規格名: lNR001 (List Notify Rule 001)
規格タイトル: 情報セキュリティ管理の基本原則とガイドライン
策定日: 2025年1月13日
発行機関: 日本情報標準化機構(NSHV)
1. 規格の目的
lNR001は、あらゆる組織が情報セキュリティを確保するために必要な基本原則と実施指針を提供する標準規格です。
この規格は以下を目的としています:
- 情報資産を保護し、機密性、完全性、可用性を維持する。
- サイバー攻撃や情報漏洩リスクを軽減する。
- 安全かつ信頼できる情報共有基盤を構築する。
- 組織のセキュリティ意識を高め、継続的な改善を支援する。
2. 適用範囲
lNR001は、規模や業種を問わず、すべての組織に適用されます。また、政府機関、企業、教育機関、非営利団体など、多岐にわたる分野での利用を想定しています。
1. 基本原則
3.1 機密性 (Confidentiality)
情報は適切な権限を持つ者だけがアクセスできる状態を維持する。
3.2 完全性 (Integrity)
情報が正確であり、不正な改ざんや破壊が行われていないことを保証する。
3.3 可用性 (Availability)
必要なときに情報やシステムにアクセスできる状態を確保する。
3.4 リスクベースアプローチ
リスクを評価し、重要性に応じた適切なセキュリティ対策を実施する。
3.5 継続的改善
定期的な評価と更新を行い、セキュリティ対策の有効性を維持する。
4. 実施ガイドライン
4.1 情報資産の特定と分類
- 全ての情報資産をリストアップし、その重要性に基づいて分類する。
- 機密情報、公開情報、内部限定情報などのレベルを設定する。
4.2 アクセス管理
- ユーザーの認証と権限管理を徹底する。
- アクセスログを定期的に監視・記録する仕組みを導入する。
4.3 セキュリティ対策の実施
- ファイアウォール、ウイルス対策ソフト、暗号化技術などの技術的対策を採用する。
- フィッシングやマルウェア攻撃を防ぐための教育訓練を実施する。
4.4 インシデント対応
- セキュリティインシデントが発生した際の対応プロセスを明確化する。
- 復旧計画(BCP/DRP)を策定し、緊急時に備える。(必要な場合)
4.5 監査と見直し
- 定期的なセキュリティ監査を実施し、規格遵守状況を確認する。
- 改善点を明確にし、運用ポリシーを更新する。
