6
A.6.1.2
A.6.1.2. Has isolation of conflicting duties and areas of responsibilities been implemented?
Conflicting duties and areas of responsibility should be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization 's assets.
--
isolation of duties has not been implemented.
Some departments have segregated conflicting duties and areas of responsibility related to sensitive information assets.
The organization has consistently segregated conflicting duties and areas of responsibility related to sensitive information assets but allocation of responsibilities to organizational roles have not been documented.
6
A.6.1.2
A.6.1.2.
対立的任務と責任領域の分離は、実行されていますか?
無許可のもしは非意図的な修正の機会ならびに組織の資産の不正使用を減らすため、対立的任務および責任領域は分離されなければなりません。、
-
任務の分離は、実行されていません。
一部の部門で、対立的任務とデリケートな情報資産に関連する責任領域を分離しています。
組織は対立的任務とデリケートな情報資産に関連する責任領域を一貫して分離してきましたが、組織的役割に対する責任の割り当ては文書化されていません。。
The organization has documented and implemented a RACI matrix to allocate responsibilities for information assets to organizational roles to segregate conflicting duties and areas of responsibility.
Audit trails for access to information assets are maintained and reviewed by management to reduce opportunity for unauthorized or unintentional modification or misuse of assets.
Access to the organizations information assets is monitored with automated tools for unauthorized or unintentional modification or misuse of assets and corrective action taken.
対立する任務と責任の領域を分離するために、組織的役割への情報資産に対する責任を割り当てるため、組織はRACIマトリックスを文書化し実行しています。
無許可のまたは非意図的な修正の機会もしくは資産の不正使用を減らすために、情報資産へのアクセスに対する監査証跡は、経営陣によって維持、チェックされています。
組織情報資産へのアクセスは、無許可のまたは非意図的な修正もしくは資産の不正使用、および補正措置に対する自動化ツールを用いてモニターされています。
7
A.6.1.3
A.6.1.3. Does the organization maintain appropriate contacts with relevant authorities (Ex. police, government, social infrastructure company) when a trouble or incident occurs?
Appropriate contacts with relevant authorities should be maintained.
--
The organization does not maintain contacts with relevant authorities.
Some departments have identified responsible personnel and authorities to be contacted for reporting of information security incidents.
Departments across the organization have consistently identified responsible personnel and authorities to be contacted for reporting of information security incidents though procedures for contacting authorities has not been defined.
A.6.1.3
A.6.1.3 その機関が関係当局(警察、政府、社会基盤を支える会社)と適切に連絡を取り合っていたとしたら、いつ問題や事件が起こりうるのか。
適切に関連当局と連絡を取っていくことは肝要である。
--
その機関は関連当局に連絡を取り合うことをしていない。
いくつかの部門では安全に関わる出来事の内容についてはその責任を持つ個人及び当局に報告しなければならないことが定められている。
機関全体にまたがったそれぞれの部門間において、安全に関わる事件の内容を、責任のある個人及び当局に報告するように定められているにもかかわらず、当局に連絡する手順については明確になっていない。
Procedures are available that specify when and by whom authorities should be contacted and how identified information security incidents should be reported in a timely manner.
Maintenance of contacts with authorities for reporting of information security incidents is linked to business continuity and contingency planning processes and reviewed kept up to date.
Contacts with authorities are used to anticipate and prepare for upcoming changes in laws or regulations and policies of authorities which have to be implemented by the organization.
手順があることによって、いつ、また当局の誰に連絡すべきなのかを特定し、またその事件についてどのようにタイミングよく報告できるかを明確にすることができる。
東京に安全上の事件の内容を逐次連絡できるような流れを整備していくことは、ビジネスにおいて、日常的または偶発的におこっていく計画のプロセスと、アップデートされていく見直し項目とリンクしている。
当局との結びつきは、機関内で執行すべき最新の法律、規制改定の情報や当局のポリシーなどを予測、準備するために有効である。
8
A.6.1.4
A.6.1.4. Does the organization maintain appropriate contacts with special interest groups or organization of specialists of information security for advice or information about security?
Appropriate contacts with special interest groups or other specialist security forums and professional associations should be maintained.
--
The organization does not maintain contacts with special interest groups.
Some departments have established contacts with special interest groups to improve knowledge about security best practices.
8
A.6.1.4
A.6.1.4.
組織は、助言またはセキュリティに関する情報を得るのため、SIGやインフォメーション・セキュリティ専門家組織との適切な接触を維持していますか?
SIGまたは他の各専門セキュリティ・フォーラム、および専門家協会との適切な接触は維持されなければなりません。
-
組織は、SIGとの接触を維持していません。
一部部門が、セキュリティのベストプラクティスについての知識を向上させるために、SIGとの接触を開始しました。
Departments across the organization have established contacts with relevant specialist security forums and professional associations though there is no recommended list of special interest groups in place.
The organization has established a recommended list of specialist security forums and professional associations that should be consulted for best practices early warnings of advisories information about new technologies etc.
Awareness for requirement for contacts with special interest groups is maintained and refreshed and the list of recommended special interest groups is reviewed and kept up to date.
SIGの推奨リストは得られていないものの、組織中の部門で、関連した専門セキュリティ・フォーラムおよび専門家協会との接触を開始しています。
組織は、専門家セキュリティ・フォーラムおよび専門家協会の推奨リストを設定しました、新技術その他に関する委員会情報のベストプラクティスの早期警告の相談は、ここになされなければなりません。
SIGとの接触の必要性の認識は維持、更新されていますし、推奨されたSIGリストはチェックされて、最新状態に維持されています。
Information sharing agreements are established with special interest groups to improve cooperation and coordination of security issues and identify requirements for the protection of confidential information.
9
A.6.1.5
A.6.1.5. Is information security integrated into the organization's project management methods?
Information security should be addressed in project management regardless of the type of the project.
--
Information security is not addressed in the organizations project management methods.
Some departments adopt information security best practices while delivering projects.
セキュリティ問題に関する協力と協調を向上し、機密情報の保護の要件を特定するために、特別の利益集団と情報共有の合意がなされています。
9
A.6.1.5
A.6.1.5. 情報セキュリティは組織のプロジェクト管理方法と統合されていますか。
情報セキュリティは、プロジェクトの種類にかかわらず、プロジェクト管理で対応されるべきです。
情報セキュリティは組織のプロジェクト管理方法で対応されるべきです。
プロジェクトの伝達中に最適なセキュリティ実践を採択している部署もあります。
The organization consistently integrates specific information security measures based on perceived risks into project delivery methods though security requirements have not been standardized and documented.
An information security risk assessment is conducted at the early stage of the project to identify required security controls and information security responsibilities are defined and allocated to specified roles defined in the project management methods.
Information security implications are prioritized addressed and reviewed regularly in all projects.
Implementation of information security objectives is monitored in all projects. Automated tools are used where feasible.
セキュリティ要件は標準化も文書化もされていないが、組織は一貫して、プロジェクト配信方法に認識されているリスクに基づく特定の情報セキュリティ方法を一体化している。
情報セキュリティリスク査定は、必要とされるセキュリティコントロールを特定するためにプロジェクトの早い段階で行われており、情報セキュリティ責務は決定され、プロジェクト管理方法で決定された特定の役割に分配されている。
情報セキュリティ予測に優先的に対応し、すべてのプロジェクトで定期的に見直されている。
情報セキュリティ対象物の遂行はすべてのプロジェクトで監視されている。自動ツールが実行可能な範囲で使用されている。