格を有することを証明するため、次に掲げるところに従い、申請書及び資料を提出し、契約担当役から競争参加資格の有無について確認を受けなければならない。 上記４.(２)の認定を受けていない者も次に掲げるところに従い申請書及び資料を提出することができる。 この場合において、上記４.(１)及び(３)から(９)までに掲げる事項を満たしているときは、競争執行時において上記４.(２)に掲げる事項を満たしていることを条件として競争参加資格があることを確認するものとする。 当該確認を受けた者が競争に参加するためには、競争執行時において上記４.(２)に掲げる事項を満たしていなければならない。 なお、期限までに申請書及び資料を提出しない者並びに競争参加資格がないと認められた者は、本競争に参加することができない。 ①提出期間令和８年１月１６日(金)から令和８年２月１８日(水)までの、土曜日、日曜日及び祝日を除く午前１０時から午後５時まで。 ②提出先上記５．に同じ。 ③提出方法提出先に持参又は郵送(提出期間内必着、書留郵便等の配達記録が残るものに限る。)すること。 (２)申請書及び資料は、別添２「提出書類について」に従い作成すること。 (３)競争参加資格の確認は、申請書及び資料の提出期限の日をもって行うものとする。 (４)その他①申請書及び資料の作成及び提出に係る費用は、提出者の負担とする。 ②契約担当役は、提出された申請書及び資料を、競争参加資格の確認以外に提出者に無断で使用しない。 5③提出された申請書及び資料は、返却しない。 ④提出期限以降における申請書又は資料の差し替え及び再提出は認めない。 ⑤申請書及び資料に関する問合せ先上記５．に同じ。 ９．質問について(１)期 限：令和８年２月１０日(火)午後５時(２)仕様に関する質問は、財務部契約課契約係にて文書(様式６)で受け付ける。 電子メール又はＦＡＸにより提出すること。 電子メール keiyakuka-nt@ntj.jac.go.jpＦＡＸ番号 ０５０－３３８５－３２３３なお、提出後５．の担当者に対して電話により到達確認を行うこと。 質問に対する回答は、振興会のホームページ上で公開するので各自確認すること。 １０．競争執行の日時及び場所(１)日 時：令和８年３月１２日(木)午後２時(２)場 所：東京都千代田区隼町４番１号独立行政法人日本芸術文化振興会 国立劇場本館３階 第５会議室※遅刻の場合は、入札に参加できない。 １１．入札方法(１)入札書は必ず封筒に入れ、その表面に入札件名と競争参加者の氏名(法人の場合は商号又は名称)を記し封印すること。 (２)落札決定に当たっては、入札書に記載された金額に当該金額の１００分の１０に相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てた金額)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約希望金額の１１０分の１００に相当する金額を入札書に記載すること。 １２．入札保証金及び契約保証金 免除１３．入札の無効(１)入札公告に示した競争参加資格のない者のした入札、申請書又は資料に虚偽の記載をした者のした入札、入札者に求められる義務を履行しなかった者のした入札、本入6札説明書及び独立行政法人日本芸術文化振興会競争入札参加者注意書において示した条件等入札に関する条件に違反した入札、その他独立行政法人日本芸術文化振興会会計規程実施細則第１６条第１項各号に掲げる入札並びに郵便による入札、電子メールによる入札は無効とし、無効の入札を行った者を落札者としていた場合には落札決定を取り消す。 (２)上記４．(９)の誓約書を提出せず、又は虚偽の誓約をし、若しくは誓約に反することとなったときは、当該者の入札を無効とし、落札者としていた場合には落札決定を取り消す。 (３)契約担当役により競争参加資格のある旨確認された者であっても、競争執行の時において上記４．に掲げる資格のない者は競争参加資格のない者に該当する。 １４．落札者の決定方法(１)本件の役務を提供できると契約担当役が判断した入札者、かつ、独立行政法人日本芸術文化振興会会計規程実施細則第６条に基づいて作成された予定価格の制限の範囲内で有効な入札を行った入札者のうち、評価値の最も高い者を落札者とする。 ただし、落札者となるべき者の入札価格が、その者により当該契約の内容に適合した履行がなされない恐れがあると認められるとき、又はその者と契約を締結することが公正な取引の秩序を乱すこととなる恐れがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち評価値が最も高い者を落札者とすることがある。 (２)落札となるべき同評価値の入札をした者が２人以上あるときは、直ちに当該入札をした者にくじを引かせて落札者を決定する。 この場合において、当該入札をした者のうち出席しない者又はくじを引かない者があるときは、入札執行事務に関係のない職員にこれに代わってくじを引かせ、落札者を決定する。 １５．低入札価格調査(１)落札者となるべき者の入札価格が低入札価格調査基準価格を下回った場合、入札を「保留」とし、契約の内容が履行されない恐れがあると認めるか否かについて、入札者から事情聴取、関係機関への意見照会等の調査を行い、落札者を決定する。 (２)調査を実施した場合は、履行可能性等を明らかにした資料等の提出について、速やかに対応すること。 (３)調査中に履行不可能の申し出があった場合、取引停止措置(原則２ヶ月)が講じられることになるので、注意すること。 なお、調査への非協力的な対応が確認された場合は、取引停止期間が延伸されることがあるので注意すること。 7(４)低入札価格調査を実施した場合①低入札価格調査基準価格未満の入札を行った者は、振興会の調査の結果によっては、最も有利な申込みをした者であっても必ずしも落札者とならない場合がある。 ②振興会は、調査の結果、最も有利な申込みをした者の入札価格により契約の内容に適合した履行がされると認めたときは、直ちに最も有利な申込みをした者に落札した旨を通知するとともに、他の入札者全員に対してその旨を通知する。 ③次順位者を落札者と決定したときは、最も有利な申込みをした者に対しては落札者としない旨を、次順位者に対しては落札者となった旨を通知するとともに、その他の入札者に対しては次順位者が落札者となった旨を通知する。 １６．競争入札の延期又は廃止(１)競争参加者が相連合し又は不穏の挙動をする等の場合で競争入札を公正に執行できない状況にあると認めたときは、直ちに公正入札調査委員会を開催し、入札を延期し、又はこれを廃止する。 (２)談合情報があった場合、振興会は直ちに公正取引委員会へ通報するものとする。 (３)本件に関し振興会が入札に参加しようとする者全員に事情聴取を行う場合は、協力すること。 １７．契約書作成の要否別紙契約書(案)により、契約書を作成するものとする。 １８．関連情報を入手するための照会窓口上記５．に同じ。 １９．その他(１)落札者は、落札決定後速やかに入札金額に対応した内訳書(任意様式)を提出すること。 (２)契約の手続きにおいて使用する言語及び通貨は、日本語及び日本国通貨に限る。 (３)入札参加者は、別紙独立行政法人日本芸術文化振興会競争入札参加者注意書及び別紙契約書(案)を熟読し、競争入札参加者注意書を遵守すること。 (４)申請書及び資料に虚偽の記載をした場合においては、申請書を無効とするとともに独立行政法人日本芸術文化振興会における契約に係る取引停止等の取扱基準(以下「取引停止基準」という。)に基づく取引停止を行うことがある。 (５)提出した入札書の引換え、変更、取消しをすることはできないので、十分に確認し8て入札すること。 また、落札決定後、落札者が契約を結ばないときは、原則、取引停止基準に基づく取引停止を行うものとする。 (６)会社の登記上の所在地と、入札書及び委任状等に記す現行の所在地が異なる場合、登記上の所在地と現行の所在地が併記されている等、登記上の法人が入札書及び委任状等を提出する法人と同一であることを証明することができる書類の写しを併せて提出すること。 (７)入札説明書等を入手した者は、これを本入札手続以外の目的で使用してはならない。 (８)「独立行政法人が行う契約に係る情報の公表について」(独立行政法人日本芸術文化振興会ＨＰトップページ＞調達情報)を参照の上、その内容について同意了承すること。 ( 参照：https://www.ntj.jac.go.jp/about/procurement/info.html )(９)本入札説明書の様式１、様式４、入札書及び委任状の押印は省略することができる。 「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)総合評価基準１ 入札価格の評価方法入札価格の評価については、次のとおりとする。 入札価格の得点は、入札価格を予定価格で除して得た値を１から減じて得た値に入札価格に対する得点配分を乗じて得た値とする。 入札価格点＝価格点の配分×(１－入札価格÷予定価格)２ 技術等の評価方法入札に係る技術等の評価は、別紙の仕様書、別紙１の評価項目及び得点配分基準並びに別紙２及び３の加点付与基準(以下「評価基準」という。)に基づき以下のとおり評価を行う。 なお、仕様書及び評価基準に記載されていない技術等は評価の対象としない。 また、仕様書及び評価基準に記載されている技術等であっても、入札に係る技術等が独立行政法人日本芸術文化振興会(以下「振興会」という。)としての必要度・重要度に照らして、必要な範囲を超え、評価する意味のないものは評価の対象としないことがある。 (１)評価基準に記載する必須の評価項目に係る技術等については、必須の要求要件を満たしているか否かを判定し、これを満たしているものには評価基準に基づき基礎点を与え、更に、これを超える部分については、評価に応じ評価基準に示す加点の点数の範囲内で得点を与える。 (２)技術等の要求要件(以下「技術的要件」という。)を満たしているか否かの判定及び評価基準に基づき付与する得点の判定は、技能等評価委員会において、提出された総合評価に関する書類その他入札説明書で求める提出資料の内容を審査して行う。 ３ 得点配分区 分 価格点 技術点 合計配 点 ７５ １２５ ２００４ 総合評価の方法(１)入札価格及び技術等の総合評価は、次の各要件に該当する入札者のうち、１の入札価格の評価方法により得られた入札価格の得点に２の技術等の評価方法により得られた当該入札者の申込みに係る技術等の各評価項目の得点の合計を加えて得た数値(以下「評価値」という。)をもって行い、評価値の最も高い者を落札者とする。 ① 予定価格の制限の範囲内の入札価格を提示した入札者であること。 ② 評価項目で必須の項目としている要求要件を全て満たす技術等を提案した入札者であること。 (２)評価値の最も高い者が２人以上であるときは、当該者にくじを引かせて落札者を決定する。 この場合において、当該入札者のうち出席しない者又はくじを引かない者があるときは、入札執行事務に関係のない職員に、これに代わってくじを引かせ落札者を決定する。 入札説明書 別添１別紙１「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)に係る評価項目及び得点配分基準＊：必須の項目(必須項目のうち１項目でも最低限の要求要件を満たしていないものがある場合は、失格)●：価格と同等に評価できる項目評 価 項 目( 要 求 要 件 )基礎点 加算点(満点)１ 業務の内容及び実施方針〔４０点〕 ２０ ２０1-1 業務内容の妥当性、独創性 １５ １０＊ 1-1-1 仕様書記載の業務内容について全て提案されていること。 〔仕様書に示した内容以外の独自の提案があれば加点する。 〕５ １０＊ 1-1-2 偏った業務内容となっていないこと。 ５ －＊ 1-1-3 広報内容が国民一般にとって分かり易いものとなっていること。 ５ －1-2 業務方法の妥当性、独創性 ５ １０＊ 1-2-1 広報業務・助成対象活動実施に係る業務方法として妥当な内容であること。 1-2-2 効果的な業務実施のための工夫があれば加点する。 ５－－１０２ 作業計画〔１０点〕 ５ ５2-1 計画の妥当性、効率性 ５ ５＊ 2-1-1 作業の日程・手順等に無理がなく、目的に沿った実現性があること。 2-1-2 作業の日程・手順等が効率的であれば加点する。 ５－－５● ３ 類似業務の実績〔１０点〕 ５ ５3-1 組織の類似業務の経験 ５ ５＊ 3-1-1 過去に類似業務を実施した実績があること。 3-1-2 類似業務の実績内容により加点する。 ５－－５● ４ 業務の実施体制〔１５点〕 ５ １０4-1 組織の業務実施能力 ５ ５＊ 4-1-1 業務を円滑に遂行するための人員が確保されていること。 4-1-2 幅広い知見・人的ネットワーク・優れた情報収集能力を有していれば加点する。 ５－－５4-2 業務に当たってのバックアップ体制 － ５4-2-1 円滑な業務遂行のための人員補助体制が組まれていれば加点する。 － ５● ５ 業務従事予定者の経験・能力〔２０点〕 １０ １０5-1 業務従事予定者の類似業務の経験 ５ ５＊ 5-1-1 過去に類似業務をした実績があること。 5-1-2 業務従事予定者が過去に行った類似業務の実績の内容により加点する。 ５－－５5-2 業務従事予定者の業務内容に関する専門知識・適格性 ５ ５＊ 5-2-1 業務内容に関する知識・知見を有していること。 5-2-2 業務内容に関する人的ネットワークを有していれば加点する。 ５－－５● ６ 情報セキュリティ確保のための体制〔１０点〕 １０ －＊ 6-1 情報セキュリティを確保するために適当な体制を有していること(導入体制、運用支援・保守体制、インシデント対応体制等)。 ＊ 6-2 使用するシステムが、情報セキュリティを確保するために適当な機能を有していること(システム基盤、主体認証機能、アクセス制御機能、権限管理機能、ログ管理機能、暗号化、運用管理機能等)。 ５５－－● ７ 財務基盤・経理能力〔１０点〕 － １０7-1 業務を実施する上で適切な財務基盤、経理能力を有していること。 〔財務基盤等の内容により加点する。 〕－ １０● 8 ワーク・ライフ・バランス等の推進に関する指標〔１０点〕 － １０8-1 ワーク・ライフ・バランス等の取組 － １０8-1-1 以下のいずれかの認定等があること。 〔ワーク・ライフ・バランス等の取組に関する認定内容等に応じて加点する。 〕① 女性の職業生活における活躍の推進に関する法律(女性活躍推進法)に基づく認定(えるぼし認定企業・プラチナえるぼし認定企業)を受けていること。 又は、女性活躍推進法に基づく一般事業主行動計画策定済(常時雇用する労働者の数が100人以下のものに限る)。 ② 次世代育成支援対策推進法(次世代法)に基づく認定(くるみん認定企業・トライくるみん認定企業・プラチナくるみん認定企業)を受けていること。 又は、次世代法に基づく一般事業主行動計画(令和７年４月１日以後の基準)策定済(常時雇用する労働者の数が100人以下のものに限る)。 ③ 青少年の雇用の促進等に関する法律(若者雇用促進法)に基づく認定を受けていること。 ※内閣府男女共同参画局長の認定等相当確認を受けている外国法人については、相当する各認定等に準じて加点する。 － １０合 計 〔１２５点〕 ５５ ７０別紙２「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)に係る加点付与基準加点評価項目評 価 区 分大変優れている優れているやや優れている１ 事業の内容及び実施方針1-1 業務内容の妥当性、独創性1-1-1 仕様書に示した内容以外の独自の提案について １０ ６ ２1-2 業務方法の妥当性、独創性1-2-1 効果的な業務実施のための工夫について １０ ６ ２２ 作業計画2-1 計画の妥当性、効率性2-1-2作業の日程・手順等の効率性について ５ ３ １３ 類似業務の実績3-1 組織の類似業務の経験3-1-2類似業務の実績内容について ５ ３ １４ 業務の実施体制4-1 組織の業務実施能力4-1-2 幅広い知見・人的ネットワーク・優れた情報収集能力について ５ ３ １4-2 業務に当たってのバックアップ体制4-2-1 円滑な業務遂行のための人員補助体制について ５ ３ １５ 業務従事予定者の経験・能力5-1 業務従事予定者の類似業務の経験5-1-2 業務従事予定者が過去に行った類似業務の実績内容について ５ ３ １5-2 業務従事予定者の業務内容に関する専門的知識・適格性5-2-2業務内容に関する人的ネットワークについて ５ ３ １７ 財務基盤・経理能力7-1 適切な財務基盤、経理能力について １０～５(別紙３のとおり)８ ワーク・ライフ・バランス等の推進に関する指標8-1 ワーク・ライフ・バランス等の取組8-1-1 ワーク・ライフ・バランス等の取組について○女性の職業生活における活躍の推進に関する法律(女性活躍推進法)に基づく認定(えるぼし認定企業・プラチナえるぼし認定企業)等・認定段階１(労働時間等の働き方に係る基準は満たすこと)・認定段階２(労働時間等の働き方に係る基準は満たすこと)・認定段階３・プラチナえるぼし認定企業・行動計画策定済(女性活躍推進法に基づく一般事業主行動計画の策定義務がない事業主(常時雇用する労働者の数が100 人以下のもの)に限る(計画期間が満了していない行動計画を策定している場合のみ)４７８１０２○次世代育成支援対策推進法(次世代法)に基づく認定(くるみん認定企業・トライくるみん認定企業・プラチナくるみん認定企業)等・くるみん認定①(平成29年3月31日までの基準)(次世代法施行規則等の一部を改正する省令(平成 29 年厚生労働省令第31号。 以下「平成29年改正省令」という。 )による改正前の次世代法施行規則第4条又は平成29年改正省令附則第2条第3項に掲げる基準による認定)４複数の認定等に該当する場合は、最も配点が高い区分により加点を行うものとする。 ・トライくるみん認定①(令和4年4月1日から令和7年3月31日までの基準)(次世代法施行規則の一部を改正する省令(令和6年厚生労働省令第146号。以下「令和6年改正省令」という。)による改正前の次世代法施行規則第4条第1項第3号及び第4号又は令和6年改正省令附則第 2 条第 2 項の規定によりなお従前の例によることとされた令和 6 年改正省令による改正前の次世代法施行規則第4条第1項第3号及び第 4号に掲げる基準による認定)・くるみん認定②(平成29年4月１日から令和4年3月31日までの基準)(次世代法施行規則の一部を改正する省令(令和3年厚生労働省令第185号。以下「令和3年改正省令」という。)による改正前の次世代法施行規則第4条又は令和3年改正省令附則第2条第2項の規定によりなお従前の例によることとされた令和 3 年改正省令による改正前の次世代法施行規則第 4条に掲げる基準による認定(ただし、くるみん①の認定を除く。))・トライくるみん認定②(令和7年4月1日以後の基準)(令和6年改正省令による改正後の次世代法施行規則(以下「新施行規則」という。)第4条第1 項第3号及び第4号に掲げる基準による認定)・くるみん認定③(令和4年4月1日から令和7年3月31日までの基準)(令和 6 年改正省令による改正前の次世代法施行規則第4条第1項第1号及び第2号又は令和6年改正省令附則第 2 条第 2 項の規定によりなお従前の例によることとされた令和 6 年改正省令による改正前の次世代法施行規則第4条第1項第1号及び第2号に掲げる基準による認定(ただし、くるみん①及びくるみん②の認定を除く。))・くるみん認定④(令和7年4月1日以降の基準)(令和6年改正省令による新施行規則第4条第1項第1号及び第2号に掲げる基準による認定)・プラチナくるみん認定・行動計画(令和7年 4 月 1 日以降の基準)策定済(次世代法に基づく一般事業主行動計画の策定義務がない事業主(常時雇用する労働者の数が100人以下のもの)に限る(計画期間が満了していない行動計画を策定している場合のみ)５６７７８１０２○青少年の雇用の促進等に関する法律(若者雇用促進法)に基づく認定・ユースエール認定 ８※内閣府男女共同参画局長の認定等相当確認を受けている外国法人については、相当する各認定等に準じて加点する。 別紙３「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)に係る加点付与基準「7-1 適切な財務基盤、経理能力について」の加点付与基準各評価項目について、基準値を満たしている場合に加点を行う。 評価項目 基準値 加点流動比率流動資産÷流動負債×100100％以上 ５自己資本比率自己資本÷総資本×10030％以上 ５合計 １０入札説明書 別添２提出書類について１． 競争参加資格の確認のための書類(１)競争参加資格確認申請書(様式１)(２)一般競争(指名競争)参加資格認定通知書の写し(３)会社案内(４)【ＪＩＳ Ｑ ２７００１(ＩＳＯ／ＩＥＣ ２７００１)】認証登録証又はプライバシーマーク登録証の写し(５)提供予定のクラウドを利用したサービスの一覧(様式２)※クラウドサービスの名称、クラウドサービス事業者の名称、ISMAP クラウドサービスリストへの登録の有無、登録されている場合は登録番号を記載すること。 ※ISMAPクラウドサービスリストは、次のURLより参照すること。 https://www.ismap.go.jp/csm?id=csm_ismap_index※クラウドを利用したサービスの提供予定がない場合は、その旨を様式２に記載して提出すること。 (６)ISMAP管理基準に基づくセキュリティ要件一覧(様式３)※上記(５)に記載したクラウドサービスのうち、ISMAP クラウドサービスリストへの登録を「無」としたサービスがある場合のみ提出を要する。 ※複数のクラウドサービスが該当する場合には、クラウドサービスごとに提出すること。 ※記載された内容によっては、根拠資料の提出を求めることがある。 (７)誓約書(様式４)２．総合評価のための書類(１)技術提案書(様式５)１．業務の内容及び実施方針２．作業計画３．類似業務の実績４－１．業務の実施体制４－２. 業務を効果的に実施するための技術力５． 業務従事予定者の経験・能力６． 情報セキュリティ確保のための体制(２)最新の財務諸表等の資料(３)ワーク・ライフ・バランス等の資料①女性の職業生活における活躍の推進に関する法律(女性活躍推進法)に基づく認定(えるぼし認定及びプラチナえるぼし認定)等に関する基準適合一般事業主認定通知書の写し(取得している場合のみ)②次世代育成支援対策推進法(次世代法)に基づく認定(くるみん認定、トライくるみん認定及びプラチナくるみん認定)に関する基準適合一般事業主認定通知書の写し(取得している場合のみ)③青少年の雇用の促進等に関する法律(若者雇用促進法)に基づく認定(ユースエール認定)に関する基準適合一般事業主認定通知書の写し(取得している場合のみ)④女性活躍推進法又は次世代法に基づく一般事業主行動計画策定届の写し(策定義務がない事業主で計画期間が満了していない行動計画を策定している場合のみ)⑤上記①から④の認定の対象とならない外国法人については、内閣府男女共同参画局長が発出する「ワーク・ライフ・バランス等推進企業認定等相当確認通知書」の写し(取得している場合のみ)入札説明書 別添２【注意事項】＊ 上記提出書類の他、補足資料の提出を求める場合がある。 ＊ 提出書類の取扱い等(１)上記１．(１)～(４)、(７)及び上記２．(２)～(３)については１部、上記１．(５)～(６)については正本１部と副本１部、上記２．(１)については正本１部と副本７部を作成すること。 副本には、提出者を特定することができる内容の記述(具体的な企業名、社章等)を記載してはならない。 ー ー ー 3.1 情報セキュリティガバナンスのプロセスー ー ー 3.1.1 概要ー ー ー経営陣は、情報セキュリティを統治するために、評価、指示、モニタ及びコミュニケーションの各プロセスを実行する。 さらに、保証プロセスによって、情報セキュリティガバナンス及び達成したレベルについての独立した客観的な意見が得られる。 3.1.2 評価評価とは、現在のプロセス及び予定している変更に基づくセキュリティ目的の現在及び予想される達成度を考慮し、将来の戦略的目的の達成を最適化するために必要な調整を決定するガバナンスプロセスである。 “評価”プロセスを実施するために、経営陣は、次のことを行う。 3.1.2.1 経営陣は、事業の取組みにおいて情報セキュリティ問題を考慮することを確実にする。 ・経営陣は、管理者に、情報セキュリティが事業目的を十分にサポートし、支えることを確実にさせる。 3.1.2.2 経営陣は、情報セキュリティのパフォーマンス結果に対応し、必要な処置の優先順位を決めて開始する。 3.1.2.3 経営陣は、管理者に、重大な影響のある新規情報セキュリティプロジェクトを経営陣に付託するようにさせる。 3.1.3 指示指示は、経営陣が、実施する必要がある情報セキュリティの目的及び戦略についての指示を与えるガバナンスプロセスである。 指示には、資源供給レベルの変更、資源の配分、活動の優先順位付け並びに、方針、適切なリスク受容及びリスクマネジメント計画の承認が含まれる。 “指示”プロセスを実施するために、経営陣は次のことを行う。 3.1.3.1 経営陣は、その組織のリスク選好を決定する。 3.1.3.2 経営陣は、情報セキュリティの戦略及び方針を承認する。 (ア)経営陣は、管理者に、情報セキュリティの戦略及び方針を策定・実施させる。 (イ)経営陣は、管理者に、情報セキュリティの目的を事業目的に合わせて調整させる。 3.1.3.3 経営陣は、適切な投資及び資源を配分する。 3.1.3.4 経営陣は、管理者に、情報セキュリティに積極的な文化を推進させる。 3.1.4 モニタモニタは、経営陣が戦略的目的の達成を評価することを可能にするガバナンスプロセスである。 “モニタ”プロセスを実施するために、経営陣は次のことを行う。 3.1.4.1 経営陣は、情報セキュリティマネジメント活動の有効性を評価する。 (ア)経営陣は、管理者に、事業の観点から適切なパフォーマンス指標を選択させる。 (イ)経営陣は、管理者に、経営陣が以前に特定した措置の実施及びそれらの組織への影響を含む、情報セキュリティのパフォーマンス成果についてのフィードバックを経営陣へ提供させる。 3.1.4.2 経営陣は、内部及び外部の要求事項への適合性を確実にする。 3.1.4.3 経営陣は、変化する事業、法制度、規制の環境、及びそれらの情報リスクへの潜在的影響を考慮する。 3.1.4.4 経営陣は、管理者に、情報リスク及び情報セキュリティに影響する新規開発案件について、経営陣に対し注意を喚起させる。 3.1.5 コミュニケーションコミュニケーションは、経営陣及び利害関係者が、双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のガバナンスプロセスである。 コミュニケーションの方法の一つは、情報セキュリティの活動及び課題を利害関係者に説明する情報セキュリティ報告書である。 “コミュニケーション”プロセスを実施するために、経営陣は次のことを行う。 3.1.5.1 経営陣は、外部の利害関係者に、組織がその事業特性に見合った情報セキュリティのレベルを実践していることを報告する。 3.1.5.2 経営陣は、管理者に、情報セキュリティ課題を特定した外部レビューの結果を通知し、是正処置を要請する。 無 無 無 無ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置1 2 3 4組織全体として情報セキュリティの対策を確実に遂行するための体制を整備している。 また、経営陣は、管理者に対して優先度に即した対応を行わせるなど、重大な情報セキュリティプロジェクトの進捗を管理している。 経営陣は、情報セキュリティ戦略及び方針を事業目的に合わせて策定・実施させており、積極的にセキュリティを順守する文化を醸成している。 また、リスクマネジメントも適切に行い、必要な投資及び資源の配分を行っている。 経営陣は、情報セキュリティの措置状況を必要に応じて確認し、環境の変化を考慮しつつ、組織内部及び外部(法令・規制等も含む)が必要とするセキュリティ要件に常に適合できるようにしている。 経営陣は、事業特性に見合った情報セキュリティのレベルを実践していることを明示している。 また、振興会が要求するセキュリティ事項を認識し、組織として対応を行うことができる体制をもっている。 ①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)ガバナンス基準1管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 3.1.5.3 経営陣は、情報セキュリティに関する規制上の義務、利害関係者の期待及び事業ニーズを認識する。 3.1.5.4 経営陣は、管理者に、注意が必要な問題、また、できれば決定が必要な問題について、経営陣へ助言させる。 3.1.5.5 経営陣は、管理者に、関連する利害関係者に対し、経営陣の方向性及び決定を支援するためにとるべき詳細な行動を、経営陣の方向性及び決定に沿って説明させる。 3.1.6 保証保証は、経営陣が独立した客観的な監査、レビュー又は認証を委託するガバナンスプロセスである。 これは、望ましいレベルの情報セキュリティを達成するためのガバナンス活動の実行及び運営の遂行に関連した目的及び処置を特定し、妥当性を検証する。 “保証”プロセスを実施するために、経営陣は次のことを行う。 3.1.6.1 経営陣は、要求している情報セキュリティ水準に対し、どのように説明責任を果たしているかについて、独立した客観的な意見を監査人等に求める。 3.1.6.2 経営陣は、管理者に、経営陣が委託する監査、レビュー又は認証をサポートさせる。 ー ー ー 4.1 マネジメント基準ー ー ーマネジメント基準は、JIS Q 27001:2014を基に、情報セキュリティについて組織を指揮統制するために調整された活動である情報セキュリティマネジメントを確立、導入、運用、監視、維持及び改善するための基準を定める。 マネジメント基準は、原則としてすべて実施しなければならないものである。 ー ー ー 4.2 記載内容についてー ー ー「情報セキュリティ管理基準」の「マネジメント基準」に同じ。 クラウドサービスにおいては、クラウドサービス利用者の環境等を考慮して、クラウドサービス提供者の管理策等を検討し、実施する必要がある。 そのため、クラウドサービス利用者及びクラウドサービス事業者間において、クラウドサービスにおける情報セキュリティリスクとその対応について、情報交換することが非常で重要である。 当該情報セキュリティリスクコミュニケ―ションについては、クラウドサービスにおいて特に考慮するべき事項として、4.9章に規定する。 ー ー ー 4.3 凡例ー ー ー2.3章以降は、以下の構成をとる。 2.3 情報セキュリティマネジメント確立 [27001-4]2.3.1 組織の役割、責任及び権限 [27001-5.3 / 5.1]2.3.1.1 トップマネジメントは、情報セキュリティマネジメントに関するリーダーシップ及びコミットメントを発揮する。 [27001-5.1b)/ 5.1e) / 5.1f)]その際は、以下を行うこととする。 ・組織のプロセスへ、その組織が必要とする情報セキュリティマネジメント要求事項を統合する ：[27001-X.X.X]は、JIS Q 27001:2014において関連する条項(X.X.X)を示す。 ー ー ー 4.4 情報セキュリティマネジメントの確立 [27001-4.4]ー ー ー情報セキュリティマネジメントを確立するために、その基盤となる適用範囲を決定し、方針を確立する。 これらをもとに、情報セキュリティリスクアセスメントを実施し、その対応を計画し実施する。 それにより、組織が有効な情報セキュリティマネジメントを実施するための基盤作りを行う。 4.4.1 組織の役割、責任及び権限 [27001-5.3 / 5.1]4.4.1.1 トップマネジメントは、情報セキュリティマネジメントに関するリーダーシップ及びコミットメントを発揮する。 [27001-5.1b) / 5.1e) / 5.1f)]・組織のプロセスへ、その組織が必要とする情報セキュリティマネジメント要求事項を統合する。 ・情報セキュリティマネジメントがその意図した成果を達成することを確実にする。 ・情報セキュリティマネジメントの有効性に寄与するよう人々を指揮し、支援する。 また、トップマネジメントがリーダーシップ及びコミットメントを発揮していることを以下により確認する。 ・経営会議等の議事録に、トップマネジメントの情報セキュリティマネジメントに関する意思、判断、指示等が記録されていること。 ・情報セキュリティ方針、情報セキュリティ目的及びそれを達成する計画を策定する際に、トップマネジメントの意思、判断、指示等が含まれていること。 ・達成すべきセキュリティの水準として、リスクレベルをトップマネジメントが決定していること。 ・リスクレベルに応じて選択したセキュリティ管理策を実施させる際に、トップマネジメントの意思、判断、指示等が含まれていること。 ・内部監査において確認すべき事項に、トップマネジメントが要求する情報セキュリティ要求事項等が含まれていること。 ・内部監査報告書やそれらに基づく是正処置、マネジメントビュー議事録等に、トップマネジメントの意思、判断、指示等が含まれていること。 無 無 〇4経営陣は、事業特性に見合った情報セキュリティのレベルを実践していることを明示している。 また、振興会が要求するセキュリティ事項を認識し、組織として対応を行うことができる体制をもっている。 必要な情報セキュリティ水準を確保していることを客観的に証明するために、外部機関による監査を行っている。 組織は、情報セキュリティマネジメントが有効に行われるように、次の事項を実施している。 ・情報セキュリティ方針・計画等、経営会議等の議事録、内部監査の報告等に経営陣の情報セキュリティマネジメントの意思、判断、指示等を含めている。 ・達成すべきセキュリティの水準として、リスクレベルを経営陣が決定している。 ・内部監査において確認すべき事項に、経営陣が要求する情報セキュリティ要求事項等を含めている。 ・情報セキュリティ方針、リスクアセスメント等の策定、セキュリティ管理策の教育・普及、セキュリティ基準適合の監査、組織内及び経営陣への報告に関わる責任・権限を適切に設定している。 ・経営陣は、管理層がその責任の領域においてリーダーシップを発揮できるよう、管理層の役割を支援している。 5 6ガバナンス基準マネジメント基準2管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.4.1.2 トップマネジメントは、組織の役割について、以下の責任及び権限を割り当て、伝達する。 [27001-5.3]・情報セキュリティマネジメントを、本管理基準の要求事項として適合させる。 ・情報セキュリティマネジメントのパフォーマンス評価をトップマネジメントに報告する。 また、情報セキュリティマネジメントを本管理基準の要求事項に適合させるために、以下のような責任・権限を割り当てていることを確認する。 ・セキュリティ要求事項を盛り込んだ情報セキュリティ方針等の文書を策定する責任・権限・リスクアセスメントにおいて、リスクを運用管理する責任･権限を持つリスク所有者・セキュリティ要求事項を満たす管理策を教育、普及させる責任・権限・セキュリティ要求事項を満たしているか監査する責任・権限・各プロセスの結果及び効果をトップマネジメントに報告する責任・権限・各プロセスの結果及び効果を組織内に周知する責任・権限4.4.1.3 トップマネジメントは、管理層がその責任の領域においてリーダーシップを発揮できるよう、管理層の役割を支援する。 [27001-5.1h)]管理層が、その職掌範囲、組織等において、リーダーシップを発揮できるよう、トップマネジメントは、管理層に、必要な権限を委譲していることを確認する。 4.4.2 組織及びその状況の理解 [27001-4.1]4.4.2.1 組織は、組織の目的に関連し、かつ、情報セキュリティマネジメントの意図した成果を達成する組織の能力に影響を与える、以下の課題を決定する。 [27001-4.1]・外部の課題・内部の課題これらの課題の決定とは、組織の外部状況及び内部状況の確定のことをいう。 外部状況及び内部状況には、以下のようなものが含まれる。 a) 外部状況・国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境・組織の目的に影響を与える主要な原動力及び傾向・外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観b) 内部状況・統治、組織体制、役割及びアカウンタビリティ・方針、目的及びこれらを達成するために策定された戦略・資源及び知識として見た場合の能力(例えば、資本、時間、人員、プロセス、システム及び技術)・情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。)・内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観・組織文化・組織が採択した規格、指針及びモデル・契約関係の形態及び範囲4.4.3 利害関係者のニーズ及び期待の理解 [27001-4.2]4.4.3.1 組織は、利害関係者のニーズ及び期待を理解するために、以下を決定する。 [27001-4.2]・情報セキュリティマネジメントに関連する利害関係者・利害関係者の、情報セキュリティに関連する要求事項 利害関係者の要求事項には、法的及び規制の要求事項並びに契約上の義務を含めてもよいが、利害関係者には、以下のようなものが含まれる。 ・組織内で情報セキュリティマネジメントプロセスを推進する役割・権限を持つ人又は組織。 例えば、以下のようなものをいう。 -情報セキュリティに関する方針等を策定する人又は組織(トップマネジメント等) -セキュリティ管理策を全組織に徹底させる人又は組織(総務部、情報システム部等) -情報セキュリティ監査を行う人又は組織(監査室等) -組織内の情報セキュリティ専門家 ・取引先、パートナー、サプライチェーン上の関係者 ・親会社、グループ会社 ・当該組織のセキュリティを監督する省庁、政府機関 ・所属するセキュリティ団体、協会4.4.4 適用範囲の決定 [27001-4.3]情報セキュリティマネジメントを確立、導入、運用、監視、レビュー、維持及び改善するために、まず適用範囲を明確にし、組織に合った情報セキュリティマネジメントを構築する基盤を整える。 〇 〇 〇 〇組織は、組織内外に存する以下の状況を明確にしている。 ・国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境・組織の目的に影響を与える主要な原動力及び傾向・外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観・統治、組織体制、役割及びアカウンタビリティ・方針、目的及びこれらを達成するために策定された戦略・資源及び知識として見た場合の能力(例えば、資本、時間、人員、プロセス、システム及び技術)・情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。)・内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観・組織文化・組織が採択した規格、指針及びモデル・契約関係の形態及び範囲組織は、取引先、パートナー、サプライチェーン、グループ企業等、関係省庁等利害関係者からのニーズ及び期待を理解するために、以下を明確にしている。 ・情報セキュリティマネジメントに関連する利害関係者・利害関係者からの情報セキュリティに関連する法的及び規制の要求事項並びに契約上の義務組織は、情報セキュリティマネジメントの適用範囲及び境界を以下の点を考慮して定義している。 また、適用範囲の決定は、組織内外の状況に応じて適切に行っている。 ・自らの事業・体制・所在地・資産・技術の特徴・外部及び内部の課題・利害関係者の情報セキュリティに関連する要求事項・組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係7 8 9組織は、情報セキュリティマネジメントが有効に行われるように、次の事項を実施している。 ・情報セキュリティ方針・計画等、経営会議等の議事録、内部監査の報告等に経営陣の情報セキュリティマネジメントの意思、判断、指示等を含めている。 ・達成すべきセキュリティの水準として、リスクレベルを経営陣が決定している。 ・内部監査において確認すべき事項に、経営陣が要求する情報セキュリティ要求事項等を含めている。 ・情報セキュリティ方針、リスクアセスメント等の策定、セキュリティ管理策の教育・普及、セキュリティ基準適合の監査、組織内及び経営陣への報告に関わる責任・権限を適切に設定している。 ・経営陣は、管理層がその責任の領域においてリーダーシップを発揮できるよう、管理層の役割を支援している。 6マネジメント基準3管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.4.4.1 組織は、情報セキュリティマネジメントの境界及び適用可能性を明確にし、適用範囲を決定する。 [27001-4.3]a) 組織は以下の点を考慮して適用範囲及び境界を定義する。 ・自らの事業・体制・所在地・資産・技術の特徴・外部及び内部の課題・利害関係者の情報セキュリティに関連する要求事項・組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係b) 情報セキュリティマネジメントの目的や目標は、組織の特徴によって異なる。 c) 情報セキュリティマネジメントに対する要求事項はそれぞれの組織の事業によって、外部状況、内部状況の双方があり、これらを考慮して適用範囲を定義する。 ・外部状況には、以下のようなものが含まれる。 －国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境－組織の目的に影響を与える主要な原動力及び傾向－外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観・内部状況には、以下のようなものが含まれる。 －統治、組織体制、役割及びアカウンタビリティ－方針、目的及びこれらを達成するために策定された戦略－資源及び知識として見た場合の能力(例えば、資本、時間、人員、プロセス、システム及び技術)－情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。)－内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観－組織文化－組織が採択した規格、指針及びモデル－契約関係の形態及び範囲4.4.5 方針の確立 [27001-5.2 / 6.2 / 5.1]4.4.5.1 トップマネジメントは、以下を満たす組織の情報セキュリティ方針を確立する。 [27001-5.2]・組織の目的に対して適切であること。 ・情報セキュリティ目的、又は情報セキュリティ目的を設定するための枠組・情報セキュリティに関連して適用する要求事項を満たすことへのコミットメントを含むこと。 ・情報セキュリティマネジメントの継続的改善へのコミットメントを含むこと。 また、情報セキュリティ方針は情報セキュリティマネジメントにおける判断の基盤となる考え方を記載したものであり、組織の戦略に従って慎重に作成する。 4.4.5.2 組織は、情報セキュリティ目的及びそれを達成するための計画を策定する。 [27001-6.2]a) 情報セキュリティ目的は、以下を満たすこととする。 ・情報セキュリティ方針と整合していること。 ・(実行可能な場合)測定可能であること。 ・適用される情報セキュリティ要求事項、並びにリスクアセスメント及びリスク対応の結果を考慮に入れること。 b) 情報セキュリティ目的は、関係者に伝達し、必要に応じて更新するとともに、情報セキュリティ目的を達成するための計画においては、以下を決定する。 ・実施事項・必要な資源・責任者・達成期限・結果の評価方法4.4.5.3 トップマネジメントは、以下によって、情報セキュリティマネジメントに関するリーダーシップ及びコミットメントを発揮する。 [27001-5.1a)]・情報セキュリティ方針及び情報セキュリティ目的を確立すること。 ・情報セキュリティ方針及び情報セキュリティ目的は組織の戦略的な方向性と相矛盾しないこと。 また、情報セキュリティ方針は組織に伝えられるように文書化され、しかるべき方法で利害関係者が入手できるようにするとともに、トップマネジメントが情報セキュリティ方針にコミットした証拠を、以下のような記録をもって示す。 ・文書化された情報セキュリティ方針への署名・情報セキュリティ方針が議論された会議の議事録 これらはトップマネジメントの責任を明確にするために実施する。 4.4.6 リスク及び機会に対処する活動 [27001-6.1]〇 〇 〇1011組織は、情報セキュリティマネジメントの適用範囲及び境界を以下の点を考慮して定義している。 また、適用範囲の決定は、組織内外の状況に応じて適切に行っている。 ・自らの事業・体制・所在地・資産・技術の特徴・外部及び内部の課題・利害関係者の情報セキュリティに関連する要求事項・組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係経営陣は、以下を踏まえた組織の情報セキュリティ方針を確立している。 ・組織の目的に対して適切である。 ・情報セキュリティ目的、又は情報セキュリティ目的を設定するための枠組を含める。 ・必要な情報セキュリティ対応についての言及を含める。 ・情報セキュリティマネジメントの見直しを適宜行う。 組織は、情報セキュリティの目的及びその達成計画を策定している。 目的は、情報セキュリティ方針と整合性があるものとし、測定できるようものとしている。 また、リスクマネジメントを考慮に入れている。 計画では、次のことを決定している。 ・実施事項・必要な資源・責任者・達成期限・結果の評価方法経営陣は、上記方針・目的を組織運営と矛盾しないように確立し、その方針を文書として記録し、承認を行っている。 組織は、対処すべきリスクを明確にし、その影響を恒久的に防止又は低減するための機会を設け、具体的な対応計画を立てている。 計画立案については、その対応方法が有効であることを確認できるようにしている。 94管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.4.6.1 リスク及び機会を決定する。 [27001-6.1.1]a) 組織は、外部及び内部の課題、利害関係者の情報セキュリティに関連する要求事項を考慮し、以下のために対処する必要があるリスク及び機会を決定する。 ・情報セキュリティマネジメントが、組織が意図した成果を達成する。 ・望ましくない影響を防止又は低減する。 ・継続的改善を達成する。 当該決定の際、組織は、以下を計画する。 ・決定したリスク及び機会に対処する活動・リスク及び機会に対処する活動の情報セキュリティマネジメントプロセスへの統合及び実施方法・リスク及び機会に対処する活動の有効性の評価方法b) リスク及び機会に対処する活動の記録として、具体的な対処計画(実施時期、実施内容、実施者、実施場所、実施に必要な資源などを規定した計画)を作成していることを確認するとともに、当該計画を作成する際、各対処計画が、情報セキュリティマネジメントプロセスの一部として実施されるよう、考慮するとともに、当該対処の有効性を評価する方法(実施状況や実施したことによる効果を評価する方法)を作成していることも確認する。 4.4.7 情報セキュリティリスクアセスメント [27001-6.1.2]4.4.7.1 組織は、以下によって、情報セキュリティリスクアセスメントのプロセスを定め、適用する。 [27001-6.1.2a) / 6.1.2b)]a) 以下を含む情報セキュリティのリスク基準を確立し、維持する。 ・リスク受容基準・情報セキュリティリスクアセスメントを実施するための基準b) リスク受容基準に、以下を反映するよう、考慮する。 ・組織の価値観・目的・資源c) リスク受容基準を策定する際には、以下の点を考慮する。 ・原因及び発生し得る結果の特質及び種類、並びにこれらの測定方法・発生頻度・発生頻度、結果を考える時間枠・リスクレベルの決定方法・利害関係者の見解・リスク基準は、法令及び規制の要求事項、並びに組織が合意するその他の要求事項によって、組織に課せられるもの又は策定されるものもあること。 d) 情報セキュリティアセスメントを繰り返し実施した際に、以下の結果を生み出すこと。 ・情報セキュリティリスクアセスメントの結果に、一貫性及び妥当性があること。 ・情報セキュリティリスクアセスメントの結果が比較可能であること。 なお、情報セキュリティマネジメントにおけるリスクアセスメント手法には、定番といえるものがなく、それぞれの組織に適合したものを選択している場合が多いことから、必要に応じてツールを利用するなどが必要になる。 4.4.7.2 組織は、以下によって、情報セキュリティリスクを特定する。 [27001-6.1.2c)]a) 情報セキュリティリスクアセスメントのプロセスを適用し、情報の機密性、完全性及び可用性の喪失に伴うリスクを特定する。 b) リスクを特定する過程において、リスク所有者を特定する。 c) リスクを特定する際には、以下について考慮する。 ・リスク源 が組織の管理下にあるか否かに関わらず、リスク源又はリスクの原因が明らかでないリスクも特定の対象にすること。 ・波及効果及び累積効果を含めた、特定の結果の連鎖を注意深く検討すること。 ・何が起こり得るのかの特定に加えて、考えられる原因及びどのような結果が引き起こされることがあるのかを示すシナリオ・全ての重大な原因及び結果・以下を特定すること。 －リスク源 －影響を受ける領域、事象 －原因及び起こり得る結果 この段階で特定されなかったリスクは、今後の分析の対象から外されてしまうため、ある機会を追及しなかったことに伴うリスクも含め、リスクの包括的な一覧を作成する。 〇 〇1112組織は、対処すべきリスクを明確にし、その影響を恒久的に防止又は低減するための機会を設け、具体的な対応計画を立てている。 計画立案については、その対応方法が有効であることを確認できるようにしている。 組織は、リスク受容基準並びにリスクアセスメント実施基準を定めている。 受容基準は組織の価値観、目的、資源を含め、以下を考慮して定めており、アセスメントの結果は、客観的に一貫性及び妥当性がある。 ・原因及び発生し得る結果の特質及び種類、並びにこれらの測定方法・発生頻度、結果を考える時間枠・リスクレベルの決定方法・利害関係者の見解・組織に課せられるもの又は策定されるものであることまた、情報セキュリティリスクを、以下を考慮のうえ、リスク所有者毎に特定し、それらが発生した場合の結果の分析および、評価を行っている。 ・リスク源 が組織の管理下にあるか否かに関わらず、リスク源又はリスクの原因が明らかでないリスクも特定の対象とする。 ・波及効果及び累積効果を含めた、特定の結果の連鎖を注意深く検討する。 ・何が起こり得るのかの特定に加えて、考えられる原因及びどのような結果が引き起こされることがあるのかを示すシナリオ・全ての重大な原因及び結果・リスク源、影響範囲・結果なお、リスク対応の優先順位を決定する際には、他者が負うリスクの受容レベルについても考慮するとともに、法令、規制、その他の要求事項についても考慮している。 5管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.4.7.3 組織は、以下によって、情報セキュリティリスクを分析する。 [27001-6.1.2d)]a) 以下の手順によりリスク分析を行う。 ・特定されたリスクが実際に生じた場合に起こり得る結果の分析を行う。 ・特定されたリスクの発生頻度の分析を行う。 ・リスクレベルを決定する。 ・特定した脅威やぜい弱性を基に、以下の点を考慮する。 －セキュリティインシデントが発生した場合の事業影響度－セキュリティインシデントの発生頻度－管理策が適用されている場合はその効果b) リスク分析の際には、以下の点についても考慮する。 ・リスクの原因及びリスク源・リスクの好ましい結果及び好ましくない結果・リスクの発生頻度・リスクの結果及び発生頻度に影響を与える要素 なお、リスク分析は、状況に応じて、定性的、半定量的、定量的、又はそれらを組み合わせた手法で行うことが可能である。 4.4.7.4 組織は、以下によって、情報セキュリティリスクを評価する。 [27001-6.1.2e)]・リスク分析の結果、決定されたリスクレベルとリスク基準との比較をする。 ・リスク対応のための優先順位付けを行う。 ・リスク評価の結果は今後の改善に利用するため保管する。 なお、リスク対応の優先順位を決定する際には、より広い範囲の状況を考慮し、他者が負うリスクの受容レベルについて考慮するとともに、法令、規制、その他の要求事項についても考慮する。 4.4.8 情報セキュリティリスク対応 [27001-6.1.3]4.4.8.1 組織は、情報セキュリティアセスメントの結果を考慮して、適切な情報セキュリティリスク対応の選択肢を選定する。 [27001-6.1.3a)]情報セキュリティリスク対応の選択肢には、以下が含まれる。 ・リスクを生じさせる活動を開始又は継続しないと決定することによるリスクの回避・ある機会を目的としたリスクの引受け又はリスクの負担・リスク源の除去・発生頻度の変更・結果の変更・(契約及びリスクファイナンス を含む)他者とのリスクの共有・情報に基づいた意思決定によるリスクの保有 さらに、リスク対応の評価や改善に役立てるため、どの選択肢を選んだ場合も、その理由を明確にし、記載する。 4.4.8.2 組織は、選定した情報セキュリティリスク対応の実施に必要な全ての管理策を決定する。 [27001-6.1.3b)] リスク対応のための方針を決めた上で、管理策の目的(管理目的)及び管理策について検討する。 以下を考慮しつつ、対応による効果と対応に必要な費用及び労力のバランスを取り、適切な情報セキュリティ対応の選択肢を選定する。 ・リスクの受容可能レベル・関連する法令・規制や契約上の要求事項・その他の社会的責任 なお、具体的な管理策の選定においては、管理目的に対応した「管理策基準」から適切なものを選択するが、「管理策基準」はすべてを網羅しているわけではないので、組織の事業や業務などによってその他の管理策を追加してもよい 。 4.4.8.3 組織は、管理策が見落とされていないことを検証する。 [27001-6.1.3c)] 必要な管理策の見落としがないか、管理策基準を参照するが、管理策基準に示す管理目的及び管理策以外の管理目的及び管理策が必要になった場合、他の管理目的及び管理策を追加することができる。 4.4.8.4 組織は、情報セキュリティリスク対応計画を策定する。 [27001-6.1.3e)]a)情報セキュリティリスク対応計画には、以下を含む。 ・期待される効果を含む、対応選択肢選定の理由・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者・対応内容・必要な資源・費用・労力、制約・後日の報告、監視に必要な要求事項・対応工程における節目ごとの目標・対応時期及び日程〇 〇1213組織は、リスク受容基準並びにリスクアセスメント実施基準を定めている。 受容基準は組織の価値観、目的、資源を含め、以下を考慮して定めており、アセスメントの結果は、客観的に一貫性及び妥当性がある。 ・原因及び発生し得る結果の特質及び種類、並びにこれらの測定方法・発生頻度、結果を考える時間枠・リスクレベルの決定方法・利害関係者の見解・組織に課せられるもの又は策定されるものであることまた、情報セキュリティリスクを、以下を考慮のうえ、リスク所有者毎に特定し、それらが発生した場合の結果の分析および、評価を行っている。 ・リスク源 が組織の管理下にあるか否かに関わらず、リスク源又はリスクの原因が明らかでないリスクも特定の対象とする。 ・波及効果及び累積効果を含めた、特定の結果の連鎖を注意深く検討する。 ・何が起こり得るのかの特定に加えて、考えられる原因及びどのような結果が引き起こされることがあるのかを示すシナリオ・全ての重大な原因及び結果・リスク源、影響範囲・結果なお、リスク対応の優先順位を決定する際には、他者が負うリスクの受容レベルについても考慮するとともに、法令、規制、その他の要求事項についても考慮している。 組織は、情報セキュリティアセスメントの結果を考慮して、以下に示す情報セキュリティリスク対応の選択肢を選定している。 ・リスクを生じさせる活動を開始又は継続しないと決定することによるリスクの回避・ある機会を目的としたリスクの引受け又はリスクの負担・リスク源の除去・発生頻度の変更・結果の変更・(契約及びリスクファイナンス を含む)他者とのリスクの共有・情報に基づいた意思決定によるリスクの保有また、選定した情報セキュリティリスク対応の実施に必要な全ての管理策を以下を考慮しつつ決定している。 ・リスクの受容可能レベル・関連する法令・規制や契約上の要求事項・その他の社会的責任加えて、組織は、以下を含む情報セキュリティリスク対応計画を策定している。 残留リスクについては定期的に実施状況を踏まえた見直しを行い、経営陣や利害関係者に認識させている。 ・期待される効果を含む、対応選択肢選定の理由・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者・対応内容・必要な資源・費用・労力、制約・後日の報告、監視に必要な要求事項・対応工程における節目ごとの目標・対応時期及び日程・残留リスクが生じる場合は、技術的またはコスト的に対応可能になる時期6管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 b) 責任及び権限について 情報セキュリティマネジメントにおいては最終的な承認をトップマネジメントが行っていることがほとんどであり、責任がトップマネジメントに集中している。 一方で、情報セキュリティリスクアセスメント及びリスク対応については、責任及び権限を持つリスク所有者が、責任及び権限を持つ。 リスク所有者は、トップマネジメント、又はトップマネジメントから任命され、責任及び権限が委譲された者であることが多いことから、情報セキュリティマネジメントにおいて、トップマネジメント及びリスク所有者が、どのような責任を持つかについて明確にする。 4.4.8.5 組織は、リスク所有者から、情報セキュリティリスク対応計画について承認を得、かつ、リスク所有者に、残留している情報セキュリティリスクを受け入れてもらう。 [27001-6.1.3f)]すべてのリスクについて管理目的や管理策を選択した時点で、残留リスクについて明確にし、今後の対応計画を作成する。 計画の作成においては以下の点について考慮する。 ・技術的に対応可能になる時期・コスト的に対応可能になる時期 残留リスクについては、定期的に見直しを行い、必要に応じて、対応の対象とするとともに、リスク対応後の残留リスクについては、リスク所有者のほか、経営陣やその他の利害関係者に認識させることを考慮する。 また、リスク所有者の責任を明確にするために、承認された会議の議事録を正しく保管する。 ー ー ー 4.5 情報セキュリティマネジメントの運用 [27001-8]4.5.1 資源管理 [27001-7.1 / 5.1]4.5.1.1 組織は、情報セキュリティマネジメントの確立、実施、維持及び継続的改善に必要な資源を決定し、提供する。 [27001-7.1] 管理目的を満たすためには、継続的に管理策を実施するとともに、人員の増加、システムの増加などの環境の変化に対応するために、適切な時期に適切に提供できるよう、経営資源を確保する。 4.5.1.2 トップマネジメントは、情報セキュリティマネジメントに必要な資源が利用可能であることを確実にするため、以下のような資源を割り当てる。 [27001-5.1c)]・情報セキュリティマネジメントの各プロセスに必要な人又は組織・情報セキュリティマネジメントの各プロセスに必要な設備、装置、システム・上記に必要な費用4.5.2 力量、認識 [27001-7.2 / 7.3 / 5.1]4.5.2.1 トップマネジメントは、有効な情報セキュリティマネジメント及びその要求事項への適合の重要性を伝達する。 [27001-5.1d)] トップマネジメントは情報セキュリティマネジメントについて責任を負うが、実施においては組織全体の協力が必要であることを、情報セキュリティ方針と共に関係者に伝える。 また、組織が同じ規定に従って同じ判断ができるように、情報分類等の基準を策定するが、個人情報のように組織によって解釈が一部異なる情報の場合は、一般的な考え方に加え、自社の考え方を明確にした上で、関係者に伝える。 4.5.2.2 組織は、組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。 [27001-7.2a)] 情報セキュリティマネジメントに関係する業務及び影響のある業務を特定し、役割を明確にした業務分掌を作成する。 これらの業務分掌においては以下の点を明確にする。 ・役職名 ・業務内容 ・担当者の責任範囲 ・業務に必要な知識 ・業務に必要な資格 ・業務に必要な経験 知識や資格、経験などは環境や目的の変化によって変更される可能性があるため、最新の情報となるように随時見直しを行う。 4.5.2.3 組織は、適切な教育、訓練又は経験に基づいて、組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)が力量を備えられるようにする。 [27001-7.2b)] 適用される処置には、例えば、現在雇用している人々に対する教育訓練の提供、指導の実施、配置転換の実施などがある(教育や訓練などが間に合わないと判断される場合には相応の力量を有した要員の雇用が、また、社内業務との関連が少ない業務においては外部委託などがある。)。 〇 〇 〇131415組織は、情報セキュリティアセスメントの結果を考慮して、以下に示す情報セキュリティリスク対応の選択肢を選定している。 ・リスクを生じさせる活動を開始又は継続しないと決定することによるリスクの回避・ある機会を目的としたリスクの引受け又はリスクの負担・リスク源の除去・発生頻度の変更・結果の変更・(契約及びリスクファイナンス を含む)他者とのリスクの共有・情報に基づいた意思決定によるリスクの保有また、選定した情報セキュリティリスク対応の実施に必要な全ての管理策を以下を考慮しつつ決定している。 ・リスクの受容可能レベル・関連する法令・規制や契約上の要求事項・その他の社会的責任加えて、組織は、以下を含む情報セキュリティリスク対応計画を策定している。 残留リスクについては定期的に実施状況を踏まえた見直しを行い、経営陣や利害関係者に認識させている。 ・期待される効果を含む、対応選択肢選定の理由・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者・対応内容・必要な資源・費用・労力、制約・後日の報告、監視に必要な要求事項・対応工程における節目ごとの目標・対応時期及び日程・残留リスクが生じる場合は、技術的またはコスト的に対応可能になる時期組織は、情報セキュリティマネジメントの確立、実施、維持及び継続的改善に必要な資源(人、組織、設備、システム、費用等)を決定し、提供している。 経営陣は、情報セキュリティマネジメントの重要性を組織内に伝達し、協力体制及び連絡を明確に行うための体制を構築している。 情報セキュリティマネジメントに関連する業務及び影響のある業務を特定したうえで、役割を明確にした業務分掌を以下の点を考慮して作成している。 随時見直しを行いつつ、業務が円滑に行えるようにしている。 ・役職名・業務内容・担当者の責任範囲・業務に必要な知識・業務に必要な資格・業務に必要な経験また、教育・訓練を行い、必要なスキルを取得させている。 教育・訓練はその計画を事前に策定し、経営陣の承認を得たうえで実施し、確認のテストや結果の評価を行っている。 加えて、各自は、情報セキュリティマネジメントにおけるそれぞれの役割、役割を実行するための業務と手順を認識しており、これらは文書で随時確認することができる。 7管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.5.2.4 組織は、必要な力量を身に着けるための処置をとり、とった処置の有効性を評価する。 [27001-7.2c)] 必要な力量を身に着けるための処置としては、教育訓練が重要である。 教育は「必要な知識を得させる」、訓練は「必要なスキル及び経験を得させる」ために実施する。 教育の内容は一般的な脅威やぜい弱性などの知識だけではなく、業務上のリスクについてなど、組織の特徴を反映した内容を盛り込むなど、実効性のある内容となるようにする。 教育及び訓練を実施した結果、必要な力量が持てたかどうかを確認するために、以下を実施する。 ・知識の確認テスト ・スキルの実習テスト ・チェックリストなどによるベンチマーク 実施結果については記録し、要員選択の客観性を確保する。 4.5.2.5 組織は、力量を常に把握し、その証拠として、適切な文書化した情報を組織が定めた期間保持する。 [27001-7.2d)]教育、訓練については以下を検討し、定期的に実施する。 ・教育・訓練基本計画・教育・訓練実施計画・確認テスト又は評価報告教育や訓練の一部を免除する場合は、それがどの技能や経験、資格に当てはまるかを明確にし、それぞれの担当者について調査し、一覧にする。 資格については有効期限などを明確にし、更新する。 4.5.2.6 組織の管理下で働く人々は、情報セキュリティ方針を認識する。 [27001-7.3a)]情報セキュリティの活動について、組織が定めた目的と重要性について、情報セキュリティ方針の通達や教育の一環として周知徹底することによって、管理策がなぜ実施されているのかについての関係者の理解を深める。 4.5.2.7 組織の管理下で働く人々は、情報セキュリティパフォーマンスの向上によって得られる便益を含む、情報セキュリティマネジメントの有効性に対する自らの貢献を認識する。 [27001-7.3b)]以下の点について組織の管理下で働く人々に伝えることによって、各人の役割及び情報セキュリティマネジメントの有効性に対する自らの貢献を明確にする。 ・情報セキュリティマネジメントにおけるそれぞれの役割 ・役割を実行するための業務と手順(異常を検知した場合の報告手順も含む。) ・これらが記載された文書の所在4.5.2.8 組織の管理下で働く人々は、情報セキュリティマネジメントの要求事項に適合しないことの意味を認識する。 [27001-7.3c)]4.5.3 コミュニケーション [27001-7.4]4.5.3.1 組織は、情報セキュリティマネジメントに関連する内部及び外部のコミュニケーションを実施する必要性を決定する。 [27001-7.4]a) 内部及び外部のコミュニケーションを実施する際は、以下を考慮することとする。 ・コミュニケーションの内容(何を伝達するか。)・コミュニケーションの実施時期・コミュニケーションの対象者・コミュニケーションの実施者・コミュニケーションの実施プロセスb) 内部コミュニケーションでは、以下に示すような者と、適宜及び定期的なコミュニケーションを実施する。 ・トップマネジメント・情報セキュリティマネジメントを本管理基準の要求事項に適合させる権限者・情報セキュリティマネジメントのパフォーマンスをトップマネジメント又は組織内に報告する権限者・組織内の従業員c) 外部コミュニケーションでは、以下に示すような者と、必要に応じて、コミュニケーションを実施する。 ・取引先、パートナー、サプライチェーン上の関係者・親会社、グループ会社・当該組織のセキュリティを監督する省庁、政府機関・所属するセキュリティ団体、協会4.5.4 情報セキュリティマネジメントの運用の計画及び管理 [27001-8.1]4.5.4.1 組織は、情報セキュリティ要求事項を満たすため、リスク及び機会に対処する活動を実施するために必要なプロセスを計画し、実施し、かつ管理する。 [27001-8.1]4.5.4.2 組織は、情報セキュリティ目的を達成するための計画を実施する。 [27001-8.1]〇 〇 〇151617組織は、計画通りに情報セキュリティ目的を達成するための施策を実施していることを示すため、以下の内容を文書化している。 ・管理策の実施状況・管理策の有効性・管理策を取り巻く環境の変化これらの情報は、組織内でレビューされ、適切に行われているかを判断できるようにしている。 また、外部委託を行うプロセスについても管理している。 経営陣は、情報セキュリティマネジメントの重要性を組織内に伝達し、協力体制及び連絡を明確に行うための体制を構築している。 情報セキュリティマネジメントに関連する業務及び影響のある業務を特定したうえで、役割を明確にした業務分掌を以下の点を考慮して作成している。 随時見直しを行いつつ、業務が円滑に行えるようにしている。 ・役職名・業務内容・担当者の責任範囲・業務に必要な知識・業務に必要な資格・業務に必要な経験また、教育・訓練を行い、必要なスキルを取得させている。 教育・訓練はその計画を事前に策定し、経営陣の承認を得たうえで実施し、確認のテストや結果の評価を行っている。 加えて、各自は、情報セキュリティマネジメントにおけるそれぞれの役割、役割を実行するための業務と手順を認識しており、これらは文書で随時確認することができる。 内部(経営陣、管理者、一般従業員等)及び外部(取引先、グループ会社、関係省庁等)とのコミュニケーションを行う際は、以下を考慮している。 ・コミュニケーションの内容(何を伝達するか。)・コミュニケーションの実施時期・コミュニケーションの対象者・コミュニケーションの実施者・コミュニケーションの実施プロセス8管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.5.4.3 組織は、計画通りに実施されたことを確信するために、文書化した情報を保持する。 [27001-8.1] 文書化した情報に、以下の情報が集められているかどうかを確認する。 ・管理策の実施状況 ・管理策の有効性 ・管理策を取り巻く環境の変化 また、これらの情報を把握し判断する体制を構築する。 4.5.4.4 組織は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置をとる。 [27001-8.1]4.5.4.5 組織は、外部委託するプロセスを決定し、かつ、管理する。 [27001-8.1]4.5.5 情報セキュリティリスクアセスメントの実施 [27001-8.2 / 8.3]4.5.5.1 組織は、以下のいずれかの場合において、情報セキュリティリスクアセスメントを実施する。 [27001-8.2] ・あらかじめ定めた間隔 ・重大な変更が提案された場合 ・重大な変化が生じた場合4.5.5.2 組織は、情報セキュリティリスク対応計画を実施する。 [27001-8.3]情報セキュリティリスク対応計画の実施においては、明確にされた個々の責任について全うしていることを確認するための方策を講じる。 4.5.5.3 トップマネジメントは、情報セキュリティリスク対応計画のために十分な経営資源を提供する。 情報セキュリティリスク対応計画には相応の経営資源が必要になるところ、以下の点について考慮する。 ・管理策の導入及び運用にかかる費用、人員、作業工数、技術 ・セキュリティインシデント発生時の一時対応にかかる費用 ・その他のリスク対応にかかる費用 運用においては管理策の効果測定などを実施するために必要な経営資源について考察し、予算化する。 ー ー ー 4.6 情報セキュリティマネジメントの監視及びレビュー [27001-5.1 / 8.2 / 9 / 10.2]4.6.1 有効性の継続的改善 [27001-10.2 / 8.2 / 9.2 / 9.3 / 5.1]4.6.1.1 組織は、以下を実施し、情報セキュリティマネジメントの適切性、妥当性及び有効性を継続的に改善する。 [27001-10.2 / 8.2 / 9.2 / 9.3] ・定期的な情報セキュリティリスクアセスメント ・定期的な情報セキュリティ内部監査 ・トップマネジメントによる定期的なマネジメントレビュー 継続的改善においては、これまで実施してきた管理策だけはなく、環境の変化に伴う新たな脅威やぜい弱性についても不適合を検出し処置する。 4.6.1.2 トップマネジメントは、継続的改善を促進する。 [27001-5.1g)] 4.6.1.1.を実施するための、役割、責任及び権限を割り当て、実施するよう関係者に伝達する。 4.6.2 パフォーマンス評価 [27001-9]4.6.2.1 組織は、情報セキュリティパフォーマンス及び情報セキュリティマネジメントの有効性を継続的に評価し、以下を決定する。 [27001-9.1]・必要とされる監視及び測定の対象(情報セキュリティプロセス及び管理策を含む。)・妥当な結果を確実にするための、監視、測定、分析及び評価の方法(比較可能で再現可能な結果を生み出す方法とする。)・監視及び測定の実施時期及び頻度・監視及び測定の実施者・監視及び測定の結果の、分析(因果関係、相関関係を含む)及び評価の時期及び頻度・監視及び測定の結果の、分析及び評価の実施者・分析及び評価の結果に応じた対応措置・分析及び評価の結果の報告頻度4.6.2.2 組織は、あらかじめ定めた間隔で内部監査を実施する。 [27001-9.2a) / 9.2b)]a) 内部監査を実施する際は、以下を確認する。 ・以下に適合していること。 －情報セキュリティマネジメントに関して、組織自体が規定した要求事項－本マネジメント基準の要求事項 ・情報セキュリティマネジメントが有効に実施され、維持されていること。 〇 〇 〇 〇19201718組織は、計画通りに情報セキュリティ目的を達成するための施策を実施していることを示すため、以下の内容を文書化している。 ・管理策の実施状況・管理策の有効性・管理策を取り巻く環境の変化これらの情報は、組織内でレビューされ、適切に行われているかを判断できるようにしている。 また、外部委託を行うプロセスについても管理している。 組織は、定期的、重大な変更が提案された場合または重大な変化が生じた場合のいずれかにおいて、情報セキュリティリスクアセスメントを実施している。 また、組織は、情報セキュリティリスク対応計画を以下を考慮しつつ実施しており、効果測定を行うための予算化もしている。 ・管理策の導入及び運用にかかる費用、人員、作業工数、技術・セキュリティインシデント発生時の一時対応にかかる費用・その他のリスク対応にかかる費用組織は、以下を実施し、情報セキュリティマネジメントの適切性、妥当性及び有効性を継続的に改善を行っている。 ・定期的な情報セキュリティリスクアセスメント・定期的な情報セキュリティ内部監査・トップマネジメントによる定期的なマネジメントレビュー経営陣は、改善のための役割、責任及び権限を割り当て、促進させている。 組織は、情報セキュリティパフォーマンス及び情報セキュリティマネジメントの有効性を継続的に評価し、以下を決定している。 ・必要とされる監視及び測定の対象(情報セキュリティプロセス及び管理策を含む。)・妥当な結果を確実にするための、監視、測定、分析及び評価の方法(比較可能で再現可能な結果を生み出す方法とする。)・監視及び測定の実施時期及び頻度・監視及び測定の実施者・監視及び測定の結果の、分析(因果関係、相関関係を含む)及び評価の時期及び頻度・監視及び測定の結果の、分析及び評価の実施者・分析及び評価の結果に応じた対応措置・分析及び評価の結果の報告頻度組織は、定期的に内部監査を実施し、本マネジメント基準の要求事項及び組織自体が規定した要求事項に適合しているかを確認している。 内部監査を行うために、基本計画書において対象範囲、目的、管理体制及び期間又は期日についてを、実施計画において実施時期や実施場所、実施担当者及びその割当て及び詳細な監査の手法についてをあらかじめ定めている。 予定通り実施されたことを証明するためにも、実施報告書を作成している。 監査計画においては、以下の内容を含む監査基準及び監査範囲を明確にしている。 ・目的、権限と責任・独立性、客観性と職業倫理・専門能力・業務上の義務・品質管理・監査の実施方法・監査報告書の形式また、監査人の選定は、監査基準に従い、以下の点を考慮している。 ・外観上の独立性・精神上の独立性・職業倫理と誠実性なお、監査結果は、関連する管理層に報告している。 9管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 b) 内部監査は、管理策の有効性を総合的に確認するために定期的に実施し、計画及び結果について以下の文書で管理する。 ・内部監査基本計画・内部監査実施計画・内部監査報告書 基本計画書では対象範囲、目的、管理体制及び期間又は期日について、実施計画では実施時期や実施場所、実施担当者及びその割当て及び詳細な監査の手法についてあらかじめ決める。 予定通り実施されたことを証明するためにも、実施報告書を作成する。 c) 適合性の監査においては、以下の項目を対象に含む。 ・関連する法令又は規制の要求事項・情報セキュリティリスクアセスメントなどによって特定された情報セキュリティ要求事項d) 情報セキュリティマネジメントが有効に実施され、維持されていることの監査においては、以下の項目を対象に含む。 ・管理策の有効性及び維持・管理策が期待通りに実施されていること。 4.6.2.3 組織は、頻度、方法、責任及び計画に関する要求事項及び報告を含む、監査プログラムの計画、確立、実施及び維持する。 [27001-9.2c)]監査プログラムでは、関連するプロセスの重要性及び前回までの監査の結果を考慮する。 監査は一度にすべての適用範囲について実施するだけではなく、範囲の一部のみを対象とする場合もあり、毎回の監査の目的を明確にし、適切な監査計画を実施することが重要であることから、監査プログラムの作成においては、以下の点を考慮する。 ・監査の目的と重点目標・対象となる監査プロセスの状況と重要性・対象となる領域の状況と重要性・前回までの監査結果4.6.2.4 組織は、監査基準及び監査範囲を明確にする。 [27001-9.2d)]監査プログラムでは全体的な監査の日程だけではなく、以下の内容について含める。 ・監査の基準(以下の内容も含む。)－目的、権限と責任－独立性、客観性と職業倫理－専門能力－業務上の義務－品質管理－監査の実施方法－監査報告書の形式 ・監査の範囲 ・監査の頻度又は時期 ・監査の方法(個別の情報セキュリティ監査基準を作成し、内部監査、外部組織による監査のいずれにおいても、品質の高い監査を実施できるように準備を整える。)4.6.2.5 組織は、監査プロセスの客観性及び公平性を確実にする監査員の選定及び監査の実施を行う。 [27001-9.2e)] 監査人の選定においては監査基準に従い、以下の点を考慮する。 ・外観上の独立性 ・精神上の独立性 ・職業倫理と誠実性 なお、内部の監査員の場合は、自らが従事している業務については自身で監査しないように、他の担当者を割り当てる。 4.6.2.6 組織は、監査の結果を関連する管理層に報告することを確実にする。 [27001-9.2f)]4.6.2.7 組織は、監査プログラム及び監査結果の証拠として、文書化した情報を保持する。 [27001-9.2g)] 監査手順に以下の内容を反映させるとともに、文書化し、お互いのコミュニケーションのために活用する。 ・監査の計画・実施に関する責任及び要求事項 ・結果報告・記録維持に関する責任と要求事項 要求事項については監査品質を確保するための必須条件であり、責任者と監査人が同じ目的をもって監査を実施する。 4.6.3 マネジメントレビュー [27001-9.3]4.6.3.1 トップマネジメントは、あらかじめ定めた間隔で、マネジメントレビューする。 [27001-9.3] あらかじめ定められた間隔でマネジメントレビューを実施するために、以下の点について考慮するとともに、文書化する。 ・マネジメントレビュー基本計画 ・マネジメントレビュー実施計画 ・マネジメントレビューのための実施報告 基本計画書では目的及び実施時期について、実施計画では詳細な監査の手法についてあらかじめ決める。 〇 〇2021経営陣は、定期的に、以下の点を考慮したマネジメントレビューを基本計画書、実施計画書、実施報告書等の文書を用いて行っている。 ・前回までのマネジメントレビューの結果として、行った処置の状況・情報セキュリティマネジメントに関連する外部及び内部の課題の変化・以下に示す内容を含めた、情報セキュリティパフォーマンスに関するフィードバック-不適合及び是正処置-監視及び測定の結果-監査結果-情報セキュリティ目的の達成・利害関係者からのフィードバック・情報セキュリティリスクアセスメントの結果及び情報セキュリティリスク対応計画の状況・継続的改善の機会また、マネジメントレビューの結果を改善策に反映するために、以下の活動を実施し、改善策を検討している。 結果は文書化して保存している。 ・情報セキュリティマネジメントの有効性の改善・情報セキュリティリスクアセスメント及び情報セキュリティリスク対応計画の更新・情報セキュリティマネジメントに影響を与える可能性のある内外の事象を考慮の上での手順及び管理策の修正・必要となる経営資源の特定・パフォーマンス測定方法の改善組織は、情報セキュリティパフォーマンス及び情報セキュリティマネジメントの有効性を継続的に評価し、以下を決定している。 ・必要とされる監視及び測定の対象(情報セキュリティプロセス及び管理策を含む。)・妥当な結果を確実にするための、監視、測定、分析及び評価の方法(比較可能で再現可能な結果を生み出す方法とする。)・監視及び測定の実施時期及び頻度・監視及び測定の実施者・監視及び測定の結果の、分析(因果関係、相関関係を含む)及び評価の時期及び頻度・監視及び測定の結果の、分析及び評価の実施者・分析及び評価の結果に応じた対応措置・分析及び評価の結果の報告頻度組織は、定期的に内部監査を実施し、本マネジメント基準の要求事項及び組織自体が規定した要求事項に適合しているかを確認している。 内部監査を行うために、基本計画書において対象範囲、目的、管理体制及び期間又は期日についてを、実施計画において実施時期や実施場所、実施担当者及びその割当て及び詳細な監査の手法についてをあらかじめ定めている。 予定通り実施されたことを証明するためにも、実施報告書を作成している。 監査計画においては、以下の内容を含む監査基準及び監査範囲を明確にしている。 ・目的、権限と責任・独立性、客観性と職業倫理・専門能力・業務上の義務・品質管理・監査の実施方法・監査報告書の形式また、監査人の選定は、監査基準に従い、以下の点を考慮している。 ・外観上の独立性・精神上の独立性・職業倫理と誠実性なお、監査結果は、関連する管理層に報告している。 10管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.6.3.2 トップマネジメントは、マネジメントレビューにおいて、以下を考慮する。 [27001-9.3]・前回までのマネジメントレビューの結果とった処置の状況・情報セキュリティマネジメントに関連する外部及び内部の課題の変化・以下に示す内容を含めた、情報セキュリティパフォーマンスに関するフィードバック-不適合及び是正処置-監視及び測定の結果-監査結果-情報セキュリティ目的の達成・利害関係者からのフィードバック・情報セキュリティリスクアセスメントの結果及び情報セキュリティリスク対応計画の状況・継続的改善の機会 また、これらの情報を構成することが予想される活動及び事象を記録し、必要に応じて報告するとともに、緊急性が高いものについてはあらかじめ定義しておき、誰もが同じ判断をできるように基準を定める。 4.6.3.3 マネジメントレビューからのアウトプットには、継続的改善の機会及び情報セキュリティマネジメントのあらゆる変更の必要性に関する決定を含める。 [27001-9.3] マネジメントレビューの結果を改善策に反映するために、以下の活動を実施し、改善策を検討する。 ・情報セキュリティマネジメントの有効性の改善 ・情報セキュリティリスクアセスメント及び情報セキュリティリスク対応計画の更新 ・情報セキュリティマネジメントに影響を与える可能性のある内外の事象を考慮の上での手順及び管理策の修正 ・必要となる経営資源の特定 ・パフォーマンス測定方法の改善 なお、改善策の立案においては、情報セキュリティリスク対応の選択肢を選択した際の記録を参考にする。 4.6.3.4 組織は、マネジメントレビューの結果の証拠として文書化した情報を保持する。 [27001-9.3] マネジメントレビューの結果は次回のマネジメントレビューに活用されるため、実施内容と結果が分かるように具体的に記録する。 ー ー ー 4.7 情報セキュリティマネジメントの維持及び改善 [27001-10]4.7.1 是正処置 [27001-10.1]4.7.1.1 組織は、不適合が発生した場合、不適合の是正のための処置を取る。 [27001-10.1a)]a) 是正措置 を取る際は、以下を実施する。 ・その不適合を管理し、是正するための処置・その不適合によって起こった結果への対処・是正処置を手順どおりに実施するために、以下について文書化する。 －不適合の再発防止を確実にするために選択した処置の必要性の評価－必要な是正処置の決定－必要な是正処置の実施－実施した処置の記録－実施した是正処置のレビューb) 不適合は以下の活動によって検出される。 ・定期的な情報セキュリティリスクアセスメント・定期的な情報セキュリティ内部監査・定期的なマネジメントレビュー・不適合を手順どおりに検出するために、以下について文書化する。 －情報セキュリティマネジメントに対する不適合の特定－情報セキュリティマネジメントに対する不適合の原因の決定なお、単一の活動だけでは判断できない場合もあるので、複合的な結果の考察から不適合を検出する。 4.7.1.2 組織は、不適合が再発又は他のところで発生しないようにするため、その不適合の原因を除去するための処置をとる必要性を評価する。 [27001-10.1b)] 必要性を評価する際は、以下を実施する。 ・その不適合のレビュー ・その不適合の原因の明確化 ・類似の不適合の有無、又はそれが発生する可能性の明確化4.7.1.3 組織は、必要な処置を実施する。 [27001-10.1c)]4.7.1.4 組織は、とった全ての是正処置の有効性をレビューする。 [27001-10.1d)]4.7.1.5 組織は、必要な場合には、情報セキュリティマネジメントの変更を行う。 [27001-10.1e)]4.7.1.6 組織は、是正処置は、検出された不適合のもつ影響に応じたものとする。 [27001-10.1]〇 21経営陣は、定期的に、以下の点を考慮したマネジメントレビューを基本計画書、実施計画書、実施報告書等の文書を用いて行っている。 ・前回までのマネジメントレビューの結果として、行った処置の状況・情報セキュリティマネジメントに関連する外部及び内部の課題の変化・以下に示す内容を含めた、情報セキュリティパフォーマンスに関するフィードバック-不適合及び是正処置-監視及び測定の結果-監査結果-情報セキュリティ目的の達成・利害関係者からのフィードバック・情報セキュリティリスクアセスメントの結果及び情報セキュリティリスク対応計画の状況・継続的改善の機会また、マネジメントレビューの結果を改善策に反映するために、以下の活動を実施し、改善策を検討している。 結果は文書化して保存している。 ・情報セキュリティマネジメントの有効性の改善・情報セキュリティリスクアセスメント及び情報セキュリティリスク対応計画の更新・情報セキュリティマネジメントに影響を与える可能性のある内外の事象を考慮の上での手順及び管理策の修正・必要となる経営資源の特定・パフォーマンス測定方法の改善22組織は、不適合をリスクアセスメント、内部監査、マネジメントレビュー等における結果を複合的に考察することにより検出し、不適合を是正するために以下の措置を行っている。 ・その不適合を管理し、是正するための処置・その不適合によって起こった結果への対処・以下についてあらかじめ文書化したうえで、それに基づく実施－不適合の再発防止を確実にするために選択した処置の必要性の評価－必要な是正処置の決定－必要な是正処置の実施－実施した処置の記録－実施した是正処置のレビュー・不適合の性質、措置、是正処置の結果の記録〇11管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.7.1.7 組織は、是正処置の証跡として、以下の文書化した情報を保持する。 [27001-10.1f) / 10.1g)]・不適合の性質及びとった処置・是正処置の結果ー ー ー 4.8 文書化した情報の管理 [27001-7.5]4.8.1 文書化の指針 [27001-7.5.1]4.8.1.1 組織は、情報セキュリティマネジメントが必要とする以下の情報を文書化する。 [27001-7.5.1]・情報セキュリティ方針・情報セキュリティ目的・情報セキュリティリスクアセスメントのプロセス・情報セキュリティリスク対応のプロセス・情報セキュリティリスクアセスメントの結果・情報セキュリティリスク対応計画・パフォーマンス測定の結果 これらの内容についてはどの文書に記載されていてもかまわないが、その内容を知る必要がある担当者には必ず伝わるように構成するとともに、知る必要性のない者が閲覧できないことを確実にする。 4.8.2 文書の作成・変更及び管理 [27001-7.5.2 / 7.5.3]4.8.2.1 組織は、以下を行うことによって、文書化した情報を作成及び更新する。 [27001-7.5.2]・適切な識別情報の記述(例えば、表題、日付、作成者、参照番号)・適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)の選択・適切性及び妥当性に関する、適切なレビュー及び承認・文書化した情報のライフサイクルの定義や、それに応じた処理ができるような手順の策定・文書を発行する前における、適正性のレビュー及び承認・必要に応じた、文書の更新及び再承認・廃止文書の誤使用の防止・廃止文書を何らかの目的で保持する場合における、廃止文書であることが分かる適切な識別情報の記述・法的及び規制の要求事項及び環境の変化に従い、定めた頻度での更新 また、これらのすべての活動が文書管理に反映されているか、またその活動が業務に大きな障害を与えていないかなどを考慮し、適切な文書管理手順を策定する。 4.8.2.2 組織は、以下のことを確実にするために、情報セキュリティマネジメントで要求された文書化した情報を、管理する。 [27001-7.5.3]・文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態であること。 ・文書化した情報が十分に保護されていること(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。 ・文書化した情報の配付、アクセス 、検索及び利用 ・文書化した情報の読みやすさが保たれることを含む、保管及び保存 ・文書化した情報の変更の管理(例えば、版の管理) ・文書化した情報の保持及び廃棄 また、情報セキュリティマネジメントの計画及び運用のために組織が必要と決定した文書は、外部から入手したものであっても、必要に応じて、特定し、管理する。 ー ー ー 4.9 情報セキュリティリスクコミュニケ―ションー ー ー利害関係者間の有効なコミュニケーションは、意思決定に大きな影響を与えることがある。 情報セキュリティリスクコミュニケーションは、意思決定者とその他の利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)との間で情報セキュリティリスクに関する情報を交換、共有し、リスクを管理する方法に関する合意を得る。 4.9.1 リスクコミュニケーションの計画無 〇 〇232425組織は、情報セキュリティマネジメントが必要とする以下の情報を文書化している。 ・情報セキュリティ方針・情報セキュリティ目的・情報セキュリティリスクアセスメントのプロセス・情報セキュリティリスク対応のプロセス・情報セキュリティリスクアセスメントの結果・情報セキュリティリスク対応計画・パフォーマンス測定の結果組織は、文書管理手順を策定したうえで、以下を行うことによって、文書化した情報を作成及び更新している。 ・適切な識別情報の記述(例えば、表題、日付、作成者、参照番号)・適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)の選択・適切性及び妥当性に関する、適切なレビュー及び承認・文書化した情報のライフサイクルの定義や、それに応じた処理ができるような手順の策定・文書を発行する前における、適正性のレビュー及び承認・必要に応じた、文書の更新及び再承認・廃止文書の誤使用の防止・廃止文書を何らかの目的で保持する場合における、廃止文書であることが分かる適切な識別情報の記述・法的及び規制の要求事項及び環境の変化に従い、定めた頻度での更新なお、文書化した情報の管理は以下を確実にするためである。 ・文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態であること。 ・文書化した情報が十分に保護されていること(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。 ・文書化した情報の配付、アクセス 、検索及び利用・文書化した情報の読みやすさが保たれることを含む、保管及び保存・文書化した情報の変更の管理(例えば、版の管理)・文書化した情報の保持及び廃棄リスクコミュニケーション計画を以下の２つに分けて策定し、文書化している。 ・通常運用のためのリスクコミュニケーション計画・緊急事態のためのリスクコミュニケーション計画リスクコミュニケーション計画は、意思決定者とその他の利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)との間でどのようにコミュニケーションを図るかに留意し、以下の内容について含めている。 ・適切な利害関係者の参画による、効果的な情報交換／共有・法令、規制及びガバナンスの要求事項の順守・コミュニケーション及び協議に関するフィードバック及び報告の提供・組織に対する信頼を醸成するためのコミュニケーションの活用・危機又は不測の事態発生時の利害関係者とのコミュニケーションの実施12管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 4.9.1.1 リスクコミュニケ―ション計画を策定する。 リスクコミュニケーション計画は、以下の２つに分けて策定し、文書化する。 ・通常運用のためのリスクコミュニケーション計画 ・緊急事態のためのリスクコミュニケーション計画 リスクコミュニケーション計画は、意思決定者とその他の利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)との間でどのようにコミュニケーションを図るかに留意し、以下の内容について含める。 ・適切な利害関係者の参画による、効果的な情報交換／共有 ・法令、規制及びガバナンスの要求事項の順守 ・コミュニケーション及び協議に関するフィードバック及び報告の提供 ・組織に対する信頼を醸成するためのコミュニケーションの活用 ・危機又は不測の事態発生時の利害関係者とのコミュニケーションの実施4.9.2 リスクコミュニケーションの実施4.9.2.1 リスクコミュニケ―ションを実施する仕組みを確定する。 リスクに関する論議、その優先順位の決定及び適切なリスク対応、並びにリスク受容を行い、主要な意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の協調を得る仕組みを確定する。 この仕組みでは次の事項を確実にする。 ・リスクマネジメントの枠組みの主要な構成要素、及びその後に行うあらゆる修正の適切な伝達 ・枠組み、その有効性及び成果に関する適切な内部報告 ・適切な階層及び時期に利用可能な、リスクマネジメントの適応から導出される関連情報の提供 ・内部の利害関係者との協議のためのプロセス 仕組みには、適切な場合には、多様な情報源からのリスク情報について、まとめ上げるプロセスが含まれ、また、リスク情報の影響の受けやすさを考慮する必要がある場合もある。 なお、この仕組みを設ける場として、委員会がある。 4.9.2.2 リスクコミュニケ―ションを実施する。 リスクコミュニケーションは、次の点を達成するために、リスクマネジメントプロセスのすべての段階で継続的に実施する。 ・組織のリスクマネジメント結果の保証を提供する ・リスク情報を収集する ・リスクアセスメントの結果を共有しリスク対応計画を提示する ・意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の相互理解の欠如による情報セキュリティ違反の発生及び結果を回避又は低減する ・意思決定を支援する ・新しい情報セキュリティ知識を入手する ・他の組織と協調しすべてのインシデントの結果を低減するための対応計画を立案する ・意思決定者及び利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)にリスクについての責任を意識させる ・セキュリティ意識を改善する リスクコミュニケーションの実施においては、組織内の適切な広報又はコミュニケーション部門と協力し、リスクコミュニケーション関連の全タスクを調整して行う。 ー ー ー 情報セキュリティのための方針群5.1 情報セキュリティのための経営陣の方向性管理目的：情報セキュリティのための経営陣の方向性及び支持を、事業上の要求事項並びに関連する法令及び規制に従って提示するため。 5.1.1 情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員及び関連する外部関係者に通知する。 (脚注)管理層には、経営陣及び管理者が含まれる。 ただし、実務管理者(administrator)は除かれる。 5.1.2 情報セキュリティのための方針群は、あらかじめ定めた間隔で、又は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューする。 ー ー ー 6 情報セキュリティのための組織6.1 内部組織6.1 管理目的：組織内で情報セキュリティの実施及び運用に着手し、これを統制するための管理上の枠組みを確立するため。 6.1.1 全ての情報セキュリティの責任を定め、割り当てる。 6.1.1.13.PBクラウドサービスに関する情報セキュリティの役割及び責任の所在を明示すること。 無 無 無252627リスクコミュニケーション計画を以下の２つに分けて策定し、文書化している。 ・通常運用のためのリスクコミュニケーション計画・緊急事態のためのリスクコミュニケーション計画リスクコミュニケーション計画は、意思決定者とその他の利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)との間でどのようにコミュニケーションを図るかに留意し、以下の内容について含めている。 ・適切な利害関係者の参画による、効果的な情報交換／共有・法令、規制及びガバナンスの要求事項の順守・コミュニケーション及び協議に関するフィードバック及び報告の提供・組織に対する信頼を醸成するためのコミュニケーションの活用・危機又は不測の事態発生時の利害関係者とのコミュニケーションの実施リスクに関する論議、その優先順位の決定及び適切なリスク対応、並びにリスク受容を行い、主要な意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の協調を得る仕組みを、以下を踏まえたうえで確定している。 ・リスクマネジメントの枠組みの主要な構成要素、及びその後に行うあらゆる修正の適切な伝達・枠組み、その有効性及び成果に関する適切な内部報告・適切な階層及び時期に利用可能な、リスクマネジメントの適応から導出される関連情報の提供・内部の利害関係者との協議のためのプロセスまた、リスクコミュニケーションは、次の点を達成するために、リスクマネジメントプロセスのすべての段階で継続的に実施している。 ・組織のリスクマネジメント結果の保証を提供する・リスク情報を収集する・リスクアセスメントの結果を共有しリスク対応計画を提示する・意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の相互理解の欠如による情報セキュリティ違反の発生及び結果を回避又は低減する・意思決定を支援する・新しい情報セキュリティ知識を入手する・他の組織と協調しすべてのインシデントの結果を低減するための対応計画を立案する・意思決定者及び利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)にリスクについての責任を意識させる・セキュリティ意識を改善する経営陣及び管理者は、情報セキュリティのための方針群を定義、承認及び発行を行い、関係者に伝達している。 また、これらの方針群の有効性を確認する機会を定期的または重大な変更時に設けている。 管理策基準・クラウドサービスに関する情報セキュリティの役割及び責任の所在を明示している。 ・クラウドサービス事業者の所在地、及び振興会のデータが保管される可能性のある国々及びその法管轄を明示している。 ・情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持している。 ・プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては、情報セキュリティに取り組んでいる。 28 無13管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 6.1.2 相反する職務及び責任範囲は、組織の資産に対する、認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために、分離する。 6.1.3 関係当局との適切な連絡体制を維持する。 6.1.3.3PBクラウドサービス事業者は、クラウドサービス利用者に、クラウドサービス事業者の組織の地理的所在地、及びクラウドサービス事業者がクラウドサービス利用者のデータを保管する可能性のある国々及びその法管轄を通知する。 6.1.4 情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持する。 6.1.5 プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては、情報セキュリティに取り組む。 6.2 モバイル機器及びテレワーキング管理目的：モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。 6.2.1 モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用する。 6.2.2 テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、方針及びその方針を支援するセキュリティ対策を実施する。 6.3.P クラウドサービス利用者及びクラウドサービス事業者の関係6.3.P 管理目的：情報セキュリティマネジメントのための、クラウドサービス利用者及びクラウドサービス提供者間の共同責任の関係を説明するため。 6.3.1.P クラウドサービス利用者及びクラウドサービス事業者の両者は、クラウドサービスの利用における情報セキュリティの共同責任について、文書化し、公表し、伝達し、実装する。 6.3.1.1PBクラウドサービス事業者の情報セキュリティ管理策及び責任が明示されていること。 ー ー ー 7 人的資源のセキュリティ7.1 雇用前7.1 管理目的：従業員及び契約相手がその責任を理解し、求められている役割にふさわしいことを確実にするため。 7.1.1 全ての従業員候補者についての経歴などの確認は、関連する法令、規制及び倫理に従って行う。 また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行う。 7.1.2 従業員及び契約相手との雇用契約書には、情報セキュリティに関する各自の責任及び組織の責任を記載する。 7.2 雇用期間中7.2 管理目的：従業員及び契約相手が、情報セキュリティの責任を認識し、かつ、その責任を遂行することを確実にするため。 7.2.1 経営陣は、組織の確立された方針及び手順に従った情報セキュリティの適用を、全ての従業員及び契約相手に要求する。 7.2.2 組織の全ての従業員、及び関係する場合には契約相手は、職務に関連する組織の方針及び手順についての、適切な、意識向上のための教育及び訓練を受け、また、定めに従ってその更新を受ける。 7.2.2.19.PB事業所内でデータを適切に取り扱うための教育及び訓練を行っていること。 7.2.3 情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備える。 7.3 雇用の終了及び変更7.3 管理目的：雇用の終了又は変更のプロセスの一部として、組織の利益を保護するため。 7.3.1 雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、その従業員又は契約相手に伝達し、かつ、遂行させる。 ー ー ー 8 資産の管理8.1 資産に対する責任8.1 管理目的：組織の資産を特定し、適切な保護の責任を定めるため。 8.1.1 情報、情報に関連するその他の資産及び情報処理施設を特定する。 また、これらの資産の目録を、作成し、維持する。 8.1.1.6PBクラウドサービス事業者の資産目録は、クラウドサービス利用者のデータ及びクラウドサービスの派生データを明確に特定する。 8.1.2 目録の中で維持される資産は、管理する。 8.1.2.7PB利用者がクラウドサービスに保管するデータを暗号化したうえで利用者が安全に扱えるようにするか、利用者自身がデータの暗号化を利用してデータを安全に扱えるようにする手段を提供するかのいずれかに対応すること。 8.1.3 情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施する。 8.1.4 全ての従業員及び外部の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産の全てを返却する。 8.1.5.P クラウドサービス事業者の領域上にあるクラウドサービス利用者の資産は、クラウドサービス利用の合意の終了時に、時機を失せずに返却または除去する。 無 無 無 無 無 無303132333429・モバイル機器を用いることによって生じるリスクを管理するために、適切なセキュリティ対策を採用している。 ・テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、適切なセキュリティ対策を実施している。 ・クラウドサービス利用者及びクラウドサービス事業者の両者は、クラウドサービスの利用における情報セキュリティの共同責任について、文書化し、公表し、伝達し、実装している。 ・クラウドサービス事業者の情報セキュリティ管理策及び責任を明示している。 ・関連する法令、規制及び倫理に従い、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて、全ての従業員候補者についての経歴などの確認を行っている。 ・従業員及び契約相手との雇用契約書には、情報セキュリティに関する各自の責任及び組織の責任を記載している。 ・経営陣は、組織の確立された方針及び手順に従った情報セキュリティの適用を、全ての従業員及び契約相手に要求している。 ・組織の全ての従業員、及び必要に応じて契約相手は、職務に関連する組織の方針及び手順について、また、事業所内でデータを適切に取り扱うための、適切な教育及び訓練を受けている。 ・情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備えている。 雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、その従業員又は契約相手に伝達し、かつ、遂行させている。 ・情報、情報に関連するその他の資産及び情報処理施設を特定する。 また、これらの資産の目録を、作成し、維持している。 ・クラウドサービス事業者の資産目録において振興会のデータ等を明確に特定し、管理している。 ・利用者がクラウドサービスに保管するデータを暗号化したうえで利用者が安全に扱えるようにするか、利用者自身がデータの暗号化を利用してデータを安全に扱えるようにする手段を提供するかのいずれかに対応している。 ・情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施している。 ・全ての従業員及び外部の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産の全てを返却している。 ・クラウドサービス事業者の領域上にあるクラウドサービス利用者の資産は、クラウドサービス利用の合意の終了時に、時機を失せずに返却または除去している。 管理策基準・クラウドサービスに関する情報セキュリティの役割及び責任の所在を明示している。 ・クラウドサービス事業者の所在地、及び振興会のデータが保管される可能性のある国々及びその法管轄を明示している。 ・情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持している。 ・プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては、情報セキュリティに取り組んでいる。 28 無14管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 8.2 情報分類8.2 管理目的：組織に対する情報の重要性に応じて、情報の適切なレベルでの保護を確実にするため。 8.2.1 情報は、法的要求事項、価値、重要性、及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から、分類する。 8.2.2 情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施する。 8.2.2.7PBクラウドサービス事業者は、クラウドサービス利用者が扱う情報及び関連資産を当該利用者が分類し、ラベル付けするためのサービス機能について文書化し、開示する。 8.2.3 資産の取扱いに関する手順は、組織が採用した情報分類体系に従って策定し、実施する。 8.3 媒体の取扱い8.3 管理目的：媒体に保存された情報の認可されていない開示、変更、除去又は破壊を防止するため。 8.3.1 組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施する。 8.3.2 媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分する。 8.3.3 情報を格納した媒体は、輸送の途中における、認可されていないアクセス、不正使用又は破損から保護する。 ー ー ー 9 アクセス制御9.1 アクセス制御に対する業務上の要求事項9.1 管理目的：情報及び情報処理施設へのアクセスを制限するため。 9.1.1 アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューする。 9.1.2 利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供する。 9.2 利用者アクセスの管理9.2 管理目的：システム及びサービスへの、認可された利用者のアクセスを確実にし、認可されていないアクセスを防止するため。 9.2.1 アクセス権の割当てを可能にするために、利用者の登録及び登録削除についての正式なプロセスを実施する。 9.2.1.6PBクラウドサービス事業者は、クラウドサービス利用者が扱う情報及び関連資産を当該利用者が分類し、ラベル付けするためのサービス機能について文書化し、開示する。 9.2.2 全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施する。 9.2.2.8. クラウドサービスのユーザのアクセス権を管理する機能及び仕様を提供すること。 9.2.3 特権的アクセス権の割当て及び利用は、制限し、管理する。 9.2.3.11.PBクラウドサービス事業者は、特定したリスクに応じて、クラウドサービスの管理能力にあわせたクラウドサービス利用者の管理者認証に、十分に強固な認証技術(例えば、多要素認証機能)を提供する。 9.2.4 秘密認証情報の割当ては、正式な管理プロセスによって管理する。 9.2.4.9PBクラウドサービス事業者は、秘密認証情報を割り当てる手順、及びユーザ認証手順を含む、クラウドサービス利用者の秘密認証情報の管理手順について、情報を提供する。 9.2.5 資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューする。 9.2.6 全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正する。 9.3 利用者の責任9.3 管理目的：利用者に対して、自らの秘密認証情報を保護する責任をもたせるため。 9.3.1 秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求する。 9.4 システム及びアプリケーションのアクセス制御9.4 管理目的：システム及びアプリケーションへの、認可されていないアクセスを防止するため。 9.4.1 情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って、制限する。 9.4.1.8PBクラウドサービスへのアクセス、クラウドサービス機能へのアクセス、及びデータへのアクセスを制限できるようアクセス制御を提供すること。 9.4.2 アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御する。 無 無 無 無 無 無394035363738・情報は、法的要求事項、価値、重要性、及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から、分類している。 ・情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施している。 ・振興会がクラウドサービス上でデータを取り扱う際に、データをその重要性や秘匿性等に応じて分類し、それに応じた取り扱いを行えるようにするための手順を開示している。 ・資産の取扱いに関する手順は、組織が採用した情報分類体系に従って策定し、実施している。 ・組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施している。 ・媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分している。 ・情報を格納した媒体は、輸送の途中における、認可されていないアクセス、不正使用又は破損から保護している。 ・アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューしている。 ・利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供している。 ・アクセス権の割当てを可能にするために、利用者の登録及び登録削除についての正式なプロセスを実施している。 ・振興会にクラウドサービス利用に必要なユーザーの登録及び登録削除の機能及び仕様を提供している。 ・全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施している。 ・クラウドサービスのユーザのアクセス権を管理する機能及び仕様を提供している。 ・特権的アクセス権の割当て及び利用を、制限し、管理している。 ・振興会の管理者認証に、十分に強固な認証技術を提供している。 ・秘密認証情報の割当ては、正式な管理プロセスによって管理している。 ・振興会がクラウドサービスを利用する際の秘密認証情報の管理手順を提供している。 ・資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューしている。 ・全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正している。 秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求している。 ・情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って、制限している。 ・クラウドサービスへのアクセス、クラウドサービス機能へのアクセス、及びデータへのアクセスを制限できるようアクセス制御を提供している。 ・アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御している。 ・強い認証及び識別情報の検証が必要な場合には、パスワードに代えて、暗号による手段、スマートカード、トークン、生体認証などの認証方法を用いている。 ・パスワード管理システムは対話式とし、良質なパスワードを利用している。 ・システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理している。 ・プログラムソースコードへのアクセスは、制限している。 15管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 9.4.2.2B強い認証及び識別情報の検証が必要な場合には、パスワードに代えて、暗号による手段、スマートカード、トークン、生体認証などの認証方法を用いること。 9.4.3 パスワード管理システムは、対話式とすること、また、良質なパスワードを確実にするものとする。 9.4.4 システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理する。 9.4.5 プログラムソースコードへのアクセスは、制限する。 9.5.P 共有化された仮想環境におけるクラウドサービス利用者のデータのアクセス制御9.5.P 管理目的：共有化されたクラウドコンピューティング上の仮想環境における情報セキュリティを確実にするため。 9.5.1.P クラウドサービス利用者のクラウドサービス上の仮想環境は、他のクラウドサービス利用者及び認可されていない者から保護する。 9.5.2.P クラウドコンピューティング環境における仮想マシンは、事業上のニーズを満たすため、要塞化する。 9.5.2.1PB仮想マシンを設定する際には、適切に要塞化し(例えば、クラウドサービスを実行するのに必要なポート、プロトコル及びサービスのみを有効とする)、利用する各仮想マシンに適切な技術的管理策(例えば、マルウェア対策、ログ取得)を実施すること。 ー ー ー 10 暗号10.1 暗号による管理策10.1 管理目的：情報の機密性、真正性及び／又は完全性を保護するために、暗号の適切かつ有効な利用を確実にするため。 10.1.1 情報を保護するための暗号による管理策の利用に関する方針は、策定し、実施する。 10.1.1.9.PBクラウドサービス利用者に、当該利用者が処理する情報を保護するために暗号技術を利用する機能を提供し、または、暗号技術を利用する環境についての情報を提供する。 10.1.2 暗号鍵の利用、保護及び有効期間(lifetime)に関する方針を策定し、そのライフサイクル全体にわたって実施する。 10.1.2.20.PBクラウドサービス利用者に、当該利用者の管理する情報の暗号化に用いる暗号鍵を当該利用者が管理する機能を提供し、または、当該利用者が暗号鍵を管理する方法についての情報を提供する。 ー ー ー 11 物理的及び環境的セキュリティ11.1 セキュリティを保つべき領域11.1 管理目的：組織の情報及び情報処理施設に対する認可されていない物理的アクセス、損傷及び妨害を防止するため。 11.1.1 取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いる。 11.1.2 セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護する。 11.1.3 オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用する。 11.1.4 自然災害、悪意のある攻撃又は事故に対する物理的な保護を設計し、適用する。 11.1.5 セキュリティを保つべき領域での作業に関する手順を設計し、適用する。 11.1.6 荷物の受渡場所などの立寄り場所、及び認可されていない者が施設に立ち入ることもあるその他の場所は、管理する。 また、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離す。 11.2 装置11.2 管理目的：資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を防止するため。 11.2.1 装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護する。 11.2.2 装置は、サポートユーティリティの不具合による、停電、その他の故障から保護する。 11.2.3 データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は、傍受、妨害又は損傷から保護する。 11.2.4 装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守する。 11.2.5 装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出さない。 無 無 無 無 無4041424344・クラウドサービス利用者のクラウドサービス上の仮想環境を、他のクラウドサービス利用者及び認可されていない者から保護している。 ・クラウドコンピューティング環境における仮想マシンを、事業上のニーズを満たすため、要塞化している。 ・仮想マシンを設定する際には、適切に要塞化し(例えば、クラウドサービスを実行するのに必要なポート、プロトコル及びサービスのみを有効とする)、利用する各仮想マシンに適切な技術的管理策(例えば、マルウェア対策、ログ取得)を実施している。 ・情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って、制限している。 ・クラウドサービスへのアクセス、クラウドサービス機能へのアクセス、及びデータへのアクセスを制限できるようアクセス制御を提供している。 ・アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御している。 ・強い認証及び識別情報の検証が必要な場合には、パスワードに代えて、暗号による手段、スマートカード、トークン、生体認証などの認証方法を用いている。 ・パスワード管理システムは対話式とし、良質なパスワードを利用している。 ・システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理している。 ・プログラムソースコードへのアクセスは、制限している。 ・情報を保護するための暗号による管理策の利用に関する方針は、策定し、実施している。 ・クラウドサービス利用者に、当該利用者が処理する情報を保護するために暗号技術を利用する機能を提供し、または、暗号技術を利用する環境についての情報を提供している。 ・暗号鍵の利用、保護及び有効期間(lifetime)に関する方針を策定し、そのライフサイクル全体にわたって実施している。 ・クラウドサービス利用者に、当該利用者の管理する情報の暗号化に用いる暗号鍵を当該利用者が管理する機能を提供し、または、当該利用者が暗号鍵を管理する方法についての情報を提供している。 ・取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いている。 ・セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護している。 ・オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用している。 ・自然災害、悪意のある攻撃又は事故に対する物理的な保護を設計し、適用している。 ・セキュリティを保つべき領域での作業に関する手順を設計し、適用している。 ・荷物の受渡場所などの立寄り場所、及び認可されていない者が施設に立ち入ることもあるその他の場所を管理している。 また、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離している。 ・装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護している。 ・装置は、サポートユーティリティの不具合による、停電、その他の故障から保護している。 ・データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は、傍受、妨害又は損傷から保護している。 ・装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守している。 ・装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出していない。 ・構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用している。 ・記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去している。 又はセキュリティを保って上書きしていることを確実にするために、検証している。 ・資源(例えば、装置、データストレージ、ファイル、メモリ)のセキュリティを保った処分を遅滞なく確実に行っている。 ・利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にする仕組みを整備している。 ・書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用している。 16管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 11.2.6 構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用する。 11.2.7 記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、又はセキュリティを保って上書きしていることを確実にするために、検証する。 11.2.7.4.PB資源(例えば、装置、データストレージ、ファイル、メモリ)のセキュリティを保った処分を遅滞なく確実に行うこと。 11.2.8 利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にする仕組みを整備する。 11.2.9 書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用する。 (脚注)クリアデスクとは、机上に書類を放置しないことをいう。 また、クリアスクリーンとは、情報をスクリーンに残したまま離席しないことをいう。 ー ー ー 12 運用のセキュリティ12.1 運用の手順及び責任12.1 管理目的：情報処理設備の正確かつセキュリティを保った運用を確実にするため。 12.1.1 操作手順は、文書化し、必要とする全ての利用者に対して利用可能とする。 12.1.2 情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更は、管理する。 12.1.2.11.PBクラウドサービス事業者は、クラウドサービス利用者の情報セキュリティに悪影響を及ぼす可能性のあるクラウドサービスの変更に関する情報を、クラウドサービス利用者に提供する。 12.1.3 要求された主要なシステム資源の使用を満たすことを確実にするために、資源の利用を監視・調整し、また、将来必要とする容量・能力を予測する。 12.1.3.9 全資源の容量を監視し、資源の枯渇によるインシデント発生を防ぐこと。 12.1.4 開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離する。 12.1.5.P クラウドコンピューティング環境の、管理のための操作手順を定義し、文書化し、監視する。 12.1.5.1.PBクラウドサービス事業者は、重要な操作及び手順に関する文書を、それを求めるクラウドサービス利用者に提供する。 12.2 マルウェアからの保護12.2 管理目的：情報及び情報処理施設がマルウェアから保護されることを確実にするため。 12.2.1 マルウェアから保護するために、利用者に適切に認識させることと併せて、検出、予防及び回復のための管理策を実施する。 12.3 バックアップ12.3 管理目的：データの消失から保護するため。 12.3.1 情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査する。 12.4 ログ取得及び監視12.4 管理目的：イベントを記録し、証拠を作成するため。 12.4.1 利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューする。 12.4.1.1 クラウドサービス事業者は、クラウドサービス利用者に、ログ取得機能を提供する。 12.4.2 ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護する。 12.4.3 システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。 12.4.4 組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは、単一の参照時刻源と同期させる。 12.4.4.4.PBクラウドサービス事業者は、クラウドサービス利用者に、クラウドサービス事業者のシステムで利用するクロックに関する情報及びクラウドサービス利用者がクラウドサービスのクロックにローカルクロックを同期させる方法についての情報を提供する。 無 無 無 無 無 4844454647・装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護している。 ・装置は、サポートユーティリティの不具合による、停電、その他の故障から保護している。 ・データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は、傍受、妨害又は損傷から保護している。 ・装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守している。 ・装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出していない。 ・構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用している。 ・記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去している。 又はセキュリティを保って上書きしていることを確実にするために、検証している。 ・資源(例えば、装置、データストレージ、ファイル、メモリ)のセキュリティを保った処分を遅滞なく確実に行っている。 ・利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にする仕組みを整備している。 ・書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用している。 ・操作手順は、文書化し、必要とする全ての利用者に対して利用可能としている。 ・情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更を管理している。 ・振興会がクラウドサービスを利用する中で、情報セキュリティに悪影響を及ぼす可能性のある変更を行う場合、振興会にその情報を提供している。 ・要求された主要なシステム資源の使用を満たすことを確実にするために、資源の利用を監視・調整し、また、将来必要とする容量・能力を予測している。 ・全資源の容量を監視し、資源の枯渇によるインシデント発生を防いでいる。 ・開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離している。 ・クラウドコンピューティング環境の、管理のための操作手順を定義し、文書化し、監視している。 ・操作マニュアル等を、振興会に提供できる。 操作マニュアル等には重要な操作(システムの稼働に影響を与える操作など)がある場合、その操作手順を含む。 マルウェアから保護するために、利用者に適切に認識させることと併せて、検出、予防及び回復のための管理策を実施している。 情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査している。 ・利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューしている。 ・振興会に、ログ取得機能を提供している。 ・ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護している。 ・システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューしている。 ・組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックを、単一の参照時刻源と同期している。 ・クラウドサービス利用者に、クラウドサービス事業者のシステムで利用するクロックに関する情報及びクラウドサービス利用者がクラウドサービスのクロックにローカルクロックを同期させる方法についての情報を提供している。 ・クラウドサービス利用者は、利用するクラウドサービスの操作を監視する機能を有している。 17管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 12.4.5.P クラウドサービス利用者は、利用するクラウドサービスの操作を監視する機能を有する。 12.5 運用ソフトウェアの管理12.5 管理目的：運用システムの完全性を確実にするため。 12.5.1 運用システムに関わるソフトウェアの導入を管理するための手順を実施する。 12.6 技術的ぜい弱性管理12.6 管理目的：技術的ぜい弱性の悪用を防止するため。 12.6.1 利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得する。 また、そのようなぜい弱性に組織がさらされている状況を評価する。 さらに、それらと関連するリスクに対処するために、適切な手段をとる。 12.6.1.18.PBクラウドサービス事業者は、提供するクラウドサービスに影響を及ぼす可能性のある技術的ぜい弱性の管理についての情報を、クラウドサービス利用者が利用可能となるようにする。 12.6.2 利用者によるソフトウェアのインストールを管理する規則を確立し、実施する。 12.7 情報システムの監査に対する考慮事項12.7 管理目的：運用システムに対する監査活動の影響を最小限にするため。 12.7.1 運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意する。 ー ー ー 13 通信のセキュリティ13.1 ネットワークセキュリティ管理13.1 管理目的：ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするため。 13.1.1 システム及びアプリケーション内の情報を保護するために、ネットワークを管理し、制御する。 13.1.2 組織が自ら提供するか外部委託しているかを問わず、全てのネットワークサービスについて、セキュリティ機能、サービスレベル及び管理上の要求事項を特定し、また、ネットワークサービス合意書にもこれらを盛り込む。 13.1.3 情報サービス、利用者及び情報システムは、ネットワーク上で、グループごとに分離する。 13.1.4.P 仮想ネットワークを設定する際には、クラウドサービス事業者のネットワークセキュリティ方針に基づき、仮想ネットワークと物理ネットワークの設定の整合性を検証する。 13.2 情報の転送13.2 管理目的：組織の内部及び外部に転送した情報のセキュリティを維持するため。 13.2.1 あらゆる形式の通信設備を利用した情報転送を保護するために、正式な転送方針、手順及び管理策を備える。 13.2.2 情報転送に関する合意では、組織と外部関係者との間の業務情報のセキュリティを保った転送について、取り扱う。 13.2.3 電子的メッセージ通信に含まれた情報は、適切に保護する。 13.2.4 情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューし、文書化する。 ー ー ー 14 システムの取得、開発及び保守14.1 情報システムのセキュリティ要求事項14.1 管理目的：ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため。 これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含む。 14.1.1 情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含める。 14.1.2 公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約紛争、並びに認可されていない開示及び変更から保護する。 無 無 無 無 無 無 無48495051525354・あらゆる形式の通信設備を利用した情報転送を保護するために、正式な転送方針、手順及び管理策を備えている。 ・情報転送に関する合意では、組織と外部関係者との間の業務情報のセキュリティを保った転送について、取り扱っている。 ・電子的メッセージ通信に含まれた情報は、適切に保護している。 ・情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューし、文書化している。 ・利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューしている。 ・振興会に、ログ取得機能を提供している。 ・ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護している。 ・システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューしている。 ・組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックを、単一の参照時刻源と同期している。 ・クラウドサービス利用者に、クラウドサービス事業者のシステムで利用するクロックに関する情報及びクラウドサービス利用者がクラウドサービスのクロックにローカルクロックを同期させる方法についての情報を提供している。 ・クラウドサービス利用者は、利用するクラウドサービスの操作を監視する機能を有している。 運用システムに関わるソフトウェアの導入を管理するための手順を実施している。 ・利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得している。 また、そのようなぜい弱性に組織がさらされている状況を評価している。 さらに、それらと関連するリスクに対処するために、適切な手段をとっている。 ・提供するクラウドサービスに影響を及ぼす可能性のあるぜい弱性情報を振興会が利用できるようにしている。 ・利用者によるソフトウェアのインストールを管理する規則を確立し、実施している。 運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意している。 ・システム及びアプリケーション内の情報を保護するために、ネットワークを管理し、制御している。 ・組織が自ら提供するか外部委託しているかを問わず、全てのネットワークサービスについて、セキュリティ機能、サービスレベル及び管理上の要求事項を特定し、また、ネットワークサービス合意書にもこれらを盛り込んでいる。 ・情報サービス、利用者及び情報システムは、ネットワーク上で、グループごとに分離している。 ・仮想ネットワークを設定する際には、クラウドサービス事業者のネットワークセキュリティ方針に基づき、仮想ネットワークと物理ネットワークの設定の整合性を検証している。 ・情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含めている。 ・公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約紛争、並びに認可されていない開示及び変更から保護している。 ・アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止するために、保護している。 ・不完全な通信・誤った通信経路設定・認可されていないメッセージの変更・認可されていない開示・認可されていないメッセージの複製又は再生18管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 14.1.3 アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止するために、保護する。 ・不完全な通信・誤った通信経路設定・認可されていないメッセージの変更・認可されていない開示・認可されていないメッセージの複製又は再生14.2 開発及びサポートプロセスにおけるセキュリティ14.2 管理目的：情報システムの開発サイクルの中で情報セキュリティを設計し、実施することを確実にするため。 14.2.1 ソフトウェア及びシステムの開発のための規則は、組織内において確立し、開発に対して適用する。 14.2.1.13.PBクラウドサービス事業者は、開示方針に反しない範囲で、セキュリティを保つための開発手順及び慣行についての情報を提供すること。 14.2.2 開発のライフサイクルにおけるシステムの変更は、正式な変更管理手順を用いて管理する。 14.2.3 オペレーティングプラットフォームを変更するときは、組織の運用又はセキュリティに悪影響がないことを確実にするために、重要なアプリケーションをレビューし、試験する。 14.2.4 パッケージソフトウェアの変更は、抑止し、必要な変更だけに限る。 また、全ての変更は、厳重に管理する。 14.2.5 セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持し、全ての情報システムの実装に対して適用する。 14.2.6 組織は、全てのシステム開発ライフサイクルを含む、システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保護する。 14.2.7 組織は、外部委託したシステム開発活動を監督し、監視する。 14.2.8 セキュリティ機能(functionality)の試験は、開発期間中に実施する。 14.2.9 新しい情報システム、及びその改訂版・更新版のために、受入れ試験のプログラム及び関連する基準を確立する。 14.3 試験データ14.3 管理目的：試験に用いるデータの保護を確実にするため。 14.3.1 試験データは、注意深く選定し、保護し、管理する。 ー ー ー 15 供給者関係15.1 供給者関係における情報セキュリティ15.1 管理目的：供給者がアクセスできる組織の資産の保護を確実にするため。 15.1.1 組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化する。 15.1.1.14.B組織が実施する、並びに組織が供給者に対して実施を要求するプロセス及び手順には、情報、情報処理施設及び移動が必要なその他のものの移行の管理、並びにその移行期間全体にわたって情報セキュリティが維持されることの確実化を含める。 15.1.1.16.B当該事業者が提供するサービス上で取り扱われる情報に対して国内法以外の法令及び規制が適用された結果、クラウドサービス利用者の意図しないまま当該利用者の管理する情報にアクセスされ、又は処理されるリスクを評価して外部委託先を選定し、必要に応じてクラウドサービス利用者が扱う情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を指定する。 15.1.2 関連する全ての情報セキュリティ要求事項を確立し、組織の情報に対して、アクセス、処理、保存若しくは通信を行う、又は組織の情報のためのIT 基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意する。 15.1.2.18.PBクラウドサービス事業者は、クラウドサービス事業者とクラウドサービス利用者の間に誤解が生じないように、クラウドサービス事業者が実行する適切な情報セキュリティ対策を、合意の一環として定める。 無 無 無 無 57545556・情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含めている。 ・公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約紛争、並びに認可されていない開示及び変更から保護している。 ・アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止するために、保護している。 ・不完全な通信・誤った通信経路設定・認可されていないメッセージの変更・認可されていない開示・認可されていないメッセージの複製又は再生・ソフトウェア及びシステムの開発のための規則を、組織内において確立し、開発に対して適用している。 ・クラウドサービス事業者は、開示方針に反しない範囲で、セキュリティを保つための開発手順及び慣行についての情報を提供している。 ・開発のライフサイクルにおけるシステムの変更は、正式な変更管理手順を用いて管理している。 ・オペレーティングプラットフォームを変更するときは、組織の運用又はセキュリティに悪影響がないことを確実にするために、重要なアプリケーションをレビューし、試験している。 ・パッケージソフトウェアの変更は、抑止し、必要な変更だけに限っている。 また、全ての変更は、厳重に管理している。 ・セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持し、全ての情報システムの実装に対して適用している。 ・組織は、全てのシステム開発ライフサイクルを含む、システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保護している。 ・組織は、外部委託したシステム開発活動を監督し、監視している。 ・セキュリティ機能(functionality)の試験は、開発期間中に実施している。 ・新しい情報システム、及びその改訂版・更新版のために、受入れ試験のプログラム及び関連する基準を確立している。 試験データは、注意深く選定し、保護し、管理している。 ・組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化している。 ・組織が実施する、並びに組織が供給者に対して実施を要求するプロセス及び手順には、情報、情報処理施設及び移動が必要なその他のものの移行の管理、並びにその移行期間全体にわたって情報セキュリティが維持されることの確実化を含めている。 ・振興会がクラウドサービスを選定する際に、サービス上で取り扱われる振興会のデータに対して、国内法以外の法令が適用された結果、振興会の意図しないまま振興会以外の者がアクセスするリスクを考慮にいれている。 なお、必要に応じて委託業務の実施場所及び契約に定める準拠法・裁判管轄を指定している。 ・関連する全ての情報セキュリティ要求事項を確立し、組織の情報に対して、アクセス、処理、保存若しくは通信を行っている、又は組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意している。 ・自らが実行する適切な情報セキュリティ対策を、振興会に明解に提供している。 ・供給者との合意には、情報通信技術(以下「ICT」という。)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含めている。 19管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 15.1.3 供給者との合意には、情報通信技術(以下「ICT」という。)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含める。 15.2 供給者のサービス提供の管理15.2 管理目的：供給者との合意に沿って、情報セキュリティ及びサービス提供について合意したレベルを維持するため。 15.2.1 組織は、供給者のサービス提供を定常的に監視し、レビューし、監査する。 15.2.2 関連する業務情報、業務システム及び業務プロセスの重要性、並びにリスクの再評価を考慮して、供給者によるサービス提供の変更(現行の情報セキュリティの方針群、手順及び管理策の保守及び改善を含む)を管理する。 ー ー ー 16 情報セキュリティインシデント管理16.1 情報セキュリティインシデントの管理及びその改善16.1 管理目的：セキュリティ事象及びセキュリティ弱点に関する伝達を含む、情報セキュリティインシデントの管理のための、一貫性のある効果的な取組みを確実にするため。 16.1.1 情報セキュリティインシデントに対する迅速、効果的かつ順序だった対応を確実にするために、管理層の責任及び手順を確立する。 16.1.2 情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけ速やかに報告する。 16.1.3 組織の情報システム及びサービスを利用する従業員及び契約相手に、システム又はサービスの中で発見した又は疑いをもった情報セキュリティ弱点は、どのようなものでも記録し、報告するように要求する。 16.1.4 情報セキュリティ事象は、これを評価し、情報セキュリティインシデントに分類するか否かを決定する。 16.1.5 情報セキュリティインシデントは、文書化した手順に従って対応する。 16.1.6 情報セキュリティインシデントの分析及び解決から得られた知識は、インシデントが将来起こる可能性又はその影響を低減するために用いる。 16.1.7 組織は、証拠となり得る情報の特定、収集、取得及び保存のための手順を定め、適用する。 16.1.7.13.PBクラウドサービス事業者は、クラウドサービス利用者と、クラウドコンピューティング環境内の潜在的なディジタル形式の証拠、又はその他の情報の要求に対応する手順を合意する。 ー ー ー 17 事業継続マネジメントにおける情報セキュリティの側面17.1 情報セキュリティ継続17.1 管理目的：情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むため。 17.1.1 組織は、困難な状況(adverse situation)(例えば、危機又は災害)における、情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定する。 17.1.2 組織は、困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための、プロセス、手順及び管理策を確立し、文書化し、実施し、維持する。 17.1.3 確立及び実施した情報セキュリティ継続のための管理策が、困難な状況の下で妥当かつ有効であることを確実にするために、組織は、定められた間隔でこれらの管理策を検証する。 17.2 冗長性17.2 管理目的：情報処理施設の可用性を確実にするため。 17.2.1 情報処理施設は、可用性の要求事項を満たすのに十分な冗長性をもって、導入する。 ー ー ー 18 順守18.1 法的及び契約上の要求事項の順守18.1 管理目的：情報セキュリティに関連する法的、規制又は契約上の義務に対する違反、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため。 無 無 無 無 無 無575859606162・組織は、困難な状況(adverse situation)(例えば、危機又は災害)における、情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定している。 ・組織は、困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための、プロセス、手順及び管理策を確立し、文書化し、実施し、維持している。 ・確立及び実施した情報セキュリティ継続のための管理策が、困難な状況の下で妥当かつ有効であることを確実にするために、組織は、定められた間隔でこれらの管理策を検証している。 情報処理施設は、可用性の要求事項を満たすのに十分な冗長性をもって、導入している。 ・各情報システム及び組織について、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保っている。 ・知的財産権及び権利関係のあるソフトウェア製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を実施している。 ・知的財産権の順守に対応するためのプロセスを確立している。 ・記録は、法令、規制、契約及び事業上の要求事項に従って、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護している。 ・振興会に、クラウドサービスに蓄積する記録の保護方法について、情報を提供している。 ・プライバシー及び個人識別情報(PII) の保護は、関連する法令及び規制が適用される場合には、その要求に従って確実に行っている。 ・暗号化機能は、関連する全ての協定、法令及び規制を順守して用ている。 ・クラウドサービス利用者に、適用する協定、法令及び規則を順守していることをレビューするため、クラウドサービス事業者が実装した暗号による管理策の記載を、提供している。 ・組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化している。 ・組織が実施する、並びに組織が供給者に対して実施を要求するプロセス及び手順には、情報、情報処理施設及び移動が必要なその他のものの移行の管理、並びにその移行期間全体にわたって情報セキュリティが維持されることの確実化を含めている。 ・振興会がクラウドサービスを選定する際に、サービス上で取り扱われる振興会のデータに対して、国内法以外の法令が適用された結果、振興会の意図しないまま振興会以外の者がアクセスするリスクを考慮にいれている。 なお、必要に応じて委託業務の実施場所及び契約に定める準拠法・裁判管轄を指定している。 ・関連する全ての情報セキュリティ要求事項を確立し、組織の情報に対して、アクセス、処理、保存若しくは通信を行っている、又は組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意している。 ・自らが実行する適切な情報セキュリティ対策を、振興会に明解に提供している。 ・供給者との合意には、情報通信技術(以下「ICT」という。)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含めている。 ・組織は、供給者のサービス提供を定常的に監視し、レビューし、監査している。 ・関連する業務情報、業務システム及び業務プロセスの重要性、並びにリスクの再評価を考慮して、供給者によるサービス提供の変更(現行の情報セキュリティの方針群、手順及び管理策の保守及び改善を含む)を管理している。 ・情報セキュリティインシデントに対する迅速、効果的かつ順序だった対応を確実にするために、管理層の責任及び手順を確立している。 ・情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけ速やかに報告している。 ・組織の情報システム及びサービスを利用する従業員及び契約相手に、システム又はサービスの中で発見した又は疑いをもった情報セキュリティ弱点は、どのようなものでも記録し、報告するように要求している。 ・情報セキュリティ事象は、これを評価し、情報セキュリティインシデントに分類するか否かを決定している。 ・情報セキュリティインシデントは、文書化した手順に従って対応している。 ・情報セキュリティインシデントの分析及び解決から得られた知識は、インシデントが将来起こる可能性又はその影響を低減するために用いている。 ・組織は、証拠となり得る情報の特定、収集、取得及び保存のための手順を定め、適用している。 ・クラウドサービス事業者は、クラウドサービス利用者と、クラウドコンピューティング環境内の潜在的なディジタル形式の証拠、又はその他の情報の要求に対応する手順を合意している。 20管理策番号要件管理基準区分ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 18.1.1 各情報システム及び組織について、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保つ。 18.1.2 知的財産権及び権利関係のあるソフトウェア製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を実施する。 18.1.2.1 知的財産権の順守に対応するためのプロセスを確立していること。 18.1.3 記録は、法令、規制、契約及び事業上の要求事項に従って、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護する。 18.1.3.13.PBクラウドサービス事業者は、クラウドサービス利用者に、クラウドサービスの利用に関して、クラウドサービス事業者が収集し、蓄積する記録の保護について、情報を提供する。 18.1.4 プライバシー及び個人識別情報(PII) の保護は、関連する法令及び規制が適用される場合には、その要求に従って確実に行う。 18.1.5 暗号化機能は、関連する全ての協定、法令及び規制を順守して用いる。 18.1.5.7.PBクラウドサービス利用者に、適用する協定、法令及び規則を順守していることをレビューするため、クラウドサービス事業者が実装した暗号による管理策の記載を、提供する。 18.2 情報セキュリティのレビュー18.2 管理目的：組織の方針及び手順に従って情報セキュリティが実施され、運用されることを確実にするため。 18.2.1 情報セキュリティ及びその実施の管理(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)に対する組織の取組みについて、あらかじめ定めた間隔で、又は重大な変化が生じた場合に、独立したレビューを実施する。 18.2.2 管理者は、自分の責任の範囲内における情報処理及び手順が、適切な情報セキュリティのための方針群、標準類、及び他の全てのセキュリティ要求事項を順守していることを定期的にレビューする。 18.2.3 情報システムを、組織の情報セキュリティのための方針群及び標準の順守に関して、定めに従ってレビューする。 無 無6263・各情報システム及び組織について、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保っている。 ・知的財産権及び権利関係のあるソフトウェア製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を実施している。 ・知的財産権の順守に対応するためのプロセスを確立している。 ・記録は、法令、規制、契約及び事業上の要求事項に従って、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護している。 ・振興会に、クラウドサービスに蓄積する記録の保護方法について、情報を提供している。 ・プライバシー及び個人識別情報(PII) の保護は、関連する法令及び規制が適用される場合には、その要求に従って確実に行っている。 ・暗号化機能は、関連する全ての協定、法令及び規制を順守して用ている。 ・クラウドサービス利用者に、適用する協定、法令及び規則を順守していることをレビューするため、クラウドサービス事業者が実装した暗号による管理策の記載を、提供している。 ・情報セキュリティ及びその実施の管理(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)に対する組織の取組みについて、あらかじめ定めた間隔で、又は重大な変化が生じた場合に、独立したレビューを実施している。 ・管理者は、自分の責任の範囲内における情報処理及び手順が、適切な情報セキュリティのための方針群、標準類、及び他の全てのセキュリティ要求事項を順守していることを定期的にレビューしている。 ・情報システムを、組織の情報セキュリティのための方針群及び標準の順守に関して、定めに従ってレビューしている。 21様式４誓 約 書当社(個人である場合は私、団体である場合は当団体)は、下記１及び２のいずれにも該当しません。 また、将来においても該当することはありません。 この誓約が虚偽であり、又はこの誓約に反したことにより、当方が不利益を被ることとなっても、異議は一切申し立てません。 また、貴職において必要と判断した場合に、別紙役員等名簿により提出する当方の個人情報を警察に提供することについて同意します。 記１ 契約の相手方として不適当な者(１)役員等(個人である場合はその者、法人である場合はその役員又はその支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。 以下同じ。 )が、以下の各号に掲げる反社会的勢力への対応に関する規程(独立行政法人日本芸術文化振興会規程第４１７号)第２条第１項のいずれかに該当する者(以下、反社会的勢力という。)であるとき。 (１)暴力団(その団体の構成員(その団体の構成団体の構成員を含む。)が集団的に又は常習的に暴力的不法行為等を行うことを助長するおそれがある団体をいう。 以下同じ。 )(２)暴力団員(暴力団の構成員をいう。以下同じ。)(３)暴力団準構成員(暴力団又は暴力団員の一定の統制の下にあって、暴力団の威力を背景に暴力的不法行為等を行うおそれがある者又は暴力団若しくは暴力団員に対し資金、武器等の供給を行うなど暴力団の維持若しくは運営に協力する者のうち暴力団員以外のものをいう。以下同じ。)(４)暴力団関係企業(暴力団員が実質的にその経営に関与している企業、準構成員若しくは元暴力団員が実質的に経営する企業であって暴力団に資金提供を行うなど暴力団の維持若しくは運営に積極的に協力し、若しくは関与するもの又は業務の遂行等において積極的に暴力団を利用し暴力団の維持若しくは運営に協力している企業をいう。 以下同じ)(５)総会屋(６)社会運動等標ぼうゴロ(社会運動若しくは政治活動を仮装し、又は標ぼうして、不正な利益を求めて暴力的不法行為等を行うおそれがあり、市民生活の安全に脅威を与える者をいう。以下同じ)(７)特殊知能暴力集団(前六号に掲げる者以外のものであって、暴力団との関係を背景に、その威力を用い、又は暴力団と資金的なつながりを有し、構造的な不正の中核となっている集団又は個人をいう。)(８)その他前各号に準ずる者。 (２)反社会的勢力が経営に実質的に関与しているとき。 (３)役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、反社会的勢力を利用するなどしたとき。 (４)役員等が、反社会的勢力に対して資金等を供給し、又は便宜を供与するなど直接的若しくは積極的に反社会的勢力の維持、運営に協力し、若しくは関与しているとき。 (５)役員等が、反社会的勢力と社会的に非難されるべき関係を有しているとき。 ２ 契約の相手方として不適当な行為をする者(１)暴力的な要求行為を行う者(２)法的な責任を超えた不当な要求行為を行う者(３)取引に関して脅迫的な言動をし、又は暴力を用いる行為を行う者(４)偽計又は威力を用いて契約担当役等の業務を妨害する行為を行う者(５)その他前各号に準ずる行為を行う者令和 年 月 日独立行政法人日本芸術文化振興会理事長 長谷川 眞理子 殿〔住 所〕〔商号又は名称〕〔代表者役職及び氏名〕本件責任者(氏名)担 当 者(氏名)責任者連絡先(電話番号)：担当者連絡先(電話番号)：※ 個人の場合は、氏名欄の下に生年月日を記載すること。 ※ 法人の場合は、役員の氏名及び生年月日を記載した資料を添付すること。 (押印を省略するときは下記に記載すること)様式４(別紙)役員等名簿商号又は名称役 職 名(フリガナ)氏 名生年月日 備 考( )年 月 日( )年 月 日( )年 月 日( )年 月 日( )年 月 日( )年 月 日( )年 月 日( )年 月 日( )年 月 日( )年 月 日(注)法人の場合､本様式には､登記事項証明書に記載されている役員全員を記入してください｡(様式５)「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)技術提案書様式独立行政法人日本芸術文化振興会１．業務の内容及び実施方針(記載方法は自由)(様式５－１)受付番号( )２．作業計画(記載方法は自由)(様式５－２)受付番号( )３．類似業務の実績発注者 受託年度 業務名 業務概要契約額(税込)千円千円千円千円千円千円千円※契約書、仕様書等の写し等、契約内容及び履行した業務内容が確認できる資料を添付すること。 (様式５－３) 受付番号( )４-１．業務の実施体制実施体制図(記載方法は自由)(様式５－４－１) 受付番号( )４-２．業務を効果的に実施するための技術力(記載方法は自由)(様式５－４－２) 受付番号( )５．業務従事予定者の経験・能力統括責任者及び業務担当者統括責任者業務担当者業務担当者氏 名：役 職：経験年数：資 格：主な実績：専門性及び人的ネットワーク：業務担当者 業務担当者氏 名：役 職：経験年数：資 格：主な実績：専門性及び人的ネットワーク：氏 名：役 職：経験年数：資 格：主な実績：専門性及び人的ネットワーク：その他参加スタッフ(複数名記載可)氏 名：役 割：主な実績：(様式５－５)受付番号( )６．情報セキュリティ確保のための体制※情報セキュリティを確保するための体制を具体的に記載すること(導入体制、運用支援・保守体制、インシデント対応体制等)。 ※使用するシステムが情報セキュリティを確保するために有している機能を具体的に記載すること。 (システム基盤、主体認証機能、アクセス制御機能、権限管理機能、ログ管理機能、暗号化、運用管理機能等)。 (様式５－６) 受付番号( )様式６令和 年 月 日質問書独立行政法人日本芸術文化振興会理 事 長 長谷川 眞理子 殿質問者【 住 所 】【 商 号 又 は 名 称 】【代表者役職及び氏名】【担当部署・担当者名】【 担 当 者 連 絡 先 】 TEL：Mail：件 名 「劇場・音楽堂等機能強化推進事業」業務委託(令和８年４月～令和９年３月)以下の内容について御回答ください。 №該当箇所資料名・頁・項目質問事項 仕様書1. 業務名称「劇場・音楽堂等機能強化推進事業」業務委託(令和8年4月～令和9年3月)2. 業務の趣旨我が国の文化拠点である劇場・音楽堂等が行う実演芸術の創造発信や、専門的人材の養成、普及啓発のための事業、劇場・音楽堂等間のネットワーク形成に資する事業を支援することで、我が国の劇場・音楽堂等の活性化と実演芸術の水準向上を図るとともに、地域コミュニティの創造と再生を推進する「劇場・音楽堂等機能強化推進事業」(以下「推進事業」という。)を効率的に遂行することで、劇場・音楽堂等のさらなる発展を支えることを目的とするものである。 3. 履行期間令和8年4月1日から令和9年3月31日までとする。 4. 業務内容推進事業では、助成対象活動の募集を行い、応募のあった活動について審査の上、対象活動を選定する。 推進事業を効果的に実施するため、類似の業務実績を有し、文化芸術に関する専門的知識を有する者に対して、下記の業務を委託するので、効率的な実施方法について提案すること。 業務に際しては、適宜、独立行政法人日本芸術文化振興会(以下「振興会」という。)と協議の上、執行する。 推進事業の概要については、以下の推進事業専用ウェブサイト(以下「ウェブサイト」という。)を参照すること。 ・https://gekijo-ongakudo.ntj.jac.go.jp/＜業務内容概略＞(１)広報業務①令和7年度～令和9年度推進事業のウェブサイト等による情報発信業務(２)助成対象活動実施に係る業務①令和7年度の推進事業に係る助成金精算手続に関する受付・精査業務②令和 8 年度の推進事業に係る助成金交付申請手続、精算手続に関する受付・精査業務③令和 7 年度助成対象活動評価のための審査書類作成・専門委員会開催補助に係る業務④令和9年度助成対象活動の募集・応募受付・資料作成に係る業務⑤令和9年度助成対象活動選定のための審査書類作成に係る業務⑥令和9年度助成対象活動選定のための専門委員会開催補助業務⑦令和9年度推進事業採否結果通知の発送業務(３)その他(１) 広報業務①令和7年度～令和9年度推進事業のウェブサイト等による情報発信業務業務名(業務時期)業務内容a.ウェブサイト公開(令和 8 年 4月)・現行のウェブサイトを踏襲し、調整の上、令和8年4月1日から公開すること。 ・公開にあたっては、外部サーバーを利用し、現行のウェブサイトの運営を引き継ぐこと。 ウェブサイトは、振興会が管理するドメインを使用すること。 ・ウェブサイトの稼働状態について、振興会からの問い合わせに対応すること。 ・作成にあたってはウェブアクセシビリティに十分配慮すること。 アクセシビリティに関する日本産業規格(JIS X 8341-3:2016)の適合レベルAAに準拠するように作成すること。 b.ウェブサイト情報掲載及び更新(通年)・振興会が提示する以下の情報を、振興会の指示する時期に掲載する。 〇推進事業の概要〇推進事業の募集案内、事務手続の手引、各種申請手続に必要となる書式等〇令和 8・9 年度推進事業採択一覧(各採択団体のホームページへのリンクを含む)〇令和 8 年度推進事業採択団体の行う公演等の概要(公演日時・演目・URL等、1,000件程度。各採択団体から最新の情報を入手し、容易に検索できるよう設定する。)〇令和7年度推進事業採択団体の自己点検報告書等(72団体程度)〇令和7年度推進事業採択団体への事後評価に関する情報(19団体程度)〇令和9年度推進事業応募に必要となる情報〇その他必要に応じた情報c.ウェブサイト引継ぎ(令和 9 年 3月)・ウェブサイトの運営・更新について、次年度受託事業者へ確実な引継ぎを行うこと。 (２)助成対象活動実施に係る業務①令和7年度の推進事業に係る助成金精算手続に関する受付・精査業務業務名(業務時期)業務内容a.令和7年度精算手続に関する受付・確認・精査・修正指示(令和 8年4月)・令和 7 年度推進事業採択団体から提出された助成対象活動実績報告書(以下「実績報告書」という。)の日付、団体名、施設名、事業名等、振興会の指定する箇所について確認、精査及び修正依頼を行う。 ・実績報告書の経費部分については、検算を行うとともに、採択団体に各助成対象事業の事業経費の収支決算に係る帳簿及び支出証憑(請求書・領収書等)の写しの提出を求め、支出内容及び助成金の額が適正であることを確認・精査した上で、振興会に提出する。 件数：最大で78団体(このうち55団体からは2～3件ずつ提出され、最大で合計119件。1件当たり15事業程度あり、1事業につき証憑書類の確認が 80 件程度(事業規模により異なる)発生する。 全団体の合計は2.5GB程度。 )※実績報告書の提出は、推進事業の性質上、令和 8 年 4 月に集中する。 証憑書類の確認を済ませた実績報告書を順次振興会に提出し、4月上旬までに全ての採択団体の実績報告書の確認・精査を済ませ、振興会に提出する。 不足書類がある場合は団体に提出を求めること。 また、それらに対応できる体制を整えること。 なお、前年度 3 月に実績報告書の受付・確認・精査を終えている団体については、前年度の業務を受託している者から確実に引継ぎを受けること。 ※採択団体への修正依頼は、軽微な修正を含めると、ほぼ全ての採択団体で発生する。 b.令和7年度自己点検報告書等の受付・確認(令和 8年5月～6月)・令和 7 年度推進事業採択団体から、自己点検報告書及び成果報告書(以下「自己点検報告書等」という。)のデータ(Excel 及び PDF)を受領し、団体名、施設名、事業一覧等、振興会の指定する箇所について確認する。 また、必要がある場合は採択団体に修正を求め、書式を整えた上で振興会に提出する。 件数：最大で 72 団体(1 団体当たり 20 ページ程度。全団体の合計は2GB程度。)※採択団体への修正依頼は、軽微な修正を含めると、ほぼ全ての採択団体で発生する。 ②令和8年度の推進事業に係る助成金交付申請手続、精算手続に関する受付・精査業務業務名(業務時期)業務内容a.令和8年度助成金交付申請書の受・令和 8 年度推進事業採択団体に対して、助成金交付申請書(以下「申請書」という。)について、振興会の作成する書式を送付し、提領及び一覧表の作成(令和8年4月～9月)出を求める。 ・令和8年度推進事業採択団体から提出された申請書をデータ(Excel及びPDF)にて受領する。 想定件数：90 団体より 180 件程度(1 団体当たり 30 ページ程度。全団体の合計は100MB程度。)b.申請書の確認・精査・修正指示(令和8年4月～9月)・申請書に記載のある日付、団体名、施設名、事業名、助成金の額等について確認を行う。 事業概要、収支予算の計上、助成対象経費の計上等について確認・検算・精査を行う。 必要がある場合は採択団体に対して、修正を求め、書式を整えた上で振興会に提出する。 ※採択団体への修正依頼は、軽微な修正を含めると、ほぼ全ての採択団体で発生する。 c.助成金交付決定通知書の発送(令和 8 年 6 月～10月)・振興会が作成した助成金交付決定通知書を、受託事業者が用意した長形3号封筒に封入し簡易書留郵便等にて採択団体へ発送する。 想定件数：90団体、180件程度d.令和8年度助成対象活動の変更・中止等の受付・確認・精査・修正指示(令和8年4月～令和9年3月)・令和 8 年度推進事業採択団体から助成対象活動に関する変更・中止等について相談を受ける。 必要な場合は振興会の作成する書式を用いて事業変更届、計画変更承認申請書について作成を指示し、データ(Excel及びPDF)にて受領する。 ・日付、団体名、施設名、事業名等、振興会の指定する箇所について確認する。 変更承認申請書については、検算・精査も行う。 必要がある場合は、採択団体に修正を求め、書式を整えた上で振興会に提出する。 想定件数:事業変更届は 90 団体、600 件程度(1 件当たり 2 ページ程度、30KB程度。)。 変更承認申請書は90団体、200件程度を想定(1団体当たり8ページ程度、150KB程度。)。 ※採択団体への修正依頼は、軽微な修正を含めると、ほぼ全ての採択団体で発生する。 e.令和8年度精算手続に関する受付・確認・精査・修正指示(令和 8年6月～令和9年3月)・実績報告書について、振興会の作成する書式を団体へ送付し、提出を求める。 ・実績報告書の日付、団体名、施設名、事業名等振興会の指定する箇所について確認、精査及び修正依頼を行う。 ・実績報告書の経費部分については、検算を行うとともに、採択団体に各助成対象事業の事業経費の収支決算に係る帳簿及び支出証憑(請求書・領収書等)の写しの提出を求め、支出内容及び助成金の額が適正であることを確認・精査した上で、振興会に提出する。 想定件数：90団体程度(このうち約60団体からは2～4件ずつ提出され、合計200件程度。1件当たり15事業程度あり、1事業につき証憑書類の確認が 80 件程度(事業規模により異なる)発生する。 全団体の合計は2.5GB程度。 )※実績報告書の提出は、推進事業の性質上、令和9年3 月以降に集中する。 証憑書類の確認を済ませた実績報告書を順次振興会に提出し、3 月末までに採択団体の実績報告書の確認・精査を済ませ、振興会に提出する。 不足書類がある場合は団体に提出を求めること。 また、それらに対応できる体制を整えること。 なお、3 月末までに全ての採択団体の実績報告書の確認・精査が完了しない場合は、次年度に業務を受託する者に確実に引き継ぐこと。 ※年度末の業務の集中を防ぐため、中間報告を行う。 9 月以降下記の締切で団体より各助成対象事業の事業経費の収支決算に係る帳簿及び支出証憑(請求書・領収書等)の写しの提出を求め、支出内容が適正であることを確認・精査する。 内容の不備や不足書類等がある場合、団体に修正・再提出を求める。 第1回中間報告(8 月末までに終了した事業) 10月下旬締切第2回中間報告(9 月末までに終了した事業) 11月下旬締切第3回中間報告(10月末までに終了した事業) 12月上旬締切第4回中間報告(11月末までに終了した事業) 1 月上旬締切第5回中間報告(12月末までに終了した事業) 2 月上旬締切第6回中間報告(1 月末までに終了した事業) 3 月上旬締切※採択団体への修正依頼は、軽微な修正を含めると、ほぼ全ての採択団体で発生する。 f.令和8年度自己点検報告書等の発出(令和9年2月～3月)・令和 8 年度推進事業採択団体に対して、自己点検報告書及び成果報告書について、振興会の作成する書式を送付し、提出を求める。 想定件数：90団体程度③令和7年度助成対象活動評価のための審査書類作成・専門委員会開催補助に係る業務業務名(業務時期)業務内容a.評価資料作成・送付(令和 8 年 5月～7月)・振興会が助成対象活動評価のために委嘱した専門委員及び振興会等が利用する評価資料(評価資料を適宜まとめたもの)を電子媒体(PDF)にて作成する。 ・作成に必要なデータは振興会より提供を受ける。 ・閲覧に適するようデータの体裁を整える。 ・作成したデータは振興会に送付する。 b.専門委員会運営補助(令和 8 年 8月)・助成対象活動を評価するための専門委員会(合議、最大 2 日間を予定。各日 8 時間程度。)開催のため、速記の手配を行い、議事録を作成する。 ・専門委員会へは進行補助者1人を配置する。 ※状況次第ではリモート(Microsoft Teams 利用)併用による開催の可能性がある。 ④令和9年度助成対象活動の募集・応募受付・資料作成に係る業務業務名(業務時期)業務内容a.令和9年度助成金交付要望書の作成相談への対応(令和8年9月～11月)・応募予定団体に対して、助成金交付要望書(以下「要望書」という。)記入方法等についての問合せへの対応、助言等を行う。 事業内容等に関する相談については、振興会に取り次ぐ。 b.令和9年度要望書の受付及び一覧表の作成(令和 8年10月～11月)・応募団体から提出される要望書をデータ(Excel 及び PDF)にて受領する。 ・応募団体に対して、応募区分ごと且つ地域順に付番を行い、応募団体一覧表を作成する。 また、要望書から振興会の指定する情報(団体名、申請日、劇場・音楽堂等に関する情報、設置者に関する情報、要望額等30～50件程度)を抽出し、CSV形式で振興会に提出するほか、同内容の団体情報一覧表を作成する。 ・応募区分ごとの応募件数について、都道府県別に一覧表にまとめる。 また、採択内定後には応募状況と比較できるように一覧表を作成する。 想定件数：230団体程度(１団体当たり最大70ページ程度。全団体の合計は4GB程度)c.令和9年度要望書の確認・精査(令和 8 年 11 月～12月)・要望書に記載のある日付、団体名、施設名、事業名、応募要件との適否、収支予算の計上、助成対象経費の計上、要望額の計上、管理運営団体の概要、指定管理期間等について確認・精査を行う。 必要がある場合は、応募団体への照会を行い、不足資料を取り寄せる。 応募要件に合致しないものについては、直ちに振興会に報告し、その他指摘事項については、一覧表を作成して提出する。 d.要望書資料作成(令和 8 年 11 月～12月)・振興会が助成対象活動選定のために委嘱した専門委員及び振興会等が利用する要望書資料(要望書を適宜まとめたもの)を電子媒体(PDF)にて作成する。 ・作成に必要なデータは振興会より提供を受ける。 ・閲覧に適するようデータの体裁を整える。 ・作成したデータは振興会に送付する。 ⑤令和9年度助成対象活動選定のための審査書類作成に係る業務業務名(業務時期)業務内容a.審査表作成(令和8年11月・専門委員が審査結果を記入するため、振興会の指示する書式で要望書記載事項の団体名等10項目程度を入力した審査表(3種類程度)を～12月) 作成する。 b.審査書類送付及び回収(令和8年12月～令和9年1月)・専門委員(最大で 10 人程度)に対して、作成した要望書データ・審査表を送付する。 また、審査表の記入方法の説明、返送方法及び締め切りの周知を行う。 審査書類については、回収する。 ⑥令和9年度助成対象活動選定のための専門委員会開催補助業務業務名(業務時期)業務内容a.専門委員会資料作成(令和 9 年 1月～2月)・専門委員から回収した審査表を集計し、振興会の指示する書式で会議資料(10種類程度)を作成する。 b.専門委員会運営補助(令和 9 年 2月)・助成対象活動を選定するための専門委員会(合議、最大 3 日間を予定。各日 8 時間程度。面接審査を含む。)開催のため、速記の手配を行い、議事録を作成する。 ・専門委員会へは進行補助者1人を配置する。 ※状況次第ではリモート(Microsoft Teams 利用)併用による開催の可能性がある。 ⑦令和9年度推進事業採否結果通知の発送業務業務名(業務時期)業務内容a.令和9年度応募団体への採否結果通知の発送(令和9年3月)・振興会から提供された内定情報を受領し、内定団体に対して応募区分ごと且つ地域順に付番を行い、内定団体一覧表を作成する。 また、振興会の指定する情報(団体名、劇場・音楽堂等に関する情報、設置者に関する情報、内定額等 30～50 件程度。)を抽出し、CSV 形式で振興会に提出する。 ・振興会の作成した助成金交付内定通知書等を、受託事業者の用意した長形3号封筒へ封入し、簡易書留郵便等にて応募団体へ発送する。 想定件数：180団体、1,000枚程度※件数については団体数で示したが、地域の中核劇場・音楽堂等活性化事業については、令和7年度推進事業では1団体につき最大で3件分(公演事業・人材養成事業・普及啓発事業)、令和8・9年度推進事業では1団体につき最大で4件分(公演事業・人材養成事業・普及啓発事業・共生社会事業)あり、さらにその１区分の中に複数の事業が含まれている。 ※変更・中止等の件数は新型コロナウイルス感染症等の影響で大きく増える可能性がある。 ※(１)～(２)各項目の「業務時期」については、最大で 1 か月程度の変更の可能性がある。 ※業務スケジュールの概略は別紙の通り。 (３)その他〇問合せ対応、連絡調整業務応募予定団体及び採択団体等からの問合せ対応、団体への各種通知、振興会、文化庁、劇場・音楽堂等、専門委員との連絡調整等を、振興会からの求めに応じて効率的に行う。 適宜、振興会との打合せ及び連絡調整を行う。 問合せ対応及び連絡調整は主に平日10時～18時の間にメール、電話等にて行う。 〇各種様式作成等の作成業務審査や評価等の業務を円滑かつ効率的に進めることができるよう、各種様式や手引の作成に協力すること。 作成は主にWord、Excelで行う。 〇各種提出書類の受付業務提出書類の受付については、締切日に大量のデータを受信することが予想される。 また、受託事業者が本委託業務の納入成果物に係る著作権を自ら使用し、又は第三者をして使用させる場合、振興会と別途協議するものとする。 ①納入成果物のうち受託事業者が権利を有する著作物(以下「受託事業者の既存著作物」という。)が含まれる場合は、その「受託事業者の既存著作物」。 ただし、受託事業者が本件の契約前から権利を有するもので、受託事業者が範囲について振興会の承認を得たものに限る。 ②納入成果物のうち第三者が権利を有する著作物(以下「第三者の既存著作物」という。)が含まれる場合は、その「第三者の既存著作物」。 (２)成果物に第三者が権利を有する著作物が含まれている時は、振興会が特に使用を指示した場合を除き、受託事業者は当該著作物の使用に関して費用の負担を含む一切の手続を行うものとする。 なお、受託事業者は当該著作権者の使用許諾条件につき、振興会の了承を得るものとする。 (３)本委託業務に関し、第三者との間で著作権に係る権利侵害の紛争等が生じた場合、当該紛争の原因が専ら振興会の責めに帰す場合を除き、受託事業者は自らの負担と責任において一切を処理するものとする。 なお、振興会は紛争等の事実を知った時は、速やかに受託事業者に通知するものとする。 9. 秘密保持等(１)受託事業者は、本委託業務に係る作業を実施するに当たり、振興会から取得した資料(電子媒体、文書、図面等の形態を問わない。)を含め契約上知り得た情報を、第三者に開示又は本委託業務に係る作業以外の目的で利用しないものとする。 ただし、次の①から⑤までのいずれかに該当する情報は除くものとする。 ①振興会から取得した時点で、既に公知であるもの②振興会から取得後、受託事業者の責によらず公知となったもの③法令等に基づき開示されるもの④振興会から秘密でないと指定されたもの⑤第三者への開示又は本委託業務以外の目的で利用することにつき、事前に振興会に協議の上、承認を得たもの(２)受託事業者は、振興会の許可なく、取り扱う情報を指定された場所から持ち出し、又は複製しないものとする。 (３)受託事業者は、本委託業務に係る作業に関与した受託事業者の所属職員等が異動・退職等した後においても、機密が保持される措置を講じるものとする。 (４)受託事業者は、本委託業務に係る検収後、受託事業者の事業所内部に保有されている本委託業務に係る振興会に関する情報を、裁断等の物理的破壊、消磁その他復元不可能な方法により、速やかに抹消するとともに、振興会から貸与されたものについては、検収後1週間以内に振興会に返却するものとする。 (５)受託事業者は、個人情報の保護に関する法律(平成 15 年法律第 57 号)及び振興会個人情報管理規程(平成 17 年 4 月 1 日独立行政法人日本芸術文化振興会規程第 89号)を遵守し、個人情報を取り扱うものとする。 10. 情報セキュリティに関する受託事業者の責任(１)情報セキュリティポリシー等の遵守受託事業者は、「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)」及び「独立行政法人日本芸術文化振興会情報セキュリティポリシー(以下「セキュリティポリシー等」という。 )」に従って受託事業者組織全体のセキュリティを確保すること。 「独立行政法人日本芸術文化振興会情報セキュリティポリシー」は非公開であるが、「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)」等を、必要に応じて参照すること。 「独立行政法人日本芸術文化振興会情報セキュリティポリシー」については、契約締結後、受託事業者の求めにより開示する。 (２)情報セキュリティを確保するための体制の整備(a)受託事業者は、セキュリティポリシー等に従い、受託事業者組織全体のセキュリティを確保するとともに、振興会から求められた当該業務の実施において情報セキュリティを確保するための体制を整備すること。 当該体制には、識別・防御・検知・対応・復旧を例とした、準備から事後処理に至る全般的なインシデント対処プロセスを確立していることを含む。 (b) 振興会から求められた当該業務の実施において、機密性の確保が求められる情報を取り扱うことを踏まえ、以下の例を参考に、当該情報システムにおいて実装すべきセキュリティ機能を定めること。 ・主体認証機能・アクセス制御機能・権限管理機能・ログ管理機能・暗号化・運用管理機能(c)情報システムやアプリケーションプログラムの開発・運用・保守等の情報システムに関する業務の受託事業者においては、本委託業務の実施において、以下の対応を行うこと。 ・当該情報システムに対して振興会の意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされること。 また、当該品質保証体制が書類等で確認できること。 ・当該情報システムに振興会支給外の端末を接続する場合には、適切な情報セキュリティ対策が講じられた端末を用いること。 また、対策の実施状況については、振興会の求めに応じて説明が可能なこと。 ・情報システムに導入するソフトウェア等について、導入・構築時のみならず運用・保守期間中に発覚した脆弱性に対処すること。 (d)受託事業者は、取り扱う情報の可用性、通信の速度及び安定性、データの保存期間及び方法、データ交換の安全性及び信頼性確保のための方法等を定めて振興会と協議の上、これを実施すること。 (e)受託事業者は、自らの資本関係・役員等の情報、本委託業務の実施場所、本委託業務に従事する者の所属・専門性(情報セキュリティに係る資格(情報処理安全確保支援士等)・研修実績等)・実績及び国籍に関する情報提供を行うこと。 (f)受託事業者は、情報セキュリティに係る業務及び責務の遂行に必要な訓練等を受講した者を、本委託業務に参加させること。 (g)受託事業者は、セキュリティポリシー等に従い、情報セキュリティを確保できる環境において、本委託業務を実施すること。 (３)試験の実施(a)受託事業者は、取り扱う情報の格付け及び取扱制限、業務の特性等を踏まえ、以下を例とする情報セキュリティの観点に基づくテストを行うこと。 また実施したテストの記録を保存すること。 ・想定の範囲外のデータの入力を拒否できるか・サービス不能攻撃等により情報システムが過負荷状態に陥った場合に処理中のデータは保証されるか、レースコンディションが発生しないか(b)テストの実施に伴い、運用中の振興会の情報システムに影響を及ぼさないこと。 (c)要機密情報をテストデータとしないこと。 (４)開発環境及び開発工程ソースコードが不正に変更・消去されることを防ぐために、以下の事項を含むソースコードの管理を適切に行うこと。 (a)ソースコードの変更管理(b)ソースコードの閲覧制限のためのアクセス制御(c)ソースコードの滅失、き損等に備えたバックアップの取得(５)情報セキュリティが侵害された場合の対処本委託業務の遂行において、情報セキュリティが侵害され、又はその恐れがある場合には、直ちに振興会に報告し、当該事象の解消に向けた措置を講ずること。 これに該当する場合には、以下の事象を含む。 ①受託事業者に提供し、又は受託事業者によるアクセスを認める振興会の情報の外部への漏洩及び目的外利用②受託事業者による振興会のその他の情報へのアクセス③情報セキュリティが侵害され又はその恐れがある事象が本委託業務履行中及び契約に定める瑕疵担保責任の期間中に発生し、かつその事象が受託事業者における情報セキュリティ上の問題に起因する場合は、受託事業者の責任及び負担において次の各事項を速やかに実施すること。 (a)情報セキュリティ侵害の内容及び影響範囲を調査の上、当該情報セキュリティ侵害への対応策を立案し、振興会の承認を得た上で実施すること。 (b)発生した事態の具体的内容、原因及び実施した対応策等について報告書を作成し、振興会へ提出して承認を得ること。 (c)再発防止対策を立案し、振興会の承認を得た上で実施すること。 (d)上記のほか、発生した情報セキュリティ侵害について、振興会の指示に基づく措置を実施すること。 (６)情報セキュリティ監査の実施本委託業務の遂行における情報セキュリティ対策の履行状況を確認するために、振興会が情報セキュリティ監査の実施を必要と判断した場合は、振興会がその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査を行う(振興会が選定した事業者による監査を含む。)。 (７)履行状況の確認、改善(a)受託事業者は、本件において講ずる情報セキュリティ対策その他契約の履行状況について、定期的に報告すること。 (b)受託事業者は、本委託業務における情報セキュリティ対策の履行状況について振興会が改善を求めた場合には、振興会と協議の上、必要な改善策を立案して速やかに実施するものとする。 11. 契約不適合責任受託事業者は、本委託業務について検査が完了した日を起算日として１年間、納入成果物に対する契約不適合責任を負うものとする。 その期間内において契約不適合があることが判明した場合には、その契約不適合が振興会の指示によって生じた場合を除き(ただし、本件受託事業者がその指示が不適当であることを知りながら、又は過失により知らずに告げなかったときはこの限りでない。)、受託事業者の責任及び負担において速やかに修正等を行い、指定された日時までに再度納品するものとする。 なお、修正方法等については事前に振興会の承認を得てから着手するとともに、修正結果等についても振興会の承認を得ること。 12. 再委託(１)受託事業者が、本委託業務の全部又は一部を第三者に委任し、又は請け負わせること(以下「再委託」という。)を原則として禁止するものとする。 ただし、受託事業者が本委託業務の一部について、再委託の相手方の商号又は名称、住所、再委託する合理的な理由、再委託予定金額、再委託する業務の範囲、再委託の相手方に係る業務の履行能力等について、別途振興会が指定する再委託承認申請書に記載して提出し、振興会が了承した場合は、この限りでない。 (２)受託事業者は、再委託の相手方が行った作業について全責任を負うものとする。 また、受託事業者は再委託の相手方に対して、本仕様書「8.知的財産の帰属等」、「9秘密保持等」、「10.情報セキュリティに関する受託事業者の責任」を含め、本委託業務の受託事業者と同等の義務を負わせるものとし、再委託の相手方との契約においてその旨を定めるものとする。 (３)受託事業者は、再委託先において採る情報セキュリティ対策について、振興会に報告すること。 (４)受託事業者は、再委託の相手方に対して、定期的又は必要に応じて、作業の進捗状況及び情報セキュリティ対策の履行状況について報告を行わせるなど、適正な履行の確保に努めるものとする。 また、受託事業者は、振興会が本委託業務の適正な履行の確保のために必要があると認める時は、その履行状況について振興会に対し報告し、又は振興会が自ら確認することに協力するものとする。 (５)受託事業者は、振興会が承認した再委託の内容について変更しようとする時は、変更する事項及び理由等について記載した申請書を提出し、振興会の承認を得るものとする。 13. その他(１)委託業務完了報告書の提出後に、受託事業者の責任による業務の誤り等が判明した場合には、振興会の指定する日時までに指示内容を修正するものとする。 (２)提出した委託業務完了報告書について、即時説明のできる体制を整えること。 (３)本委託業務の実施に当たり、必要な経費はすべて受託事業者の負担とする。 (４)設定された期限内に業務が完了できるよう、業務量に応じて必要な人数・業務体制を確保すること。 (５)仕様書に定めのない事項がある場合、または疑義が生じた場合には、振興会の指示に従うこと。 【別紙 業務カレンダー】令和8年 令和9年4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月(１) a.ウェブサイト公開b.ウェブサイト情報掲載及び更新c.ウェブサイト引継ぎ(２) a.令和7年度精算手続に関する受付・確認・精査・修正指示b.令和7年度自己点検報告書等の受付・確認a.令和8年度助成金交付申請書の受領及び一覧表の作成b.申請書の確認・精査・修正指示c.助成金交付決定通知書の発送d.令和8年度助成対象活動の変更・中止等の受付・確認・精査・修正指示e.令和8年度精算手続に関する受付・確認・精査・修正指示f.令和8年度自己点検報告書等の発出a.評価資料作成・送付b.専門委員会運営補助a.令和9年度助成金交付要望書の作成相談への対応b.令和9年度要望書の受付及び一覧表の作成c.令和9年度要望書の確認・精査d.要望書資料作成a.審査表作成b.審査書類送付及び回収a.専門委員会資料作成b.専門委員会運営補助a.令和9年度応募団体への採否結果通知の発送※ 業務が集中する時期を塗りつぶしで示し、集中しないが発生が想定される時期を矢印で示した。 ー ー ー 3.1 情報セキュリティガバナンスのプロセスー ー ー 3.1.1 概要ー ー ー経営陣は、情報セキュリティを統治するために、評価、指示、モニタ及びコミュニケーションの各プロセスを実行する。 さらに、保証プロセスによって、情報セキュリティガバナンス及び達成したレベルについての独立した客観的な意見が得られる。 3.1.2 評価評価とは、現在のプロセス及び予定している変更に基づくセキュリティ目的の現在及び予想される達成度を考慮し、将来の戦略的目的の達成を最適化するために必要な調整を決定するガバナンスプロセスである。 “評価”プロセスを実施するために、経営陣は、次のことを行う。 3.1.2.1 経営陣は、事業の取組みにおいて情報セキュリティ問題を考慮することを確実にする。 ・経営陣は、管理者に、情報セキュリティが事業目的を十分にサポートし、支えることを確実にさせる。 3.1.2.2 経営陣は、情報セキュリティのパフォーマンス結果に対応し、必要な処置の優先順位を決めて開始する。 3.1.2.3 経営陣は、管理者に、重大な影響のある新規情報セキュリティプロジェクトを経営陣に付託するようにさせる。 3.1.3 指示指示は、経営陣が、実施する必要がある情報セキュリティの目的及び戦略についての指示を与えるガバナンスプロセスである。 指示には、資源供給レベルの変更、資源の配分、活動の優先順位付け並びに、方針、適切なリスク受容及びリスクマネジメント計画の承認が含まれる。 “指示”プロセスを実施するために、経営陣は次のことを行う。 3.1.3.1 経営陣は、その組織のリスク選好を決定する。 3.1.3.2 経営陣は、情報セキュリティの戦略及び方針を承認する。 (ア)経営陣は、管理者に、情報セキュリティの戦略及び方針を策定・実施させる。 (イ)経営陣は、管理者に、情報セキュリティの目的を事業目的に合わせて調整させる。 3.1.3.3 経営陣は、適切な投資及び資源を配分する。 3.1.3.4 経営陣は、管理者に、情報セキュリティに積極的な文化を推進させる。 3.1.4 モニタモニタは、経営陣が戦略的目的の達成を評価することを可能にするガバナンスプロセスである。 “モニタ”プロセスを実施するために、経営陣は次のことを行う。 3.1.4.1 経営陣は、情報セキュリティマネジメント活動の有効性を評価する。 (ア)経営陣は、管理者に、事業の観点から適切なパフォーマンス指標を選択させる。 (イ)経営陣は、管理者に、経営陣が以前に特定した措置の実施及びそれらの組織への影響を含む、情報セキュリティのパフォーマンス成果についてのフィードバックを経営陣へ提供させる。 3.1.4.2 経営陣は、内部及び外部の要求事項への適合性を確実にする。 3.1.4.3 経営陣は、変化する事業、法制度、規制の環境、及びそれらの情報リスクへの潜在的影響を考慮する。 3.1.4.4 経営陣は、管理者に、情報リスク及び情報セキュリティに影響する新規開発案件について、経営陣に対し注意を喚起させる。 3.1.5 コミュニケーションコミュニケーションは、経営陣及び利害関係者が、双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のガバナンスプロセスである。 コミュニケーションの方法の一つは、情報セキュリティの活動及び課題を利害関係者に説明する情報セキュリティ報告書である。 “コミュニケーション”プロセスを実施するために、経営陣は次のことを行う。 3.1.5.1 経営陣は、外部の利害関係者に、組織がその事業特性に見合った情報セキュリティのレベルを実践していることを報告する。 3.1.5.2 経営陣は、管理者に、情報セキュリティ課題を特定した外部レビューの結果を通知し、是正処置を要請する。 3.1.5.3 経営陣は、情報セキュリティに関する規制上の義務、利害関係者の期待及び事業ニーズを認識する。 3.1.5.4 経営陣は、管理者に、注意が必要な問題、また、できれば決定が必要な問題について、経営陣へ助言させる。 3.1.5.5 経営陣は、管理者に、関連する利害関係者に対し、経営陣の方向性及び決定を支援するためにとるべき詳細な行動を、経営陣の方向性及び決定に沿って説明させる。 ガバナンス基準①全ての要求事項に対して「可否」欄に〇か×を入力すること。 ×を入力する場合は、「×の場合の代替措置」欄も合わせて記入すること。 ②組織としてISO27001を取得している場合は、「ISO27001適用」欄に〇が付いている項目は「可否」欄にISOを入力したうえで確認を省略できる。 ③回答・代替措置の内容について、根拠資料の提出を求めることがある。 組織全体として情報セキュリティの対策を確実に遂行するための体制を整備している。 また、経営陣は、管理者に対して優先度に即した対応を行わせるなど、重大な情報セキュリティプロジェクトの進捗を管理している。 経営陣は、情報セキュリティ戦略及び方針を事業目的に合わせて策定・実施させており、積極的にセキュリティを順守する文化を醸成している。 また、リスクマネジメントも適切に行い、必要な投資及び資源の配分を行っている。 経営陣は、情報セキュリティの措置状況を必要に応じて確認し、環境の変化を考慮しつつ、組織内部及び外部(法令・規制等も含む)が必要とするセキュリティ要件に常に適合できるようにしている。 経営陣は、事業特性に見合った情報セキュリティのレベルを実践していることを明示している。 また、振興会が要求するセキュリティ事項を認識し、組織として対応を行うことができる体制をもっている。 ISMAP管理基準No. 要件概要 可否ISO27001適用×の場合の代替措置1 2 3 4無 無 無 無3.1.6 保証保証は、経営陣が独立した客観的な監査、レビュー又は認証を委託するガバナンスプロセスである。 これは、望ましいレベルの情報セキュリティを達成するためのガバナンス活動の実行及び運営の遂行に関連した目的及び処置を特定し、妥当性を検証する。 “保証”プロセスを実施するために、経営陣は次のことを行う。 3.1.6.1 経営陣は、要求している情報セキュリティ水準に対し、どのように説明責任を果たしているかについて、独立した客観的な意見を監査人等に求める。 3.1.6.2 経営陣は、管理者に、経営陣が委託する監査、レビュー又は認証をサポートさせる。 ー ー ー 4.1 マネジメント基準ー ー ーマネジメント基準は、JIS Q 27001:2014を基に、情報セキュリティについて組織を指揮統制するために調整された活動である情報セキュリティマネジメントを確立、導入、運用、監視、維持及び改善するための基準を定める。 マネジメント基準は、原則としてすべて実施しなければならないものである。 ー ー ー 4.2 記載内容についてー ー ー「情報セキュリティ管理基準」の「マネジメント基準」に同じ。 クラウドサービスにおいては、クラウドサービス利用者の環境等を考慮して、クラウドサービス提供者の管理策等を検討し、実施する必要がある。 そのため、クラウドサービス利用者及びクラウドサービス事業者間において、クラウドサービスにおける情報セキュリティリスクとその対応について、情報交換することが非常で重要である。 当該情報セキュリティリスクコミュニケ―ションについては、クラウドサービスにおいて特に考慮するべき事項として、4.9章に規定する。 ー ー ー 4.3 凡例ー ー ー2.3章以降は、以下の構成をとる。 2.3 情報セキュリティマネジメント確立 [27001-4]2.3.1 組織の役割、責任及び権限 [27001-5.3 / 5.1]2.3.1.1 トップマネジメントは、情報セキュリティマネジメントに関するリーダーシップ及びコミットメントを発揮する。 [27001-5.1b) /5.1e) / 5.1f)]その際は、以下を行うこととする。 ・組織のプロセスへ、その組織が必要とする情報セキュリティマネジメント要求事項を統合する ：[27001-X.X.X]は、JIS Q 27001:2014において関連する条項(X.X.X)を示す。 ー ー ー 4.4 情報セキュリティマネジメントの確立 [27001-4.4]ー ー ー情報セキュリティマネジメントを確立するために、その基盤となる適用範囲を決定し、方針を確立する。 これらをもとに、情報セキュリティリスクアセスメントを実施し、その対応を計画し実施する。 それにより、組織が有効な情報セキュリティマネジメントを実施するための基盤作りを行う。 4.4.1 組織の役割、責任及び権限 [27001-5.3 / 5.1]4.4.1.1 トップマネジメントは、情報セキュリティマネジメントに関するリーダーシップ及びコミットメントを発揮する。 [27001-5.1b) / 5.1e) / 5.1f)]・組織のプロセスへ、その組織が必要とする情報セキュリティマネジメント要求事項を統合する。 ・情報セキュリティマネジメントがその意図した成果を達成することを確実にする。 ・情報セキュリティマネジメントの有効性に寄与するよう人々を指揮し、支援する。 また、トップマネジメントがリーダーシップ及びコミットメントを発揮していることを以下により確認する。 ・経営会議等の議事録に、トップマネジメントの情報セキュリティマネジメントに関する意思、判断、指示等が記録されていること。 ・情報セキュリティ方針、情報セキュリティ目的及びそれを達成する計画を策定する際に、トップマネジメントの意思、判断、指示等が含まれていること。 ・達成すべきセキュリティの水準として、リスクレベルをトップマネジメントが決定していること。 ・リスクレベルに応じて選択したセキュリティ管理策を実施させる際に、トップマネジメントの意思、判断、指示等が含まれていること。 ・内部監査において確認すべき事項に、トップマネジメントが要求する情報セキュリティ要求事項等が含まれていること。 ・内部監査報告書やそれらに基づく是正処置、マネジメントビュー議事録等に、トップマネジメントの意思、判断、指示等が含まれていること。 4.4.1.2 トップマネジメントは、組織の役割について、以下の責任及び権限を割り当て、伝達する。 [27001-5.3]・情報セキュリティマネジメントを、本管理基準の要求事項として適合させる。 ・情報セキュリティマネジメントのパフォーマンス評価をトップマネジメントに報告する。 また、情報セキュリティマネジメントを本管理基準の要求事項に適合させるために、以下のような責任・権限を割り当てていることを確認する。 ・セキュリティ要求事項を盛り込んだ情報セキュリティ方針等の文書を策定する責任・権限・リスクアセスメントにおいて、リスクを運用管理する責任･権限を持つリスク所有者・セキュリティ要求事項を満たす管理策を教育、普及させる責任・権限・セキュリティ要求事項を満たしているか監査する責任・権限・各プロセスの結果及び効果をトップマネジメントに報告する責任・権限・各プロセスの結果及び効果を組織内に周知する責任・権限4.4.1.3 トップマネジメントは、管理層がその責任の領域においてリーダーシップを発揮できるよう、管理層の役割を支援する。 [27001-5.1h)]管理層が、その職掌範囲、組織等において、リーダーシップを発揮できるよう、トップマネジメントは、管理層に、必要な権限を委譲していることを確認する。 マネジメント基準必要な情報セキュリティ水準を確保していることを客観的に証明するために、外部機関による監査を行っている。 組織は、情報セキュリティマネジメントが有効に行われるように、次の事項を実施している。 ・情報セキュリティ方針・計画等、経営会議等の議事録、内部監査の報告等に経営陣の情報セキュリティマネジメントの意思、判断、指示等を含めている。 ・達成すべきセキュリティの水準として、リスクレベルを経営陣が決定している。 ・内部監査において確認すべき事項に、経営陣が要求する情報セキュリティ要求事項等を含めている。 ・情報セキュリティ方針、リスクアセスメント等の策定、セキュリティ管理策の教育・普及、セキュリティ基準適合の監査、組織内及び経営陣への報告に関わる責任・権限を適切に設定している。 ・経営陣は、管理層がその責任の領域においてリーダーシップを発揮できるよう、管理層の役割を支援している。 5 6〇 無4.4.2 組織及びその状況の理解 [27001-4.1]4.4.2.1 組織は、組織の目的に関連し、かつ、情報セキュリティマネジメントの意図した成果を達成する組織の能力に影響を与える、以下の課題を決定する。 [27001-4.1]・外部の課題・内部の課題これらの課題の決定とは、組織の外部状況及び内部状況の確定のことをいう。 外部状況及び内部状況には、以下のようなものが含まれる。 a) 外部状況・国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境・組織の目的に影響を与える主要な原動力及び傾向・外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観b) 内部状況・統治、組織体制、役割及びアカウンタビリティ・方針、目的及びこれらを達成するために策定された戦略・資源及び知識として見た場合の能力(例えば、資本、時間、人員、プロセス、システム及び技術)・情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。)・内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観・組織文化・組織が採択した規格、指針及びモデル・契約関係の形態及び範囲4.4.3 利害関係者のニーズ及び期待の理解 [27001-4.2]4.4.3.1 組織は、利害関係者のニーズ及び期待を理解するために、以下を決定する。 [27001-4.2]・情報セキュリティマネジメントに関連する利害関係者・利害関係者の、情報セキュリティに関連する要求事項 利害関係者の要求事項には、法的及び規制の要求事項並びに契約上の義務を含めてもよいが、利害関係者には、以下のようなものが含まれる。 ・組織内で情報セキュリティマネジメントプロセスを推進する役割・権限を持つ人又は組織。 例えば、以下のようなものをいう。 -情報セキュリティに関する方針等を策定する人又は組織(トップマネジメント等) -セキュリティ管理策を全組織に徹底させる人又は組織(総務部、情報システム部等) -情報セキュリティ監査を行う人又は組織(監査室等) -組織内の情報セキュリティ専門家 ・取引先、パートナー、サプライチェーン上の関係者 ・親会社、グループ会社 ・当該組織のセキュリティを監督する省庁、政府機関 ・所属するセキュリティ団体、協会4.4.4 適用範囲の決定 [27001-4.3]情報セキュリティマネジメントを確立、導入、運用、監視、レビュー、維持及び改善するために、まず適用範囲を明確にし、組織に合った情報セキュリティマネジメントを構築する基盤を整える。 4.4.4.1 組織は、情報セキュリティマネジメントの境界及び適用可能性を明確にし、適用範囲を決定する。 [27001-4.3]a) 組織は以下の点を考慮して適用範囲及び境界を定義する。 ・自らの事業・体制・所在地・資産・技術の特徴・外部及び内部の課題・利害関係者の情報セキュリティに関連する要求事項・組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係b) 情報セキュリティマネジメントの目的や目標は、組織の特徴によって異なる。 c) 情報セキュリティマネジメントに対する要求事項はそれぞれの組織の事業によって、外部状況、内部状況の双方があり、これらを考慮して適用範囲を定義する。 ・外部状況には、以下のようなものが含まれる。 －国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境－組織の目的に影響を与える主要な原動力及び傾向－外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観・内部状況には、以下のようなものが含まれる。 －統治、組織体制、役割及びアカウンタビリティ－方針、目的及びこれらを達成するために策定された戦略－資源及び知識として見た場合の能力(例えば、資本、時間、人員、プロセス、システム及び技術)－情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。)－内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観－組織文化－組織が採択した規格、指針及びモデル－契約関係の形態及び範囲7 8 9組織は、組織内外に存する以下の状況を明確にしている。 ・国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境・組織の目的に影響を与える主要な原動力及び傾向・外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観・統治、組織体制、役割及びアカウンタビリティ・方針、目的及びこれらを達成するために策定された戦略・資源及び知識として見た場合の能力(例えば、資本、時間、人員、プロセス、システム及び技術)・情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。)・内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観・組織文化・組織が採択した規格、指針及びモデル・契約関係の形態及び範囲組織は、取引先、パートナー、サプライチェーン、グループ企業等、関係省庁等利害関係者からのニーズ及び期待を理解するために、以下を明確にしている。 ・情報セキュリティマネジメントに関連する利害関係者・利害関係者からの情報セキュリティに関連する法的及び規制の要求事項並びに契約上の義務組織は、情報セキュリティマネジメントの適用範囲及び境界を以下の点を考慮して定義している。 また、適用範囲の決定は、組織内外の状況に応じて適切に行っている。 ・自らの事業・体制・所在地・資産・技術の特徴・外部及び内部の課題・利害関係者の情報セキュリティに関連する要求事項・組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係〇 〇 〇4.4.5 方針の確立 [27001-5.2 / 6.2 / 5.1]4.4.5.1 トップマネジメントは、以下を満たす組織の情報セキュリティ方針を確立する。 [27001-5.2]・組織の目的に対して適切であること。 ・情報セキュリティ目的、又は情報セキュリティ目的を設定するための枠組・情報セキュリティに関連して適用する要求事項を満たすことへのコミットメントを含むこと。 ・情報セキュリティマネジメントの継続的改善へのコミットメントを含むこと。 また、情報セキュリティ方針は情報セキュリティマネジメントにおける判断の基盤となる考え方を記載したものであり、組織の戦略に従って慎重に作成する。 4.4.5.2 組織は、情報セキュリティ目的及びそれを達成するための計画を策定する。 [27001-6.2]a) 情報セキュリティ目的は、以下を満たすこととする。 ・情報セキュリティ方針と整合していること。 ・(実行可能な場合)測定可能であること。 ・適用される情報セキュリティ要求事項、並びにリスクアセスメント及びリスク対応の結果を考慮に入れること。 b) 情報セキュリティ目的は、関係者に伝達し、必要に応じて更新するとともに、情報セキュリティ目的を達成するための計画においては、以下を決定する。 ・実施事項・必要な資源・責任者・達成期限・結果の評価方法4.4.5.3 トップマネジメントは、以下によって、情報セキュリティマネジメントに関するリーダーシップ及びコミットメントを発揮する。 [27001-5.1a)]・情報セキュリティ方針及び情報セキュリティ目的を確立すること。 ・情報セキュリティ方針及び情報セキュリティ目的は組織の戦略的な方向性と相矛盾しないこと。 また、情報セキュリティ方針は組織に伝えられるように文書化され、しかるべき方法で利害関係者が入手できるようにするとともに、トップマネジメントが情報セキュリティ方針にコミットした証拠を、以下のような記録をもって示す。 ・文書化された情報セキュリティ方針への署名・情報セキュリティ方針が議論された会議の議事録 これらはトップマネジメントの責任を明確にするために実施する。 4.4.6 リスク及び機会に対処する活動 [27001-6.1]4.4.6.1 リスク及び機会を決定する。 [27001-6.1.1]a) 組織は、外部及び内部の課題、利害関係者の情報セキュリティに関連する要求事項を考慮し、以下のために対処する必要があるリスク及び機会を決定する。 ・情報セキュリティマネジメントが、組織が意図した成果を達成する。 ・望ましくない影響を防止又は低減する。 ・継続的改善を達成する。 当該決定の際、組織は、以下を計画する。 ・決定したリスク及び機会に対処する活動・リスク及び機会に対処する活動の情報セキュリティマネジメントプロセスへの統合及び実施方法・リスク及び機会に対処する活動の有効性の評価方法b) リスク及び機会に対処する活動の記録として、具体的な対処計画(実施時期、実施内容、実施者、実施場所、実施に必要な資源などを規定した計画)を作成していることを確認するとともに、当該計画を作成する際、各対処計画が、情報セキュリティマネジメントプロセスの一部として実施されるよう、考慮するとともに、当該対処の有効性を評価する方法(実施状況や実施したことによる効果を評価する方法)を作成していることも確認する。 経営陣は、以下を踏まえた組織の情報セキュリティ方針を確立している。 ・組織の目的に対して適切である。 ・情報セキュリティ目的、又は情報セキュリティ目的を設定するための枠組を含める。 ・必要な情報セキュリティ対応についての言及を含める。 ・情報セキュリティマネジメントの見直しを適宜行う。 組織は、情報セキュリティの目的及びその達成計画を策定している。 目的は、情報セキュリティ方針と整合性があるものとし、測定できるようものとしている。 また、リスクマネジメントを考慮に入れている。 計画では、次のことを決定している。 ・実施事項・必要な資源・責任者・達成期限・結果の評価方法経営陣は、上記方針・目的を組織運営と矛盾しないように確立し、その方針を文書として記録し、承認を行っている。 組織は、対処すべきリスクを明確にし、その影響を恒久的に防止又は低減するための機会を設け、具体的な対応計画を立てている。 計画立案については、その対応方法が有効であることを確認できるようにしている。 1011〇 〇4.4.7 情報セキュリティリスクアセスメント [27001-6.1.2]4.4.7.1 組織は、以下によって、情報セキュリティリスクアセスメントのプロセスを定め、適用する。 [27001-6.1.2a) / 6.1.2b)]a) 以下を含む情報セキュリティのリスク基準を確立し、維持する。 ・リスク受容基準・情報セキュリティリスクアセスメントを実施するための基準b) リスク受容基準に、以下を反映するよう、考慮する。 ・組織の価値観・目的・資源c) リスク受容基準を策定する際には、以下の点を考慮する。 ・原因及び発生し得る結果の特質及び種類、並びにこれらの測定方法・発生頻度・発生頻度、結果を考える時間枠・リスクレベルの決定方法・利害関係者の見解・リスク基準は、法令及び規制の要求事項、並びに組織が合意するその他の要求事項によって、組織に課せられるもの又は策定されるものもあること。 d) 情報セキュリティアセスメントを繰り返し実施した際に、以下の結果を生み出すこと。 ・情報セキュリティリスクアセスメントの結果に、一貫性及び妥当性があること。 ・情報セキュリティリスクアセスメントの結果が比較可能であること。 なお、情報セキュリティマネジメントにおけるリスクアセスメント手法には、定番といえるものがなく、それぞれの組織に適合したものを選択している場合が多いことから、必要に応じてツールを利用するなどが必要になる。 4.4.7.2 組織は、以下によって、情報セキュリティリスクを特定する。 [27001-6.1.2c)]a) 情報セキュリティリスクアセスメントのプロセスを適用し、情報の機密性、完全性及び可用性の喪失に伴うリスクを特定する。 b) リスクを特定する過程において、リスク所有者を特定する。 c) リスクを特定する際には、以下について考慮する。 ・リスク源 が組織の管理下にあるか否かに関わらず、リスク源又はリスクの原因が明らかでないリスクも特定の対象にすること。 ・波及効果及び累積効果を含めた、特定の結果の連鎖を注意深く検討すること。 ・何が起こり得るのかの特定に加えて、考えられる原因及びどのような結果が引き起こされることがあるのかを示すシナリオ・全ての重大な原因及び結果・以下を特定すること。 －リスク源 －影響を受ける領域、事象 －原因及び起こり得る結果 この段階で特定されなかったリスクは、今後の分析の対象から外されてしまうため、ある機会を追及しなかったことに伴うリスクも含め、リスクの包括的な一覧を作成する。 4.4.7.3 組織は、以下によって、情報セキュリティリスクを分析する。 [27001-6.1.2d)]a) 以下の手順によりリスク分析を行う。 ・特定されたリスクが実際に生じた場合に起こり得る結果の分析を行う。 ・特定されたリスクの発生頻度の分析を行う。 ・リスクレベルを決定する。 ・特定した脅威やぜい弱性を基に、以下の点を考慮する。 －セキュリティインシデントが発生した場合の事業影響度－セキュリティインシデントの発生頻度－管理策が適用されている場合はその効果b) リスク分析の際には、以下の点についても考慮する。 ・リスクの原因及びリスク源・リスクの好ましい結果及び好ましくない結果・リスクの発生頻度・リスクの結果及び発生頻度に影響を与える要素 なお、リスク分析は、状況に応じて、定性的、半定量的、定量的、又はそれらを組み合わせた手法で行うことが可能である。 4.4.7.4 組織は、以下によって、情報セキュリティリスクを評価する。 [27001-6.1.2e)]・リスク分析の結果、決定されたリスクレベルとリスク基準との比較をする。 ・リスク対応のための優先順位付けを行う。 ・リスク評価の結果は今後の改善に利用するため保管する。 なお、リスク対応の優先順位を決定する際には、より広い範囲の状況を考慮し、他者が負うリスクの受容レベルについて考慮するとともに、法令、規制、その他の要求事項についても考慮する。 組織は、リスク受容基準並びにリスクアセスメント実施基準を定めている。 受容基準は組織の価値観、目的、資源を含め、以下を考慮して定めており、アセスメントの結果は、客観的に一貫性及び妥当性がある。 ・原因及び発生し得る結果の特質及び種類、並びにこれらの測定方法・発生頻度、結果を考える時間枠・リスクレベルの決定方法・利害関係者の見解・組織に課せられるもの又は策定されるものであることまた、情報セキュリティリスクを、以下を考慮のうえ、リスク所有者毎に特定し、それらが発生した場合の結果の分析および、評価を行っている。 ・リスク源 が組織の管理下にあるか否かに関わらず、リスク源又はリスクの原因が明らかでないリスクも特定の対象とする。 ・波及効果及び累積効果を含めた、特定の結果の連鎖を注意深く検討する。 ・何が起こり得るのかの特定に加えて、考えられる原因及びどのような結果が引き起こされることがあるのかを示すシナリオ・全ての重大な原因及び結果・リスク源、影響範囲・結果なお、リスク対応の優先順位を決定する際には、他者が負うリスクの受容レベルについても考慮するとともに、法令、規制、その他の要求事項についても考慮している。 12 〇4.4.8 情報セキュリティリスク対応 [27001-6.1.3]4.4.8.1 組織は、情報セキュリティアセスメントの結果を考慮して、適切な情報セキュリティリスク対応の選択肢を選定する。 [27001-6.1.3a)]情報セキュリティリスク対応の選択肢には、以下が含まれる。 ・リスクを生じさせる活動を開始又は継続しないと決定することによるリスクの回避・ある機会を目的としたリスクの引受け又はリスクの負担・リスク源の除去・発生頻度の変更・結果の変更・(契約及びリスクファイナンス を含む)他者とのリスクの共有・情報に基づいた意思決定によるリスクの保有 さらに、リスク対応の評価や改善に役立てるため、どの選択肢を選んだ場合も、その理由を明確にし、記載する。 4.4.8.2 組織は、選定した情報セキュリティリスク対応の実施に必要な全ての管理策を決定する。 [27001-6.1.3b)] リスク対応のための方針を決めた上で、管理策の目的(管理目的)及び管理策について検討する。 以下を考慮しつつ、対応による効果と対応に必要な費用及び労力のバランスを取り、適切な情報セキュリティ対応の選択肢を選定する。 ・リスクの受容可能レベル・関連する法令・規制や契約上の要求事項・その他の社会的責任 なお、具体的な管理策の選定においては、管理目的に対応した「管理策基準」から適切なものを選択するが、「管理策基準」はすべてを網羅しているわけではないので、組織の事業や業務などによってその他の管理策を追加してもよい 。 4.4.8.3 組織は、管理策が見落とされていないことを検証する。 [27001-6.1.3c)] 必要な管理策の見落としがないか、管理策基準を参照するが、管理策基準に示す管理目的及び管理策以外の管理目的及び管理策が必要になった場合、他の管理目的及び管理策を追加することができる。 4.4.8.4 組織は、情報セキュリティリスク対応計画を策定する。 [27001-6.1.3e)]a)情報セキュリティリスク対応計画には、以下を含む。 ・期待される効果を含む、対応選択肢選定の理由・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者・対応内容・必要な資源・費用・労力、制約・後日の報告、監視に必要な要求事項・対応工程における節目ごとの目標・対応時期及び日程b) 責任及び権限について 情報セキュリティマネジメントにおいては最終的な承認をトップマネジメントが行っていることがほとんどであり、責任がトップマネジメントに集中している。 一方で、情報セキュリティリスクアセスメント及びリスク対応については、責任及び権限を持つリスク所有者が、責任及び権限を持つ。 リスク所有者は、トップマネジメント、又はトップマネジメントから任命され、責任及び権限が委譲された者であることが多いことから、情報セキュリティマネジメントにおいて、トップマネジメント及びリスク所有者が、どのような責任を持つかについて明確にする。 4.4.8.5 組織は、リスク所有者から、情報セキュリティリスク対応計画について承認を得、かつ、リスク所有者に、残留している情報セキュリティリスクを受け入れてもらう。 [27001-6.1.3f)]すべてのリスクについて管理目的や管理策を選択した時点で、残留リスクについて明確にし、今後の対応計画を作成する。 計画の作成においては以下の点について考慮する。 ・技術的に対応可能になる時期・コスト的に対応可能になる時期 残留リスクについては、定期的に見直しを行い、必要に応じて、対応の対象とするとともに、リスク対応後の残留リスクについては、リスク所有者のほか、経営陣やその他の利害関係者に認識させることを考慮する。 また、リスク所有者の責任を明確にするために、承認された会議の議事録を正しく保管する。 組織は、情報セキュリティアセスメントの結果を考慮して、以下に示す情報セキュリティリスク対応の選択肢を選定している。 ・リスクを生じさせる活動を開始又は継続しないと決定することによるリスクの回避・ある機会を目的としたリスクの引受け又はリスクの負担・リスク源の除去・発生頻度の変更・結果の変更・(契約及びリスクファイナンス を含む)他者とのリスクの共有・情報に基づいた意思決定によるリスクの保有また、選定した情報セキュリティリスク対応の実施に必要な全ての管理策を以下を考慮しつつ決定している。 ・リスクの受容可能レベル・関連する法令・規制や契約上の要求事項・その他の社会的責任加えて、組織は、以下を含む情報セキュリティリスク対応計画を策定している。 残留リスクについては定期的に実施状況を踏まえた見直しを行い、経営陣や利害関係者に認識させている。 ・期待される効果を含む、対応選択肢選定の理由・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者・対応内容・必要な資源・費用・労力、制約・後日の報告、監視に必要な要求事項・対応工程における節目ごとの目標・対応時期及び日程・残留リスクが生じる場合は、技術的またはコスト的に対応可能になる時期13 〇ー ー ー 4.5 情報セキュリティマネジメントの運用 [27001-8]4.5.1 資源管理 [27001-7.1 / 5.1]4.5.1.1 組織は、情報セキュリティマネジメントの確立、実施、維持及び継続的改善に必要な資源を決定し、提供する。 [27001-7.1] 管理目的を満たすためには、継続的に管理策を実施するとともに、人員の増加、システムの増加などの環境の変化に対応するために、適切な時期に適切に提供できるよう、経営資源を確保する。 4.5.1.2 トップマネジメントは、情報セキュリティマネジメントに必要な資源が利用可能であることを確実にするため、以下のような資源を割り当てる。 [27001-5.1c)]・情報セキュリティマネジメントの各プロセスに必要な人又は組織・情報セキュリティマネジメントの各プロセスに必要な設備、装置、システム・上記に必要な費用4.5.2 力量、認識 [27001-7.2 / 7.3 / 5.1]4.5.2.1 トップマネジメントは、有効な情報セキュリティマネジメント及びその要求事項への適合の重要性を伝達する。 [27001-5.1d)] トップマネジメントは情報セキュリティマネジメントについて責任を負うが、実施においては組織全体の協力が必要であることを、情報セキュリティ方針と共に関係者に伝える。 また、組織が同じ規定に従って同じ判断ができるように、情報分類等の基準を策定するが、個人情報のように組織によって解釈が一部異なる情報の場合は、一般的な考え方に加え、自社の考え方を明確にした上で、関係者に伝える。 4.5.2.2 組織は、組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。 [27001-7.2a)] 情報セキュリティマネジメントに関係する業務及び影響のある業務を特定し、役割を明確にした業務分掌を作成する。 これらの業務分掌においては以下の点を明確にする。 ・役職名 ・業務内容 ・担当者の責任範囲 ・業務に必要な知識 ・業務に必要な資格 ・業務に必要な経験 知識や資格、経験などは環境や目的の変化によって変更される可能性があるため、最新の情報となるように随時見直しを行う。 4.5.2.3 組織は、適切な教育、訓練又は経験に基づいて、組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)が力量を備えられるようにする。 [27001-7.2b)] 適用される処置には、例えば、現在雇用している人々に対する教育訓練の提供、指導の実施、配置転換の実施などがある(教育や訓練などが間に合わないと判断される場合には相応の力量を有した要員の雇用が、また、社内業務との関連が少ない業務においては外部委託などがある。)。 4.5.2.4 組織は、必要な力量を身に着けるための処置をとり、とった処置の有効性を評価する。 [27001-7.2c)] 必要な力量を身に着けるための処置としては、教育訓練が重要である。 教育は「必要な知識を得させる」、訓練は「必要なスキル及び経験を得させる」ために実施する。 教育の内容は一般的な脅威やぜい弱性などの知識だけではなく、業務上のリスクについてなど、組織の特徴を反映した内容を盛り込むなど、実効性のある内容となるようにする。 教育及び訓練を実施した結果、必要な力量が持てたかどうかを確認するために、以下を実施する。 ・知識の確認テスト ・スキルの実習テスト ・チェックリストなどによるベンチマーク 実施結果については記録し、要員選択の客観性を確保する。 4.5.2.5 組織は、力量を常に把握し、その証拠として、適切な文書化した情報を組織が定めた期間保持する。 [27001-7.2d)]教育、訓練については以下を検討し、定期的に実施する。 ・教育・訓練基本計画・教育・訓練実施計画・確認テスト又は評価報告教育や訓練の一部を免除する場合は、それがどの技能や経験、資格に当てはまるかを明確にし、それぞれの担当者について調査し、一覧にする。 資格については有効期限などを明確にし、更新する。 4.5.2.6 組織の管理下で働く人々は、情報セキュリティ方針を認識する。 [27001-7.3a)]情報セキュリティの活動について、組織が定めた目的と重要性について、情報セキュリティ方針の通達や教育の一環として周知徹底することによって、管理策がなぜ実施されているのかについての関係者の理解を深める。 4.5.2.7 組織の管理下で働く人々は、情報セキュリティパフォーマンスの向上によって得られる便益を含む、情報セキュリティマネジメントの有効性に対する自らの貢献を認識する。 [27001-7.3b)]以下の点について組織の管理下で働く人々に伝えることによって、各人の役割及び情報セキュリティマネジメントの有効性に対する自らの貢献を明確にする。 ・情報セキュリティマネジメントにおけるそれぞれの役割 ・役割を実行するための業務と手順(異常を検知した場合の報告手順も含む。) ・これらが記載された文書の所在4.5.2.8 組織の管理下で働く人々は、情報セキュリティマネジメントの要求事項に適合しないことの意味を認識する。 [27001-7.3c)]組織は、情報セキュリティマネジメントの確立、実施、維持及び継続的改善に必要な資源(人、組織、設備、システム、費用等)を決定し、提供している。 経営陣は、情報セキュリティマネジメントの重要性を組織内に伝達し、協力体制及び連絡を明確に行うための体制を構築している。 情報セキュリティマネジメントに関連する業務及び影響のある業務を特定したうえで、役割を明確にした業務分掌を以下の点を考慮して作成している。 随時見直しを行いつつ、業務が円滑に行えるようにしている。 ・役職名・業務内容・担当者の責任範囲・業務に必要な知識・業務に必要な資格・業務に必要な経験また、教育・訓練を行い、必要なスキルを取得させている。 教育・訓練はその計画を事前に策定し、経営陣の承認を得たうえで実施し、確認のテストや結果の評価を行っている。 加えて、各自は、情報セキュリティマネジメントにおけるそれぞれの役割、役割を実行するための業務と手順を認識しており、これらは文書で随時確認することができる。 1415〇 〇4.5.3 コミュニケーション [27001-7.4]4.5.3.1 組織は、情報セキュリティマネジメントに関連する内部及び外部のコミュニケーションを実施する必要性を決定する。 [27001-7.4]a) 内部及び外部のコミュニケーションを実施する際は、以下を考慮することとする。 ・コミュニケーションの内容(何を伝達するか。)・コミュニケーションの実施時期・コミュニケーションの対象者・コミュニケーションの実施者・コミュニケーションの実施プロセスb) 内部コミュニケーションでは、以下に示すような者と、適宜及び定期的なコミュニケーションを実施する。 ・トップマネジメント・情報セキュリティマネジメントを本管理基準の要求事項に適合させる権限者・情報セキュリティマネジメントのパフォーマンスをトップマネジメント又は組織内に報告する権限者・組織内の従業員c) 外部コミュニケーションでは、以下に示すような者と、必要に応じて、コミュニケーションを実施する。 ・取引先、パートナー、サプライチェーン上の関係者・親会社、グループ会社・当該組織のセキュリティを監督する省庁、政府機関・所属するセキュリティ団体、協会4.5.4 情報セキュリティマネジメントの運用の計画及び管理 [27001-8.1]4.5.4.1 組織は、情報セキュリティ要求事項を満たすため、リスク及び機会に対処する活動を実施するために必要なプロセスを計画し、実施し、かつ管理する。 [27001-8.1]4.5.4.2 組織は、情報セキュリティ目的を達成するための計画を実施する。 [27001-8.1]4.5.4.3 組織は、計画通りに実施されたことを確信するために、文書化した情報を保持する。 [27001-8.1] 文書化した情報に、以下の情報が集められているかどうかを確認する。 ・管理策の実施状況 ・管理策の有効性 ・管理策を取り巻く環境の変化 また、これらの情報を把握し判断する体制を構築する。 4.5.4.4 組織は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置をとる。 [27001-8.1]4.5.4.5 組織は、外部委託するプロセスを決定し、かつ、管理する。 [27001-8.1]4.5.5 情報セキュリティリスクアセスメントの実施 [27001-8.2 / 8.3]4.5.5.1 組織は、以下のいずれかの場合において、情報セキュリティリスクアセスメントを実施する。 [27001-8.2] ・あらかじめ定めた間隔 ・重大な変更が提案された場合 ・重大な変化が生じた場合4.5.5.2 組織は、情報セキュリティリスク対応計画を実施する。 [27001-8.3]情報セキュリティリスク対応計画の実施においては、明確にされた個々の責任について全うしていることを確認するための方策を講じる。 4.5.5.3 トップマネジメントは、情報セキュリティリスク対応計画のために十分な経営資源を提供する。 情報セキュリティリスク対応計画には相応の経営資源が必要になるところ、以下の点について考慮する。 ・管理策の導入及び運用にかかる費用、人員、作業工数、技術 ・セキュリティインシデント発生時の一時対応にかかる費用 ・その他のリスク対応にかかる費用 運用においては管理策の効果測定などを実施するために必要な経営資源について考察し、予算化する。 ー ー ー 4.6 情報セキュリティマネジメントの監視及びレビュー [27001-5.1 / 8.2 / 9 / 10.2]4.6.1 有効性の継続的改善 [27001-10.2 / 8.2 / 9.2 / 9.3 / 5.1]4.6.1.1 組織は、以下を実施し、情報セキュリティマネジメントの適切性、妥当性及び有効性を継続的に改善する。 [27001-10.2 / 8.2 / 9.2 / 9.3] ・定期的な情報セキュリティリスクアセスメント ・定期的な情報セキュリティ内部監査 ・トップマネジメントによる定期的なマネジメントレビュー 継続的改善においては、これまで実施してきた管理策だけはなく、環境の変化に伴う新たな脅威やぜい弱性についても不適合を検出し処置する。 4.6.1.2 トップマネジメントは、継続的改善を促進する。 [27001-5.1g)] 4.6.1.1.を実施するための、役割、責任及び権限を割り当て、実施するよう関係者に伝達する。 内部(経営陣、管理者、一般従業員等)及び外部(取引先、グループ会社、関係省庁等)とのコミュニケーションを行う際は、以下を考慮している。 ・コミュニケーションの内容(何を伝達するか。)・コミュニケーションの実施時期・コミュニケーションの対象者・コミュニケーションの実施者・コミュニケーションの実施プロセス組織は、定期的、重大な変更が提案された場合または重大な変化が生じた場合のいずれかにおいて、情報セキュリティリスクアセスメントを実施している。 また、組織は、情報セキュリティリスク対応計画を以下を考慮しつつ実施しており、効果測定を行うための予算化もしている。 ・管理策の導入及び運用にかかる費用、人員、作業工数、技術・セキュリティインシデント発生時の一時対応にかかる費用・その他のリスク対応にかかる費用組織は、以下を実施し、情報セキュリティマネジメントの適切性、妥当性及び有効性を継続的に改善を行っている。 ・定期的な情報セキュリティリスクアセスメント・定期的な情報セキュリティ内部監査・トップマネジメントによる定期的なマネジメントレビュー経営陣は、改善のための役割、責任及び権限を割り当て、促進させている。 組織は、計画通りに情報セキュリティ目的を達成するための施策を実施していることを示すため、以下の内容を文書化している。 ・管理策の実施状況・管理策の有効性・管理策を取り巻く環境の変化これらの情報は、組織内でレビューされ、適切に行われているかを判断できるようにしている。 また、外部委託を行うプロセスについても管理している。 16171819〇 〇 〇 〇4.6.2 パフォーマンス評価 [27001-9]4.6.2.1 組織は、情報セキュリティパフォーマンス及び情報セキュリティマネジメントの有効性を継続的に評価し、以下を決定する。 [27001-9.1]・必要とされる監視及び測定の対象(情報セキュリティプロセス及び管理策を含む。)・妥当な結果を確実にするための、監視、測定、分析及び評価の方法(比較可能で再現可能な結果を生み出す方法とする。)・監視及び測定の実施時期及び頻度・監視及び測定の実施者・監視及び測定の結果の、分析(因果関係、相関関係を含む)及び評価の時期及び頻度・監視及び測定の結果の、分析及び評価の実施者・分析及び評価の結果に応じた対応措置・分析及び評価の結果の報告頻度4.6.2.2 組織は、あらかじめ定めた間隔で内部監査を実施する。 [27001-9.2a) / 9.2b)]a) 内部監査を実施する際は、以下を確認する。 ・以下に適合していること。 －情報セキュリティマネジメントに関して、組織自体が規定した要求事項－本マネジメント基準の要求事項 ・情報セキュリティマネジメントが有効に実施され、維持されていること。 b) 内部監査は、管理策の有効性を総合的に確認するために定期的に実施し、計画及び結果について以下の文書で管理する。 ・内部監査基本計画・内部監査実施計画・内部監査報告書 基本計画書では対象範囲、目的、管理体制及び期間又は期日について、実施計画では実施時期や実施場所、実施担当者及びその割当て及び詳細な監査の手法についてあらかじめ決める。 予定通り実施されたことを証明するためにも、実施報告書を作成する。 c) 適合性の監査においては、以下の項目を対象に含む。 ・関連する法令又は規制の要求事項・情報セキュリティリスクアセスメントなどによって特定された情報セキュリティ要求事項d) 情報セキュリティマネジメントが有効に実施され、維持されていることの監査においては、以下の項目を対象に含む。 ・管理策の有効性及び維持・管理策が期待通りに実施されていること。 4.6.2.3 組織は、頻度、方法、責任及び計画に関する要求事項及び報告を含む、監査プログラムの計画、確立、実施及び維持する。 [27001-9.2c)]監査プログラムでは、関連するプロセスの重要性及び前回までの監査の結果を考慮する。 監査は一度にすべての適用範囲について実施するだけではなく、範囲の一部のみを対象とする場合もあり、毎回の監査の目的を明確にし、適切な監査計画を実施することが重要であることから、監査プログラムの作成においては、以下の点を考慮する。 ・監査の目的と重点目標・対象となる監査プロセスの状況と重要性・対象となる領域の状況と重要性・前回までの監査結果4.6.2.4 組織は、監査基準及び監査範囲を明確にする。 [27001-9.2d)]監査プログラムでは全体的な監査の日程だけではなく、以下の内容について含める。 ・監査の基準(以下の内容も含む。)－目的、権限と責任－独立性、客観性と職業倫理－専門能力－業務上の義務－品質管理－監査の実施方法－監査報告書の形式 ・監査の範囲 ・監査の頻度又は時期 ・監査の方法(個別の情報セキュリティ監査基準を作成し、内部監査、外部組織による監査のいずれにおいても、品質の高い監査を実施できるように準備を整える。)4.6.2.5 組織は、監査プロセスの客観性及び公平性を確実にする監査員の選定及び監査の実施を行う。 [27001-9.2e)] 監査人の選定においては監査基準に従い、以下の点を考慮する。 ・外観上の独立性 ・精神上の独立性 ・職業倫理と誠実性 なお、内部の監査員の場合は、自らが従事している業務については自身で監査しないように、他の担当者を割り当てる。 4.6.2.6 組織は、監査の結果を関連する管理層に報告することを確実にする。 [27001-9.2f)]4.6.2.7 組織は、監査プログラム及び監査結果の証拠として、文書化した情報を保持する。 [27001-9.2g)] 監査手順に以下の内容を反映させるとともに、文書化し、お互いのコミュニケーションのために活用する。 ・監査の計画・実施に関する責任及び要求事項 ・結果報告・記録維持に関する責任と要求事項 要求事項については監査品質を確保するための必須条件であり、責任者と監査人が同じ目的をもって監査を実施する。 組織は、情報セキュリティパフォーマンス及び情報セキュリティマネジメントの有効性を継続的に評価し、以下を決定している。 ・必要とされる監視及び測定の対象(情報セキュリティプロセス及び管理策を含む。)・妥当な結果を確実にするための、監視、測定、分析及び評価の方法(比較可能で再現可能な結果を生み出す方法とする。)・監視及び測定の実施時期及び頻度・監視及び測定の実施者・監視及び測定の結果の、分析(因果関係、相関関係を含む)及び評価の時期及び頻度・監視及び測定の結果の、分析及び評価の実施者・分析及び評価の結果に応じた対応措置・分析及び評価の結果の報告頻度組織は、定期的に内部監査を実施し、本マネジメント基準の要求事項及び組織自体が規定した要求事項に適合しているかを確認している。 内部監査を行うために、基本計画書において対象範囲、目的、管理体制及び期間又は期日についてを、実施計画において実施時期や実施場所、実施担当者及びその割当て及び詳細な監査の手法についてをあらかじめ定めている。 予定通り実施されたことを証明するためにも、実施報告書を作成している。 監査計画においては、以下の内容を含む監査基準及び監査範囲を明確にしている。 ・目的、権限と責任・独立性、客観性と職業倫理・専門能力・業務上の義務・品質管理・監査の実施方法・監査報告書の形式また、監査人の選定は、監査基準に従い、以下の点を考慮している。 ・外観上の独立性・精神上の独立性・職業倫理と誠実性なお、監査結果は、関連する管理層に報告している。 20 〇4.6.3 マネジメントレビュー [27001-9.3]4.6.3.1 トップマネジメントは、あらかじめ定めた間隔で、マネジメントレビューする。 [27001-9.3] あらかじめ定められた間隔でマネジメントレビューを実施するために、以下の点について考慮するとともに、文書化する。 ・マネジメントレビュー基本計画 ・マネジメントレビュー実施計画 ・マネジメントレビューのための実施報告 基本計画書では目的及び実施時期について、実施計画では詳細な監査の手法についてあらかじめ決める。 4.6.3.2 トップマネジメントは、マネジメントレビューにおいて、以下を考慮する。 [27001-9.3]・前回までのマネジメントレビューの結果とった処置の状況・情報セキュリティマネジメントに関連する外部及び内部の課題の変化・以下に示す内容を含めた、情報セキュリティパフォーマンスに関するフィードバック-不適合及び是正処置-監視及び測定の結果-監査結果-情報セキュリティ目的の達成・利害関係者からのフィードバック・情報セキュリティリスクアセスメントの結果及び情報セキュリティリスク対応計画の状況・継続的改善の機会 また、これらの情報を構成することが予想される活動及び事象を記録し、必要に応じて報告するとともに、緊急性が高いものについてはあらかじめ定義しておき、誰もが同じ判断をできるように基準を定める。 4.6.3.3 マネジメントレビューからのアウトプットには、継続的改善の機会及び情報セキュリティマネジメントのあらゆる変更の必要性に関する決定を含める。 [27001-9.3] マネジメントレビューの結果を改善策に反映するために、以下の活動を実施し、改善策を検討する。 ・情報セキュリティマネジメントの有効性の改善 ・情報セキュリティリスクアセスメント及び情報セキュリティリスク対応計画の更新 ・情報セキュリティマネジメントに影響を与える可能性のある内外の事象を考慮の上での手順及び管理策の修正 ・必要となる経営資源の特定 ・パフォーマンス測定方法の改善 なお、改善策の立案においては、情報セキュリティリスク対応の選択肢を選択した際の記録を参考にする。 4.6.3.4 組織は、マネジメントレビューの結果の証拠として文書化した情報を保持する。 [27001-9.3] マネジメントレビューの結果は次回のマネジメントレビューに活用されるため、実施内容と結果が分かるように具体的に記録する。 ー ー ー 4.7 情報セキュリティマネジメントの維持及び改善 [27001-10]4.7.1 是正処置 [27001-10.1]4.7.1.1 組織は、不適合が発生した場合、不適合の是正のための処置を取る。 [27001-10.1a)]a) 是正措置 を取る際は、以下を実施する。 ・その不適合を管理し、是正するための処置・その不適合によって起こった結果への対処・是正処置を手順どおりに実施するために、以下について文書化する。 －不適合の再発防止を確実にするために選択した処置の必要性の評価－必要な是正処置の決定－必要な是正処置の実施－実施した処置の記録－実施した是正処置のレビューb) 不適合は以下の活動によって検出される。 ・定期的な情報セキュリティリスクアセスメント・定期的な情報セキュリティ内部監査・定期的なマネジメントレビュー・不適合を手順どおりに検出するために、以下について文書化する。 －情報セキュリティマネジメントに対する不適合の特定－情報セキュリティマネジメントに対する不適合の原因の決定なお、単一の活動だけでは判断できない場合もあるので、複合的な結果の考察から不適合を検出する。 4.7.1.2 組織は、不適合が再発又は他のところで発生しないようにするため、その不適合の原因を除去するための処置をとる必要性を評価する。 [27001-10.1b)] 必要性を評価する際は、以下を実施する。 ・その不適合のレビュー ・その不適合の原因の明確化 ・類似の不適合の有無、又はそれが発生する可能性の明確化22組織は、不適合をリスクアセスメント、内部監査、マネジメントレビュー等における結果を複合的に考察することにより検出し、不適合を是正するために以下の措置を行っている。 ・その不適合を管理し、是正するための処置・その不適合によって起こった結果への対処・以下についてあらかじめ文書化したうえで、それに基づく実施－不適合の再発防止を確実にするために選択した処置の必要性の評価－必要な是正処置の決定－必要な是正処置の実施－実施した処置の記録－実施した是正処置のレビュー・不適合の性質、措置、是正処置の結果の記録 〇経営陣は、定期的に、以下の点を考慮したマネジメントレビューを基本計画書、実施計画書、実施報告書等の文書を用いて行っている。 ・前回までのマネジメントレビューの結果として、行った処置の状況・情報セキュリティマネジメントに関連する外部及び内部の課題の変化・以下に示す内容を含めた、情報セキュリティパフォーマンスに関するフィードバック-不適合及び是正処置-監視及び測定の結果-監査結果-情報セキュリティ目的の達成・利害関係者からのフィードバック・情報セキュリティリスクアセスメントの結果及び情報セキュリティリスク対応計画の状況・継続的改善の機会また、マネジメントレビューの結果を改善策に反映するために、以下の活動を実施し、改善策を検討している。 結果は文書化して保存している。 ・情報セキュリティマネジメントの有効性の改善・情報セキュリティリスクアセスメント及び情報セキュリティリスク対応計画の更新・情報セキュリティマネジメントに影響を与える可能性のある内外の事象を考慮の上での手順及び管理策の修正・必要となる経営資源の特定・パフォーマンス測定方法の改善21 〇4.7.1.3 組織は、必要な処置を実施する。 [27001-10.1c)]4.7.1.4 組織は、とった全ての是正処置の有効性をレビューする。 [27001-10.1d)]4.7.1.5 組織は、必要な場合には、情報セキュリティマネジメントの変更を行う。 [27001-10.1e)]4.7.1.6 組織は、是正処置は、検出された不適合のもつ影響に応じたものとする。 [27001-10.1]4.7.1.7 組織は、是正処置の証跡として、以下の文書化した情報を保持する。 [27001-10.1f) / 10.1g)]・不適合の性質及びとった処置・是正処置の結果ー ー ー 4.8 文書化した情報の管理 [27001-7.5]4.8.1 文書化の指針 [27001-7.5.1]4.8.1.1 組織は、情報セキュリティマネジメントが必要とする以下の情報を文書化する。 [27001-7.5.1]・情報セキュリティ方針・情報セキュリティ目的・情報セキュリティリスクアセスメントのプロセス・情報セキュリティリスク対応のプロセス・情報セキュリティリスクアセスメントの結果・情報セキュリティリスク対応計画・パフォーマンス測定の結果 これらの内容についてはどの文書に記載されていてもかまわないが、その内容を知る必要がある担当者には必ず伝わるように構成するとともに、知る必要性のない者が閲覧できないことを確実にする。 4.8.2 文書の作成・変更及び管理 [27001-7.5.2 / 7.5.3]4.8.2.1 組織は、以下を行うことによって、文書化した情報を作成及び更新する。 [27001-7.5.2]・適切な識別情報の記述(例えば、表題、日付、作成者、参照番号)・適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)の選択・適切性及び妥当性に関する、適切なレビュー及び承認・文書化した情報のライフサイクルの定義や、それに応じた処理ができるような手順の策定・文書を発行する前における、適正性のレビュー及び承認・必要に応じた、文書の更新及び再承認・廃止文書の誤使用の防止・廃止文書を何らかの目的で保持する場合における、廃止文書であることが分かる適切な識別情報の記述・法的及び規制の要求事項及び環境の変化に従い、定めた頻度での更新 また、これらのすべての活動が文書管理に反映されているか、またその活動が業務に大きな障害を与えていないかなどを考慮し、適切な文書管理手順を策定する。 4.8.2.2 組織は、以下のことを確実にするために、情報セキュリティマネジメントで要求された文書化した情報を、管理する。 [27001-7.5.3]・文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態であること。 ・文書化した情報が十分に保護されていること(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。 ・文書化した情報の配付、アクセス 、検索及び利用 ・文書化した情報の読みやすさが保たれることを含む、保管及び保存 ・文書化した情報の変更の管理(例えば、版の管理) ・文書化した情報の保持及び廃棄 また、情報セキュリティマネジメントの計画及び運用のために組織が必要と決定した文書は、外部から入手したものであっても、必要に応じて、特定し、管理する。 ー ー ー 4.9 情報セキュリティリスクコミュニケ―ションー ー ー利害関係者間の有効なコミュニケーションは、意思決定に大きな影響を与えることがある。 情報セキュリティリスクコミュニケーションは、意思決定者とその他の利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)との間で情報セキュリティリスクに関する情報を交換、共有し、リスクを管理する方法に関する合意を得る。 組織は、情報セキュリティマネジメントが必要とする以下の情報を文書化している。 ・情報セキュリティ方針・情報セキュリティ目的・情報セキュリティリスクアセスメントのプロセス・情報セキュリティリスク対応のプロセス・情報セキュリティリスクアセスメントの結果・情報セキュリティリスク対応計画・パフォーマンス測定の結果組織は、文書管理手順を策定したうえで、以下を行うことによって、文書化した情報を作成及び更新している。 ・適切な識別情報の記述(例えば、表題、日付、作成者、参照番号)・適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)の選択・適切性及び妥当性に関する、適切なレビュー及び承認・文書化した情報のライフサイクルの定義や、それに応じた処理ができるような手順の策定・文書を発行する前における、適正性のレビュー及び承認・必要に応じた、文書の更新及び再承認・廃止文書の誤使用の防止・廃止文書を何らかの目的で保持する場合における、廃止文書であることが分かる適切な識別情報の記述・法的及び規制の要求事項及び環境の変化に従い、定めた頻度での更新なお、文書化した情報の管理は以下を確実にするためである。 ・文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態であること。 ・文書化した情報が十分に保護されていること(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。 ・文書化した情報の配付、アクセス 、検索及び利用・文書化した情報の読みやすさが保たれることを含む、保管及び保存・文書化した情報の変更の管理(例えば、版の管理)・文書化した情報の保持及び廃棄2324〇 〇4.9.1 リスクコミュニケーションの計画4.9.1.1 リスクコミュニケ―ション計画を策定する。 リスクコミュニケーション計画は、以下の２つに分けて策定し、文書化する。 ・通常運用のためのリスクコミュニケーション計画 ・緊急事態のためのリスクコミュニケーション計画 リスクコミュニケーション計画は、意思決定者とその他の利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)との間でどのようにコミュニケーションを図るかに留意し、以下の内容について含める。 ・適切な利害関係者の参画による、効果的な情報交換／共有 ・法令、規制及びガバナンスの要求事項の順守 ・コミュニケーション及び協議に関するフィードバック及び報告の提供 ・組織に対する信頼を醸成するためのコミュニケーションの活用 ・危機又は不測の事態発生時の利害関係者とのコミュニケーションの実施4.9.2 リスクコミュニケーションの実施4.9.2.1 リスクコミュニケ―ションを実施する仕組みを確定する。 リスクに関する論議、その優先順位の決定及び適切なリスク対応、並びにリスク受容を行い、主要な意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の協調を得る仕組みを確定する。 この仕組みでは次の事項を確実にする。 ・リスクマネジメントの枠組みの主要な構成要素、及びその後に行うあらゆる修正の適切な伝達 ・枠組み、その有効性及び成果に関する適切な内部報告 ・適切な階層及び時期に利用可能な、リスクマネジメントの適応から導出される関連情報の提供 ・内部の利害関係者との協議のためのプロセス 仕組みには、適切な場合には、多様な情報源からのリスク情報について、まとめ上げるプロセスが含まれ、また、リスク情報の影響の受けやすさを考慮する必要がある場合もある。 なお、この仕組みを設ける場として、委員会がある。 4.9.2.2 リスクコミュニケ―ションを実施する。 リスクコミュニケーションは、次の点を達成するために、リスクマネジメントプロセスのすべての段階で継続的に実施する。 ・組織のリスクマネジメント結果の保証を提供する ・リスク情報を収集する ・リスクアセスメントの結果を共有しリスク対応計画を提示する ・意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の相互理解の欠如による情報セキュリティ違反の発生及び結果を回避又は低減する ・意思決定を支援する ・新しい情報セキュリティ知識を入手する ・他の組織と協調しすべてのインシデントの結果を低減するための対応計画を立案する ・意思決定者及び利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)にリスクについての責任を意識させる ・セキュリティ意識を改善する リスクコミュニケーションの実施においては、組織内の適切な広報又はコミュニケーション部門と協力し、リスクコミュニケーション関連の全タスクを調整して行う。 ー ー ー 情報セキュリティのための方針群5.1 情報セキュリティのための経営陣の方向性管理目的：情報セキュリティのための経営陣の方向性及び支持を、事業上の要求事項並びに関連する法令及び規制に従って提示するため。 5.1.1 情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員及び関連する外部関係者に通知する。 (脚注)管理層には、経営陣及び管理者が含まれる。 ただし、実務管理者(administrator)は除かれる。 5.1.2 情報セキュリティのための方針群は、あらかじめ定めた間隔で、又は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューする。 ー ー ー 6 情報セキュリティのための組織6.1 内部組織6.1 管理目的：組織内で情報セキュリティの実施及び運用に着手し、これを統制するための管理上の枠組みを確立するため。 6.1.1 全ての情報セキュリティの責任を定め、割り当てる。 6.1.1.13.PBクラウドサービスに関する情報セキュリティの役割及び責任の所在を明示すること。 6.1.2 相反する職務及び責任範囲は、組織の資産に対する、認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために、分離する。 6.1.3 関係当局との適切な連絡体制を維持する。 6.1.3.3PBクラウドサービス事業者は、クラウドサービス利用者に、クラウドサービス事業者の組織の地理的所在地、及びクラウドサービス事業者がクラウドサービス利用者のデータを保管する可能性のある国々及びその法管轄を通知する。 6.1.4 情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持する。 ・クラウドサービスに関する情報セキュリティの役割及び責任の所在を明示している。 ・クラウドサービス事業者の所在地、及び振興会のデータが保管される可能性のある国々及びその法管轄を明示している。 ・情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持している。 ・プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては、情報セキュリティに取り組んでいる。 28 無管理策基準リスクコミュニケーション計画を以下の２つに分けて策定し、文書化している。 ・通常運用のためのリスクコミュニケーション計画・緊急事態のためのリスクコミュニケーション計画リスクコミュニケーション計画は、意思決定者とその他の利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)との間でどのようにコミュニケーションを図るかに留意し、以下の内容について含めている。 ・適切な利害関係者の参画による、効果的な情報交換／共有・法令、規制及びガバナンスの要求事項の順守・コミュニケーション及び協議に関するフィードバック及び報告の提供・組織に対する信頼を醸成するためのコミュニケーションの活用・危機又は不測の事態発生時の利害関係者とのコミュニケーションの実施リスクに関する論議、その優先順位の決定及び適切なリスク対応、並びにリスク受容を行い、主要な意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の協調を得る仕組みを、以下を踏まえたうえで確定している。 ・リスクマネジメントの枠組みの主要な構成要素、及びその後に行うあらゆる修正の適切な伝達・枠組み、その有効性及び成果に関する適切な内部報告・適切な階層及び時期に利用可能な、リスクマネジメントの適応から導出される関連情報の提供・内部の利害関係者との協議のためのプロセスまた、リスクコミュニケーションは、次の点を達成するために、リスクマネジメントプロセスのすべての段階で継続的に実施している。 ・組織のリスクマネジメント結果の保証を提供する・リスク情報を収集する・リスクアセスメントの結果を共有しリスク対応計画を提示する・意思決定者と利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)の相互理解の欠如による情報セキュリティ違反の発生及び結果を回避又は低減する・意思決定を支援する・新しい情報セキュリティ知識を入手する・他の組織と協調しすべてのインシデントの結果を低減するための対応計画を立案する・意思決定者及び利害関係者(クラウドサービス利用者及びクラウドサービスの提供にかかわる委託先を含む。)にリスクについての責任を意識させる・セキュリティ意識を改善する経営陣及び管理者は、情報セキュリティのための方針群を定義、承認及び発行を行い、関係者に伝達している。 また、これらの方針群の有効性を確認する機会を定期的または重大な変更時に設けている。 252627無 無 無6.1.5 プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては、情報セキュリティに取り組む。 6.2 モバイル機器及びテレワーキング管理目的：モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。 6.2.1 モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用する。 6.2.2 テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、方針及びその方針を支援するセキュリティ対策を実施する。 6.3.P クラウドサービス利用者及びクラウドサービス事業者の関係6.3.P 管理目的：情報セキュリティマネジメントのための、クラウドサービス利用者及びクラウドサービス提供者間の共同責任の関係を説明するため。 6.3.1.P クラウドサービス利用者及びクラウドサービス事業者の両者は、クラウドサービスの利用における情報セキュリティの共同責任について、文書化し、公表し、伝達し、実装する。 6.3.1.1PBクラウドサービス事業者の情報セキュリティ管理策及び責任が明示されていること。 ー ー ー 7 人的資源のセキュリティ7.1 雇用前7.1 管理目的：従業員及び契約相手がその責任を理解し、求められている役割にふさわしいことを確実にするため。 7.1.1 全ての従業員候補者についての経歴などの確認は、関連する法令、規制及び倫理に従って行う。 また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行う。 7.1.2 従業員及び契約相手との雇用契約書には、情報セキュリティに関する各自の責任及び組織の責任を記載する。 7.2 雇用期間中7.2 管理目的：従業員及び契約相手が、情報セキュリティの責任を認識し、かつ、その責任を遂行することを確実にするため。 7.2.1 経営陣は、組織の確立された方針及び手順に従った情報セキュリティの適用を、全ての従業員及び契約相手に要求する。 7.2.2 組織の全ての従業員、及び関係する場合には契約相手は、職務に関連する組織の方針及び手順についての、適切な、意識向上のための教育及び訓練を受け、また、定めに従ってその更新を受ける。 7.2.2.19.PB事業所内でデータを適切に取り扱うための教育及び訓練を行っていること。 7.2.3 情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備える。 7.3 雇用の終了及び変更7.3 管理目的：雇用の終了又は変更のプロセスの一部として、組織の利益を保護するため。 7.3.1 雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、その従業員又は契約相手に伝達し、かつ、遂行させる。 ー ー ー 8 資産の管理8.1 資産に対する責任8.1 管理目的：組織の資産を特定し、適切な保護の責任を定めるため。 8.1.1 情報、情報に関連するその他の資産及び情報処理施設を特定する。 また、これらの資産の目録を、作成し、維持する。 8.1.1.6PBクラウドサービス事業者の資産目録は、クラウドサービス利用者のデータ及びクラウドサービスの派生データを明確に特定する。 8.1.2 目録の中で維持される資産は、管理する。 8.1.2.7PB利用者がクラウドサービスに保管するデータを暗号化したうえで利用者が安全に扱えるようにするか、利用者自身がデータの暗号化を利用してデータを安全に扱えるようにする手段を提供するかのいずれかに対応すること。 8.1.3 情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施する。 8.1.4 全ての従業員及び外部の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産の全てを返却する。 8.1.5.P クラウドサービス事業者の領域上にあるクラウドサービス利用者の資産は、クラウドサービス利用の合意の終了時に、時機を失せずに返却または除去する。 8.2 情報分類8.2 管理目的：組織に対する情報の重要性に応じて、情報の適切なレベルでの保護を確実にするため。 8.2.1 情報は、法的要求事項、価値、重要性、及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から、分類する。 8.2.2 情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施する。 8.2.2.7PBクラウドサービス事業者は、クラウドサービス利用者が扱う情報及び関連資産を当該利用者が分類し、ラベル付けするためのサービス機能について文書化し、開示する。 8.2.3 資産の取扱いに関する手順は、組織が採用した情報分類体系に従って策定し、実施する。 ・クラウドサービス利用者及びクラウドサービス事業者の両者は、クラウドサービスの利用における情報セキュリティの共同責任について、文書化し、公表し、伝達し、実装している。 ・クラウドサービス事業者の情報セキュリティ管理策及び責任を明示している。 ・関連する法令、規制及び倫理に従い、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて、全ての従業員候補者についての経歴などの確認を行っている。 ・従業員及び契約相手との雇用契約書には、情報セキュリティに関する各自の責任及び組織の責任を記載している。 ・経営陣は、組織の確立された方針及び手順に従った情報セキュリティの適用を、全ての従業員及び契約相手に要求している。 ・組織の全ての従業員、及び必要に応じて契約相手は、職務に関連する組織の方針及び手順について、また、事業所内でデータを適切に取り扱うための、適切な教育及び訓練を受けている。 ・情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備えている。 雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、その従業員又は契約相手に伝達し、かつ、遂行させている。 ・情報、情報に関連するその他の資産及び情報処理施設を特定する。 また、これらの資産の目録を、作成し、維持している。 ・クラウドサービス事業者の資産目録において振興会のデータ等を明確に特定し、管理している。 ・利用者がクラウドサービスに保管するデータを暗号化したうえで利用者が安全に扱えるようにするか、利用者自身がデータの暗号化を利用してデータを安全に扱えるようにする手段を提供するかのいずれかに対応している。 ・情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施している。 ・全ての従業員及び外部の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産の全てを返却している。 ・クラウドサービス事業者の領域上にあるクラウドサービス利用者の資産は、クラウドサービス利用の合意の終了時に、時機を失せずに返却または除去している。 ・情報は、法的要求事項、価値、重要性、及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から、分類している。 ・情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施している。 ・振興会がクラウドサービス上でデータを取り扱う際に、データをその重要性や秘匿性等に応じて分類し、それに応じた取り扱いを行えるようにするための手順を開示している。 ・資産の取扱いに関する手順は、組織が採用した情報分類体系に従って策定し、実施している。 ・モバイル機器を用いることによって生じるリスクを管理するために、適切なセキュリティ対策を採用している。 ・テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、適切なセキュリティ対策を実施している。 29303132333435無 無 無 無 無 無 無8.3 媒体の取扱い8.3 管理目的：媒体に保存された情報の認可されていない開示、変更、除去又は破壊を防止するため。 8.3.1 組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施する。 8.3.2 媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分する。 8.3.3 情報を格納した媒体は、輸送の途中における、認可されていないアクセス、不正使用又は破損から保護する。 ー ー ー 9 アクセス制御9.1 アクセス制御に対する業務上の要求事項9.1 管理目的：情報及び情報処理施設へのアクセスを制限するため。 9.1.1 アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューする。 9.1.2 利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供する。 9.2 利用者アクセスの管理9.2 管理目的：システム及びサービスへの、認可された利用者のアクセスを確実にし、認可されていないアクセスを防止するため。 9.2.1 アクセス権の割当てを可能にするために、利用者の登録及び登録削除についての正式なプロセスを実施する。 9.2.1.6PBクラウドサービス事業者は、クラウドサービス利用者が扱う情報及び関連資産を当該利用者が分類し、ラベル付けするためのサービス機能について文書化し、開示する。 9.2.2 全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施する。 9.2.2.8. クラウドサービスのユーザのアクセス権を管理する機能及び仕様を提供すること。 9.2.3 特権的アクセス権の割当て及び利用は、制限し、管理する。 9.2.3.11.PBクラウドサービス事業者は、特定したリスクに応じて、クラウドサービスの管理能力にあわせたクラウドサービス利用者の管理者認証に、十分に強固な認証技術(例えば、多要素認証機能)を提供する。 9.2.4 秘密認証情報の割当ては、正式な管理プロセスによって管理する。 9.2.4.9PBクラウドサービス事業者は、秘密認証情報を割り当てる手順、及びユーザ認証手順を含む、クラウドサービス利用者の秘密認証情報の管理手順について、情報を提供する。 9.2.5 資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューする。 9.2.6 全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正する。 9.3 利用者の責任9.3 管理目的：利用者に対して、自らの秘密認証情報を保護する責任をもたせるため。 9.3.1 秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求する。 9.4 システム及びアプリケーションのアクセス制御9.4 管理目的：システム及びアプリケーションへの、認可されていないアクセスを防止するため。 9.4.1 情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って、制限する。 9.4.1.8PBクラウドサービスへのアクセス、クラウドサービス機能へのアクセス、及びデータへのアクセスを制限できるようアクセス制御を提供すること。 9.4.2 アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御する。 9.4.2.2B強い認証及び識別情報の検証が必要な場合には、パスワードに代えて、暗号による手段、スマートカード、トークン、生体認証などの認証方法を用いること。 9.4.3 パスワード管理システムは、対話式とすること、また、良質なパスワードを確実にするものとする。 9.4.4 システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理する。 9.4.5 プログラムソースコードへのアクセスは、制限する。 9.5.P 共有化された仮想環境におけるクラウドサービス利用者のデータのアクセス制御9.5.P 管理目的：共有化されたクラウドコンピューティング上の仮想環境における情報セキュリティを確実にするため。 9.5.1.P クラウドサービス利用者のクラウドサービス上の仮想環境は、他のクラウドサービス利用者及び認可されていない者から保護する。 9.5.2.P クラウドコンピューティング環境における仮想マシンは、事業上のニーズを満たすため、要塞化する。 9.5.2.1PB仮想マシンを設定する際には、適切に要塞化し(例えば、クラウドサービスを実行するのに必要なポート、プロトコル及びサービスのみを有効とする)、利用する各仮想マシンに適切な技術的管理策(例えば、マルウェア対策、ログ取得)を実施すること。 ・クラウドサービス利用者のクラウドサービス上の仮想環境を、他のクラウドサービス利用者及び認可されていない者から保護している。 ・クラウドコンピューティング環境における仮想マシンを、事業上のニーズを満たすため、要塞化している。 ・仮想マシンを設定する際には、適切に要塞化し(例えば、クラウドサービスを実行するのに必要なポート、プロトコル及びサービスのみを有効とする)、利用する各仮想マシンに適切な技術的管理策(例えば、マルウェア対策、ログ取得)を実施している。 ・組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施している。 ・媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分している。 ・情報を格納した媒体は、輸送の途中における、認可されていないアクセス、不正使用又は破損から保護している。 ・アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューしている。 ・利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供している。 ・アクセス権の割当てを可能にするために、利用者の登録及び登録削除についての正式なプロセスを実施している。 ・振興会にクラウドサービス利用に必要なユーザーの登録及び登録削除の機能及び仕様を提供している。 ・全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施している。 ・クラウドサービスのユーザのアクセス権を管理する機能及び仕様を提供している。 ・特権的アクセス権の割当て及び利用を、制限し、管理している。 ・振興会の管理者認証に、十分に強固な認証技術を提供している。 ・秘密認証情報の割当ては、正式な管理プロセスによって管理している。 ・振興会がクラウドサービスを利用する際の秘密認証情報の管理手順を提供している。 ・資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューしている。 ・全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正している。 秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求している。 ・情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って、制限している。 ・クラウドサービスへのアクセス、クラウドサービス機能へのアクセス、及びデータへのアクセスを制限できるようアクセス制御を提供している。 ・アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御している。 ・強い認証及び識別情報の検証が必要な場合には、パスワードに代えて、暗号による手段、スマートカード、トークン、生体認証などの認証方法を用いている。 ・パスワード管理システムは対話式とし、良質なパスワードを利用している。 ・システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理している。 ・プログラムソースコードへのアクセスは、制限している。 363738394041無 無 無 無 無 無ー ー ー 10 暗号10.1 暗号による管理策10.1 管理目的：情報の機密性、真正性及び／又は完全性を保護するために、暗号の適切かつ有効な利用を確実にするため。 10.1.1 情報を保護するための暗号による管理策の利用に関する方針は、策定し、実施する。 10.1.1.9.PBクラウドサービス利用者に、当該利用者が処理する情報を保護するために暗号技術を利用する機能を提供し、または、暗号技術を利用する環境についての情報を提供する。 10.1.2 暗号鍵の利用、保護及び有効期間(lifetime)に関する方針を策定し、そのライフサイクル全体にわたって実施する。 10.1.2.20.PBクラウドサービス利用者に、当該利用者の管理する情報の暗号化に用いる暗号鍵を当該利用者が管理する機能を提供し、または、当該利用者が暗号鍵を管理する方法についての情報を提供する。 ー ー ー 11 物理的及び環境的セキュリティ11.1 セキュリティを保つべき領域11.1 管理目的：組織の情報及び情報処理施設に対する認可されていない物理的アクセス、損傷及び妨害を防止するため。 11.1.1 取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いる。 11.1.2 セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護する。 11.1.3 オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用する。 11.1.4 自然災害、悪意のある攻撃又は事故に対する物理的な保護を設計し、適用する。 11.1.5 セキュリティを保つべき領域での作業に関する手順を設計し、適用する。 11.1.6 荷物の受渡場所などの立寄り場所、及び認可されていない者が施設に立ち入ることもあるその他の場所は、管理する。 また、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離す。 11.2 装置11.2 管理目的：資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を防止するため。 11.2.1 装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護する。 11.2.2 装置は、サポートユーティリティの不具合による、停電、その他の故障から保護する。 11.2.3 データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は、傍受、妨害又は損傷から保護する。 11.2.4 装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守する。 11.2.5 装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出さない。 11.2.6 構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用する。 11.2.7 記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、又はセキュリティを保って上書きしていることを確実にするために、検証する。 11.2.7.4.PB資源(例えば、装置、データストレージ、ファイル、メモリ)のセキュリティを保った処分を遅滞なく確実に行うこと。 11.2.8 利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にする仕組みを整備する。 11.2.9 書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用する。 (脚注)クリアデスクとは、机上に書類を放置しないことをいう。 また、クリアスクリーンとは、情報をスクリーンに残したまま離席しないことをいう。 ・情報を保護するための暗号による管理策の利用に関する方針は、策定し、実施している。 ・クラウドサービス利用者に、当該利用者が処理する情報を保護するために暗号技術を利用する機能を提供し、または、暗号技術を利用する環境についての情報を提供している。 ・暗号鍵の利用、保護及び有効期間(lifetime)に関する方針を策定し、そのライフサイクル全体にわたって実施している。 ・クラウドサービス利用者に、当該利用者の管理する情報の暗号化に用いる暗号鍵を当該利用者が管理する機能を提供し、または、当該利用者が暗号鍵を管理する方法についての情報を提供している。 ・取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定め、かつ、用いている。 ・セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護している。 ・オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用している。 ・自然災害、悪意のある攻撃又は事故に対する物理的な保護を設計し、適用している。 ・セキュリティを保つべき領域での作業に関する手順を設計し、適用している。 ・荷物の受渡場所などの立寄り場所、及び認可されていない者が施設に立ち入ることもあるその他の場所を管理している。 また、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離している。 ・装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護している。 ・装置は、サポートユーティリティの不具合による、停電、その他の故障から保護している。 ・データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は、傍受、妨害又は損傷から保護している。 ・装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守している。 ・装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出していない。 ・構外にある資産に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用している。 ・記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去している。 又はセキュリティを保って上書きしていることを確実にするために、検証している。 ・資源(例えば、装置、データストレージ、ファイル、メモリ)のセキュリティを保った処分を遅滞なく確実に行っている。 ・利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にする仕組みを整備している。 ・書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用している。 424344無 無 無ー ー ー 12 運用のセキュリティ12.1 運用の手順及び責任12.1 管理目的：情報処理設備の正確かつセキュリティを保った運用を確実にするため。 12.1.1 操作手順は、文書化し、必要とする全ての利用者に対して利用可能とする。 12.1.2 情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更は、管理する。 12.1.2.11.PBクラウドサービス事業者は、クラウドサービス利用者の情報セキュリティに悪影響を及ぼす可能性のあるクラウドサービスの変更に関する情報を、クラウドサービス利用者に提供する。 12.1.3 要求された主要なシステム資源の使用を満たすことを確実にするために、資源の利用を監視・調整し、また、将来必要とする容量・能力を予測する。 12.1.3.9 全資源の容量を監視し、資源の枯渇によるインシデント発生を防ぐこと。 12.1.4 開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離する。 12.1.5.P クラウドコンピューティング環境の、管理のための操作手順を定義し、文書化し、監視する。 12.1.5.1.PBクラウドサービス事業者は、重要な操作及び手順に関する文書を、それを求めるクラウドサービス利用者に提供する。 12.2 マルウェアからの保護12.2 管理目的：情報及び情報処理施設がマルウェアから保護されることを確実にするため。 12.2.1 マルウェアから保護するために、利用者に適切に認識させることと併せて、検出、予防及び回復のための管理策を実施する。 12.3 バックアップ12.3 管理目的：データの消失から保護するため。 12.3.1 情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査する。 12.4 ログ取得及び監視12.4 管理目的：イベントを記録し、証拠を作成するため。 12.4.1 利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューする。 12.4.1.1 クラウドサービス事業者は、クラウドサービス利用者に、ログ取得機能を提供する。 12.4.2 ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護する。 12.4.3 システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。 12.4.4 組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは、単一の参照時刻源と同期させる。 12.4.4.4.PBクラウドサービス事業者は、クラウドサービス利用者に、クラウドサービス事業者のシステムで利用するクロックに関する情報及びクラウドサービス利用者がクラウドサービスのクロックにローカルクロックを同期させる方法についての情報を提供する。 12.4.5.P クラウドサービス利用者は、利用するクラウドサービスの操作を監視する機能を有する。 12.5 運用ソフトウェアの管理12.5 管理目的：運用システムの完全性を確実にするため。 12.5.1 運用システムに関わるソフトウェアの導入を管理するための手順を実施する。 12.6 技術的ぜい弱性管理12.6 管理目的：技術的ぜい弱性の悪用を防止するため。 12.6.1 利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得する。 また、そのようなぜい弱性に組織がさらされている状況を評価する。 さらに、それらと関連するリスクに対処するために、適切な手段をとる。 12.6.1.18.PBクラウドサービス事業者は、提供するクラウドサービスに影響を及ぼす可能性のある技術的ぜい弱性の管理についての情報を、クラウドサービス利用者が利用可能となるようにする。 12.6.2 利用者によるソフトウェアのインストールを管理する規則を確立し、実施する。 12.7 情報システムの監査に対する考慮事項12.7 管理目的：運用システムに対する監査活動の影響を最小限にするため。 12.7.1 運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意する。 ・操作手順は、文書化し、必要とする全ての利用者に対して利用可能としている。 ・情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更を管理している。 ・振興会がクラウドサービスを利用する中で、情報セキュリティに悪影響を及ぼす可能性のある変更を行う場合、振興会にその情報を提供している。 ・要求された主要なシステム資源の使用を満たすことを確実にするために、資源の利用を監視・調整し、また、将来必要とする容量・能力を予測している。 ・全資源の容量を監視し、資源の枯渇によるインシデント発生を防いでいる。 ・開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離している。 ・クラウドコンピューティング環境の、管理のための操作手順を定義し、文書化し、監視している。 ・操作マニュアル等を、振興会に提供できる。 操作マニュアル等には重要な操作(システムの稼働に影響を与える操作など)がある場合、その操作手順を含む。 マルウェアから保護するために、利用者に適切に認識させることと併せて、検出、予防及び回復のための管理策を実施している。 情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査している。 ・利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューしている。 ・振興会に、ログ取得機能を提供している。 ・ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護している。 ・システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューしている。 ・組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックを、単一の参照時刻源と同期している。 ・クラウドサービス利用者に、クラウドサービス事業者のシステムで利用するクロックに関する情報及びクラウドサービス利用者がクラウドサービスのクロックにローカルクロックを同期させる方法についての情報を提供している。 ・クラウドサービス利用者は、利用するクラウドサービスの操作を監視する機能を有している。 運用システムに関わるソフトウェアの導入を管理するための手順を実施している。 ・利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得している。 また、そのようなぜい弱性に組織がさらされている状況を評価している。 さらに、それらと関連するリスクに対処するために、適切な手段をとっている。 ・提供するクラウドサービスに影響を及ぼす可能性のあるぜい弱性情報を振興会が利用できるようにしている。 ・利用者によるソフトウェアのインストールを管理する規則を確立し、実施している。 運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意している。 45464748495051無 無 無 無 無 無 無ー ー ー 13 通信のセキュリティ13.1 ネットワークセキュリティ管理13.1 管理目的：ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするため。 13.1.1 システム及びアプリケーション内の情報を保護するために、ネットワークを管理し、制御する。 13.1.2 組織が自ら提供するか外部委託しているかを問わず、全てのネットワークサービスについて、セキュリティ機能、サービスレベル及び管理上の要求事項を特定し、また、ネットワークサービス合意書にもこれらを盛り込む。 13.1.3 情報サービス、利用者及び情報システムは、ネットワーク上で、グループごとに分離する。 13.1.4.P 仮想ネットワークを設定する際には、クラウドサービス事業者のネットワークセキュリティ方針に基づき、仮想ネットワークと物理ネットワークの設定の整合性を検証する。 13.2 情報の転送13.2 管理目的：組織の内部及び外部に転送した情報のセキュリティを維持するため。 13.2.1 あらゆる形式の通信設備を利用した情報転送を保護するために、正式な転送方針、手順及び管理策を備える。 13.2.2 情報転送に関する合意では、組織と外部関係者との間の業務情報のセキュリティを保った転送について、取り扱う。 13.2.3 電子的メッセージ通信に含まれた情報は、適切に保護する。 13.2.4 情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューし、文書化する。 ー ー ー 14 システムの取得、開発及び保守14.1 情報システムのセキュリティ要求事項14.1 管理目的：ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため。 これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含む。 14.1.1 情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含める。 14.1.2 公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約紛争、並びに認可されていない開示及び変更から保護する。 14.1.3 アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止するために、保護する。 ・不完全な通信・誤った通信経路設定・認可されていないメッセージの変更・認可されていない開示・認可されていないメッセージの複製又は再生14.2 開発及びサポートプロセスにおけるセキュリティ14.2 管理目的：情報システムの開発サイクルの中で情報セキュリティを設計し、実施することを確実にするため。 14.2.1 ソフトウェア及びシステムの開発のための規則は、組織内において確立し、開発に対して適用する。 14.2.1.13.PBクラウドサービス事業者は、開示方針に反しない範囲で、セキュリティを保つための開発手順及び慣行についての情報を提供すること。 14.2.2 開発のライフサイクルにおけるシステムの変更は、正式な変更管理手順を用いて管理する。 14.2.3 オペレーティングプラットフォームを変更するときは、組織の運用又はセキュリティに悪影響がないことを確実にするために、重要なアプリケーションをレビューし、試験する。 14.2.4 パッケージソフトウェアの変更は、抑止し、必要な変更だけに限る。 また、全ての変更は、厳重に管理する。 14.2.5 セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持し、全ての情報システムの実装に対して適用する。 14.2.6 組織は、全てのシステム開発ライフサイクルを含む、システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保護する。 14.2.7 組織は、外部委託したシステム開発活動を監督し、監視する。 14.2.8 セキュリティ機能(functionality)の試験は、開発期間中に実施する。 14.2.9 新しい情報システム、及びその改訂版・更新版のために、受入れ試験のプログラム及び関連する基準を確立する。 ・情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含めている。 ・公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約紛争、並びに認可されていない開示及び変更から保護している。 ・アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止するために、保護している。 ・不完全な通信・誤った通信経路設定・認可されていないメッセージの変更・認可されていない開示・認可されていないメッセージの複製又は再生・ソフトウェア及びシステムの開発のための規則を、組織内において確立し、開発に対して適用している。 ・クラウドサービス事業者は、開示方針に反しない範囲で、セキュリティを保つための開発手順及び慣行についての情報を提供している。 ・開発のライフサイクルにおけるシステムの変更は、正式な変更管理手順を用いて管理している。 ・オペレーティングプラットフォームを変更するときは、組織の運用又はセキュリティに悪影響がないことを確実にするために、重要なアプリケーションをレビューし、試験している。 ・パッケージソフトウェアの変更は、抑止し、必要な変更だけに限っている。 また、全ての変更は、厳重に管理している。 ・セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持し、全ての情報システムの実装に対して適用している。 ・組織は、全てのシステム開発ライフサイクルを含む、システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し、適切に保護している。 ・組織は、外部委託したシステム開発活動を監督し、監視している。 ・セキュリティ機能(functionality)の試験は、開発期間中に実施している。 ・新しい情報システム、及びその改訂版・更新版のために、受入れ試験のプログラム及び関連する基準を確立している。 ・あらゆる形式の通信設備を利用した情報転送を保護するために、正式な転送方針、手順及び管理策を備えている。 ・情報転送に関する合意では、組織と外部関係者との間の業務情報のセキュリティを保った転送について、取り扱っている。 ・電子的メッセージ通信に含まれた情報は、適切に保護している。 ・情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューし、文書化している。 ・システム及びアプリケーション内の情報を保護するために、ネットワークを管理し、制御している。 ・組織が自ら提供するか外部委託しているかを問わず、全てのネットワークサービスについて、セキュリティ機能、サービスレベル及び管理上の要求事項を特定し、また、ネットワークサービス合意書にもこれらを盛り込んでいる。 ・情報サービス、利用者及び情報システムは、ネットワーク上で、グループごとに分離している。 ・仮想ネットワークを設定する際には、クラウドサービス事業者のネットワークセキュリティ方針に基づき、仮想ネットワークと物理ネットワークの設定の整合性を検証している。 52535455無 無 無 無14.3 試験データ14.3 管理目的：試験に用いるデータの保護を確実にするため。 14.3.1 試験データは、注意深く選定し、保護し、管理する。 ー ー ー 15 供給者関係15.1 供給者関係における情報セキュリティ15.1 管理目的：供給者がアクセスできる組織の資産の保護を確実にするため。 15.1.1 組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化する。 15.1.1.14.B組織が実施する、並びに組織が供給者に対して実施を要求するプロセス及び手順には、情報、情報処理施設及び移動が必要なその他のものの移行の管理、並びにその移行期間全体にわたって情報セキュリティが維持されることの確実化を含める。 15.1.1.16.B当該事業者が提供するサービス上で取り扱われる情報に対して国内法以外の法令及び規制が適用された結果、クラウドサービス利用者の意図しないまま当該利用者の管理する情報にアクセスされ、又は処理されるリスクを評価して外部委託先を選定し、必要に応じてクラウドサービス利用者が扱う情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を指定する。 15.1.2 関連する全ての情報セキュリティ要求事項を確立し、組織の情報に対して、アクセス、処理、保存若しくは通信を行う、又は組織の情報のためのIT 基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意する。 15.1.2.18.PBクラウドサービス事業者は、クラウドサービス事業者とクラウドサービス利用者の間に誤解が生じないように、クラウドサービス事業者が実行する適切な情報セキュリティ対策を、合意の一環として定める。 15.1.3 供給者との合意には、情報通信技術(以下「ICT」という。)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含める。 15.2 供給者のサービス提供の管理15.2 管理目的：供給者との合意に沿って、情報セキュリティ及びサービス提供について合意したレベルを維持するため。 15.2.1 組織は、供給者のサービス提供を定常的に監視し、レビューし、監査する。 15.2.2 関連する業務情報、業務システム及び業務プロセスの重要性、並びにリスクの再評価を考慮して、供給者によるサービス提供の変更(現行の情報セキュリティの方針群、手順及び管理策の保守及び改善を含む)を管理する。 ー ー ー 16 情報セキュリティインシデント管理16.1 情報セキュリティインシデントの管理及びその改善16.1 管理目的：セキュリティ事象及びセキュリティ弱点に関する伝達を含む、情報セキュリティインシデントの管理のための、一貫性のある効果的な取組みを確実にするため。 16.1.1 情報セキュリティインシデントに対する迅速、効果的かつ順序だった対応を確実にするために、管理層の責任及び手順を確立する。 16.1.2 情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけ速やかに報告する。 16.1.3 組織の情報システム及びサービスを利用する従業員及び契約相手に、システム又はサービスの中で発見した又は疑いをもった情報セキュリティ弱点は、どのようなものでも記録し、報告するように要求する。 16.1.4 情報セキュリティ事象は、これを評価し、情報セキュリティインシデントに分類するか否かを決定する。 16.1.5 情報セキュリティインシデントは、文書化した手順に従って対応する。 16.1.6 情報セキュリティインシデントの分析及び解決から得られた知識は、インシデントが将来起こる可能性又はその影響を低減するために用いる。 16.1.7 組織は、証拠となり得る情報の特定、収集、取得及び保存のための手順を定め、適用する。 16.1.7.13.PBクラウドサービス事業者は、クラウドサービス利用者と、クラウドコンピューティング環境内の潜在的なディジタル形式の証拠、又はその他の情報の要求に対応する手順を合意する。 試験データは、注意深く選定し、保護し、管理している。 ・組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化している。 ・組織が実施する、並びに組織が供給者に対して実施を要求するプロセス及び手順には、情報、情報処理施設及び移動が必要なその他のものの移行の管理、並びにその移行期間全体にわたって情報セキュリティが維持されることの確実化を含めている。 ・振興会がクラウドサービスを選定する際に、サービス上で取り扱われる振興会のデータに対して、国内法以外の法令が適用された結果、振興会の意図しないまま振興会以外の者がアクセスするリスクを考慮にいれている。 なお、必要に応じて委託業務の実施場所及び契約に定める準拠法・裁判管轄を指定している。 ・関連する全ての情報セキュリティ要求事項を確立し、組織の情報に対して、アクセス、処理、保存若しくは通信を行っている、又は組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と、この要求事項について合意している。 ・自らが実行する適切な情報セキュリティ対策を、振興会に明解に提供している。 ・供給者との合意には、情報通信技術(以下「ICT」という。)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含めている。 ・組織は、供給者のサービス提供を定常的に監視し、レビューし、監査している。 ・関連する業務情報、業務システム及び業務プロセスの重要性、並びにリスクの再評価を考慮して、供給者によるサービス提供の変更(現行の情報セキュリティの方針群、手順及び管理策の保守及び改善を含む)を管理している。 ・情報セキュリティインシデントに対する迅速、効果的かつ順序だった対応を確実にするために、管理層の責任及び手順を確立している。 ・情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけ速やかに報告している。 ・組織の情報システム及びサービスを利用する従業員及び契約相手に、システム又はサービスの中で発見した又は疑いをもった情報セキュリティ弱点は、どのようなものでも記録し、報告するように要求している。 ・情報セキュリティ事象は、これを評価し、情報セキュリティインシデントに分類するか否かを決定している。 ・情報セキュリティインシデントは、文書化した手順に従って対応している。 ・情報セキュリティインシデントの分析及び解決から得られた知識は、インシデントが将来起こる可能性又はその影響を低減するために用いている。 ・組織は、証拠となり得る情報の特定、収集、取得及び保存のための手順を定め、適用している。 ・クラウドサービス事業者は、クラウドサービス利用者と、クラウドコンピューティング環境内の潜在的なディジタル形式の証拠、又はその他の情報の要求に対応する手順を合意している。 56575859無 無 無 無ー ー ー 17 事業継続マネジメントにおける情報セキュリティの側面17.1 情報セキュリティ継続17.1 管理目的：情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むため。 17.1.1 組織は、困難な状況(adverse situation)(例えば、危機又は災害)における、情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定する。 17.1.2 組織は、困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための、プロセス、手順及び管理策を確立し、文書化し、実施し、維持する。 17.1.3 確立及び実施した情報セキュリティ継続のための管理策が、困難な状況の下で妥当かつ有効であることを確実にするために、組織は、定められた間隔でこれらの管理策を検証する。 17.2 冗長性17.2 管理目的：情報処理施設の可用性を確実にするため。 17.2.1 情報処理施設は、可用性の要求事項を満たすのに十分な冗長性をもって、導入する。 ー ー ー 18 順守18.1 法的及び契約上の要求事項の順守18.1 管理目的：情報セキュリティに関連する法的、規制又は契約上の義務に対する違反、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため。 18.1.1 各情報システム及び組織について、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保つ。 18.1.2 知的財産権及び権利関係のあるソフトウェア製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を実施する。 18.1.2.1 知的財産権の順守に対応するためのプロセスを確立していること。 18.1.3 記録は、法令、規制、契約及び事業上の要求事項に従って、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護する。 18.1.3.13.PBクラウドサービス事業者は、クラウドサービス利用者に、クラウドサービスの利用に関して、クラウドサービス事業者が収集し、蓄積する記録の保護について、情報を提供する。 18.1.4 プライバシー及び個人識別情報(PII) の保護は、関連する法令及び規制が適用される場合には、その要求に従って確実に行う。 18.1.5 暗号化機能は、関連する全ての協定、法令及び規制を順守して用いる。 18.1.5.7.PBクラウドサービス利用者に、適用する協定、法令及び規則を順守していることをレビューするため、クラウドサービス事業者が実装した暗号による管理策の記載を、提供する。 18.2 情報セキュリティのレビュー18.2 管理目的：組織の方針及び手順に従って情報セキュリティが実施され、運用されることを確実にするため。 18.2.1 情報セキュリティ及びその実施の管理(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)に対する組織の取組みについて、あらかじめ定めた間隔で、又は重大な変化が生じた場合に、独立したレビューを実施する。 18.2.2 管理者は、自分の責任の範囲内における情報処理及び手順が、適切な情報セキュリティのための方針群、標準類、及び他の全てのセキュリティ要求事項を順守していることを定期的にレビューする。 18.2.3 情報システムを、組織の情報セキュリティのための方針群及び標準の順守に関して、定めに従ってレビューする。 ・組織は、困難な状況(adverse situation)(例えば、危機又は災害)における、情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定している。 ・組織は、困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための、プロセス、手順及び管理策を確立し、文書化し、実施し、維持している。 ・確立及び実施した情報セキュリティ継続のための管理策が、困難な状況の下で妥当かつ有効であることを確実にするために、組織は、定められた間隔でこれらの管理策を検証している。 情報処理施設は、可用性の要求事項を満たすのに十分な冗長性をもって、導入している。 ・各情報システム及び組織について、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保っている。 ・知的財産権及び権利関係のあるソフトウェア製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を実施している。 ・知的財産権の順守に対応するためのプロセスを確立している。 ・記録は、法令、規制、契約及び事業上の要求事項に従って、消失、破壊、改ざん、認可されていないアクセス及び不正な流出から保護している。 ・振興会に、クラウドサービスに蓄積する記録の保護方法について、情報を提供している。 ・プライバシー及び個人識別情報(PII) の保護は、関連する法令及び規制が適用される場合には、その要求に従って確実に行っている。 ・暗号化機能は、関連する全ての協定、法令及び規制を順守して用ている。 ・クラウドサービス利用者に、適用する協定、法令及び規則を順守していることをレビューするため、クラウドサービス事業者が実装した暗号による管理策の記載を、提供している。 ・情報セキュリティ及びその実施の管理(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)に対する組織の取組みについて、あらかじめ定めた間隔で、又は重大な変化が生じた場合に、独立したレビューを実施している。 ・管理者は、自分の責任の範囲内における情報処理及び手順が、適切な情報セキュリティのための方針群、標準類、及び他の全てのセキュリティ要求事項を順守していることを定期的にレビューしている。 ・情報システムを、組織の情報セキュリティのための方針群及び標準の順守に関して、定めに従ってレビューしている。 60616263無 無 無 無