ISO/IEC27001:2022附属書A新管理策「8.12データ漏えいの防止」解説
ISO/IEC27001:2022附属書A新管理策「8.12データ漏えいの防止」解説
情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。
このコラムでは、新規格であるJIS Q 27001:2023(ISO/IEC27001:2022)への改訂にあたり新たに設けられた管理策を順次解説します。
前回のテーマは「8.11 データマスキング」の解説でした。8回目のテーマは、「8.12 データ漏えいの防止」の解説です。
管理策「8.12 データ漏えいの防止」内容
情報漏えいと漏えいの前段階である認可されていない情報の抽出を検知し、予防するための管理策です。また、ヒトによる漏えいや抽出だけでなく、システムによる漏えいや抽出も対象となります。
対象となる情報は機密性の高い情報であり、具体的には、情報資産台帳等の目録の中から対象を特定することになります(個別に特定せずとも「個人情報」「機密性レベルが社外秘以上の情報」といったような特定でも運用することができれば可です)。
また、検知・予防のためにメール送信のような情報をやり取りするチャネルの監視や一定の操作を検知したり制限するようなツールの導入を推奨しています。
なお、この管理策は、他の管理策でも触れられている対策をまとめたような内容になっております。
管理策の実装例
- 漏えいのインターフェイスとなるメール送信、ファイル転送といったプロセスの監視(ソフトウェアによる検知や、メール送信時のダブルチェック等)
- 記憶媒体の持ち込みや持ち出しを制限するルールの導入
- ファイルの複製やスクリーンショットを禁止制限するルールの導入、ツールの導入
「8.12 データ漏えいの防止」などのISMS管理策の解説や規格改訂について、その他ご質問・ご相談がありましたら、ご遠慮なくお声がけください。
次回は、「8.16 監視活動」を解説します。
まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください
受付時間:平日 9:00~18:00