web-dev-qa-db-ja.com

すべてのインスタントメッセージの詳細を記録することはISO27001要件ですか?

私たちの組織は現在ISO27001認定に向けて取り組んでおり、Skypeを使用しています。送受信されたすべてのインスタントメッセージのログを記録して保持することが明確な要件であるかどうか疑問に思っていますか?

3
user72892

通常、ISO27kでは特定の方法を実装する必要はありません。ただし、特定のドキュメントが必要です(ISMSの境界と政治、リスク分析方法の説明、適用の声明など)。 「インスタントメッセージのログの完全な保持を実装する必要がある」ということは決してありません。

ISO27002は、ISO27001を実装するためのいくつかのベストプラクティスを定義しています。おそらく、このタイプの制御が提案されていることがわかります。しかし、これも必須ではありません。

これを(通常)要件にすることができるのは次のとおりです。

  • 文書でそれを行うと述べた
  • これらのログを保持するために必要なX規制に準拠する必要があることをドキュメントに記載しました。

ISO27kは、セキュリティの実装方法ではなく、セキュリティの実装方法を規定するフレームワークです。しかし、それはあなたがしていることの説明を書くことを求めます、そして監査はあなたがあなたがしていると言っていることをすることを確認します。

4
M'vy

ISO 27001は管理標準であり、安全を確保するために何をすべきかを直接指示するものではありません。

代わりに、情報セキュリティ管理システム(ISMS)と呼ばれるツールの作成方法を説明します。次に、ISMSを使用して、何をする必要があるかを把握します。

したがって、「Skypeをログに記録する必要がある」という質問への答えは、「ISMSは何をするように指示するのか?」です。

(追伸、というわけではありませんが、これは非常に基本的なことです。このコアアイデアが理解できない場合、27001をまったく理解できず、コントロールの詳細について心配する前に、まずそれを修正する必要があります。)

3
Graham Hill

ISO/IEC 27001:2013 4.2では、関連する法的/規制要件や契約上の義務を含む可能性のある、関係者のニーズと期待を定義する必要があると述べています。 6.1.2では、情報セキュリティ管理システムの範囲に基づいて、組織の情報セキュリティリスクを特定/分析/評価/優先順位付けする情報セキュリティリスク評価プロセスを確立し、6.1.3では、リスク処理を定義/適用/文書化します。処理する。

実際の例としては、(必要な)リスク評価を実行し、パブリックIMを使用すると、個人情報を引き出し、ウイルス/著作権情報をダウンロードする機能により、組織がプライバシー、セキュリティ、および法的責任のリスクにさらされる可能性があると判断したとします。特定されたリスクレベルが6.1.2で定義したリスク許容基準を超える場合、そのリスクに対処するリスク処理計画を定義/適用/文書化する必要があります。リスク処理計画には、IMトラフィックの認証、暗号化、監査、ログ記録、および監視が含まれる場合があります。

IMロギングなど、ロギング要件がある可能性があるいくつかの領域:

  • A.12.4.1-イベントロギング-ユーザーアクティビティの記録を含む
  • A.13.2.1-情報転送のポリシーと手順-メッセージを含むビジネス通信の保存と廃棄のガイドライン
  • A.18.1.1-適用される法律および契約要件の特定-通信が公記録であるか、契約上の義務を遵守するかなど、通信を記録することが法的に義務付けられる場合があります。
0
phiz