公開:

ISO/IEC27001:2022附属書A新管理策「8.12データ漏えいの防止」解説

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JISQ27001:2023として2023年9月20日に発行されました。

このコラムでは、新規格であるJISQ27001:2023(ISO/IEC27001:2022)への改訂にあたり新たに設けられた管理策を順次解説します。

前回のテーマは「8.11 データマスキング」の解説でした。8回目のテーマは、「8.12 データ漏えいの防止」の解説です。

管理策「8.12 データ漏えいの防止」内容

情報漏えいと漏えいの前段階である認可されていない情報の抽出を検知し、予防するための管理策です。また、ヒトによる漏えいや抽出だけでなく、システムによる漏えいや抽出も対象となります。

対象となる情報は機密性の高い情報であり、具体的には、情報資産台帳等の目録の中から対象を特定することになります(個別に特定せずとも「個人情報」「機密性レベルが社外秘以上の情報」といったような特定でも運用することができれば可です)。

また、検知・予防のためにメール送信のような情報をやり取りするチャネルの監視や一定の操作を検知したり制限するようなツールの導入を推奨しています。

なお、この管理策は、他の管理策でも触れられている対策をまとめたような内容になっております。

管理策の実装例

  • 漏えいのインターフェイスとなるメール送信、ファイル転送といったプロセスの監視(ソフトウェアによる検知や、メール送信時のダブルチェック等)
  • 記憶媒体の持ち込みや持ち出しを制限するルールの導入
  • ファイルの複製やスクリーンショットを禁止制限するルールの導入、ツールの導入

次回は、「8.16 監視活動」を解説します。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00