A.5.25 情報セキュリティ事象の評価及び決定
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.25 |
| 分類 | 組織的管理策 |
組織は、情報セキュリティ事象を評価し、それを情報セキュリティインシデントに分類するかどうかを決定しなければならない。
情報セキュリティ事象を適切に分類し、優先順位を付けて対応するため。
実施の手引き
Section titled “実施の手引き”情報セキュリティ事象の評価には、以下を考慮する必要がある。
- 事象の性質と範囲
- 影響を受ける資産
- 潜在的な影響
- 緊急性
事象とインシデントの区別
Section titled “事象とインシデントの区別”| 用語 | 定義 |
|---|---|
| 情報セキュリティ事象 | 情報セキュリティ方針への違反又はセキュリティ管理策の失敗の可能性を示す、システム、サービス又はネットワークの状態の発生 |
| 情報セキュリティインシデント | 事業運営を危うくする可能性が高い、又は情報セキュリティを脅かす可能性が高い、望まない又は予期しない情報セキュリティ事象 |
| 評価項目 | 確認内容 |
|---|---|
| 影響範囲 | 影響を受けるシステム、データ、ユーザーの範囲 |
| 機密性への影響 | 情報漏洩の有無、範囲 |
| 完全性への影響 | データ改ざんの有無、範囲 |
| 可用性への影響 | サービス停止の有無、期間 |
当社における実施状況
Section titled “当社における実施状況”当社では、インシデント発生時の影響評価基準を定めている。レベル3(顧客・社会への影響)、レベル2(事業継続への影響)、レベル1(社内のみの影響)、レベル0(将来的なリスク)の4段階で評価する。
-
- 情報セキュリティインシデント対応及び事業継続管理