ISO 27001:2013 規制コンプライアンスの組み込みイニシアティブの詳細
この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、ISO 27001:2013 のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。 "所有権" については、Azure Policy のポリシー定義に関するページと、「クラウドにおける共同責任」を参照してください。
以下のマッピングは、ISO 27001:2013 コントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、ISO 27001:2013 規制コンプライアンスの組み込みイニシアティブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
暗号化
暗号化コントロールの使用に関するポリシー
ID: ISO 27001:2013 A.10.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| プライバシー ポリシーの文書化と配布 | CMA_0188 - プライバシー ポリシーの文書化と配布 | Manual、Disabled | 1.1.0 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
キー管理
ID: ISO 27001:2013 A.10.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウント資格情報を終了する | CMA_C1022 - カスタマー コントロールのアカウント資格情報を終了する | Manual、Disabled | 1.1.0 |
物理セキュリティおよび論理セキュリティ
物理的なセキュリティ境界
ID: ISO 27001:2013 A.11.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| セキュアな監視カメラ システムを管理する | CMA_0354 - セキュアな監視カメラ システムを管理する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
物理的な入退管理策
ID: ISO 27001:2013 A.11.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 承認されていないメンテナンス アクティビティを監視する担当者の指定 | CMA_C1422 - 承認されていないメンテナンス アクティビティを監視する担当者の指定 | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| 承認されたリモート メンテナンス担当者リストの管理 | CMA_C1420 - 承認されたリモート メンテナンス担当者リストの管理 | Manual、Disabled | 1.1.0 |
| メンテナンス担当者の管理 | CMA_C1421 - メンテナンス担当者の管理 | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
オフィス、部屋、施設のセキュリティ保護
ID: ISO 27001:2013 A.11.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
外部および環境の脅威からの保護
ID: ISO 27001:2013 A.11.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
セキュリティで保護された領域での業務
ID: ISO 27001:2013 A.11.1.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
引き渡しおよび荷積みエリア
ID: ISO 27001:2013 A.11.1.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 資産管理の要件を定義する | CMA_0125 - 資産管理の要件を定義する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| セキュアな監視カメラ システムを管理する | CMA_0354 - セキュアな監視カメラ システムを管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
機器の設置と保護
ID: ISO 27001:2013 A.11.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
サポート ユーティリティ
ID: ISO 27001:2013 A.11.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 自動非常用照明を使用する | CMA_0209 - 自動非常用照明を使用する | Manual、Disabled | 1.1.0 |
| インターネット アクセス プロバイダーの要件を確立する | CMA_0278 - インターネット アクセス プロバイダーの要件を確立する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
ケーブルのセキュリティ
ID: ISO 27001:2013 A.11.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
機器メンテナンス
ID: ISO 27001:2013 A.11.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート メンテナンス アクティビティを自動化する | CMA_C1402 - リモート メンテナンス アクティビティを自動化する | Manual、Disabled | 1.1.0 |
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| リモート メンテナンス アクティビティの完全なレコードを生成する | CMA_C1403 - リモート メンテナンス アクティビティの完全なレコードを生成する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| タイムリーなメンテナンス サポートを提供する | CMA_C1425 - タイムリーなメンテナンス サポートを提供する | Manual、Disabled | 1.1.0 |
資産の削除
ID: ISO 27001:2013 A.11.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| 資産管理の要件を定義する | CMA_0125 - 資産管理の要件を定義する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
敷地外の機器と資産のセキュリティ
ID: ISO 27001:2013 A.11.2.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| 個人が戻ったときに不要なセキュリティ セーフガードを確認する | CMA_C1183 - 個人が戻ったときに不要なセキュリティ セーフガードを確認する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 情報システムが個人と一緒に使用することを許可しない | CMA_C1182 - 情報システムが個人と一緒に使用することを許可しない | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
機器の安全な廃棄または再利用
ID: ISO 27001:2013 A.11.2.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
無人のユーザー機器
ID: ISO 27001:2013 A.11.2.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを自動的に終了する | CMA_C1054 - ユーザー セッションを自動的に終了する | Manual、Disabled | 1.1.0 |
セキュリティ上問題のないデスクおよび画面に関するポリシー
ID: ISO 27001:2013 A.11.2.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
操作のセキュリティ
文書化された運用手順
ID: ISO 27001:2013 A.12.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報システムのドキュメントを配布する | CMA_C1584 - 情報システムのドキュメントを配布する | Manual、Disabled | 1.1.0 |
| 顧客によって定義されたアクションを文書化する | CMA_C1582 - 顧客によって定義されたアクションを文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| 管理者向けドキュメントを取得する | CMA_C1580 - 管理者向けドキュメントを取得する | Manual、Disabled | 1.1.0 |
| ユーザー セキュリティ機能のドキュメントを取得する | CMA_C1581 - ユーザー セキュリティ機能のドキュメントを取得する | Manual、Disabled | 1.1.0 |
| 管理者とユーザーのドキュメントを保護する | CMA_C1583 - 管理者とユーザーのドキュメントを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
変更管理
ID: ISO 27001:2013 A.12.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
容量管理
ID: ISO 27001:2013 A.12.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キャパシティ プランニングの実施 | CMA_C1252 - キャパシティ プランニングの実施 | Manual、Disabled | 1.1.0 |
| 監査処理アクティビティを管理および監視する | CMA_0289 - 監査処理アクティビティを管理および監視する | Manual、Disabled | 1.1.0 |
開発、テスト、運用環境の分離
ID: ISO 27001:2013 A.12.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 暗号化されていない静的認証子がないことを確認する | CMA_C1340 - 暗号化されていない静的認証子がないことを確認する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| PII を保護するためのコントロールを実装する | CMA_C1839 - PII を保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | CMA_0331 - リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
マルウェアに対する管理策
ID: ISO 27001:2013 A.12.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 更新されたセキュリティ認識トレーニングを提供する | CMA_C1090 - 更新されたセキュリティ認識トレーニングを提供する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
情報のバックアップ
ID: ISO 27001:2013 A.12.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| トランザクション ベースの回復を実装する | CMA_C1296 - トランザクション ベースの回復を実装する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
イベント ログ
ID: ISO 27001:2013 A.12.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 職員に情報流出のアラートを通知する | CMA_0007 - 職員に情報流出のアラートを通知する | Manual、Disabled | 1.1.0 |
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| VoIP の承認、監視、制御 | CMA_0025 - VoIP の承認、監視、制御 | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| Azure 監査機能を構成する | CMA_C1108 - Azure 監査機能を構成する | Manual、Disabled | 1.1.1 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| 侵害のインジケーターを検出する | CMA_C1702 - 侵害のインジケーターを検出する | Manual、Disabled | 1.1.0 |
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| アクセス制限の適用と監査 | CMA_C1203 - アクセス制限の適用と監査 | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| コンシューマー リクエストのためのメソッドを実装する | CMA_0319 - コンシューマー リクエストのためのメソッドを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| システム アクティビティの監視に関する法的意見を得る | CMA_C1688 - システム アクティビティの監視に関する法的意見を得る | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 必要に応じて監視情報を提供する | CMA_C1689 - 必要に応じて監視情報を提供する | Manual、Disabled | 1.1.0 |
| SORNs でアクセス手順を公開する | CMA_C1848 - SORNs でアクセス手順を公開する | Manual、Disabled | 1.1.0 |
| プライバシーに関する法律の記録にアクセスするルールと規制を公開する | CMA_C1847 - プライバシーに関する法律の記録にアクセスするルールと規制を公開する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| AU-02 で定義されているイベントの確認と更新 | CMA_C1106 - AU-02 で定義されているイベントを確認して更新する | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| 承認されていない変更の変更を確認する | CMA_C1204 - 承認されていない変更の変更を確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
ログ情報の保護
ID: ISO 27001:2013 A.12.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| データ処理者の職務を定義する | CMA_0127 - データ処理者の職務を定義する | Manual、Disabled | 1.1.0 |
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
| サードパーティに対する PII の開示を記録する | CMA_0422 - サードパーティに対する PII の開示を記録する | Manual、Disabled | 1.1.0 |
| PII 共有とその結果に関するスタッフのトレーニング | CMA_C1871 - PII 共有とその結果に関するスタッフのトレーニング | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
管理者とオペレーターのログ
ID: ISO 27001:2013 A.12.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| VoIP の承認、監視、制御 | CMA_0025 - VoIP の承認、監視、制御 | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| システム アクティビティの監視に関する法的意見を得る | CMA_C1688 - システム アクティビティの監視に関する法的意見を得る | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
| 必要に応じて監視情報を提供する | CMA_C1689 - 必要に応じて監視情報を提供する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
時計の同期化
ID: ISO 27001:2013 A.12.4.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 監査レコードをシステム全体の監査にコンパイルする | CMA_C1140 - 監査レコードをシステム全体の監査にコンパイルする | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1 |
| 監査レコードにシステム クロックを使用する | CMA_0535 - 監査レコードにシステム クロックを使用する | Manual、Disabled | 1.1.0 |
運用システムへのソフトウェアのインストール
ID: ISO 27001:2013 A.12.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのコンプライアンスを管理する | CMA_0290 - クラウド サービス プロバイダーのコンプライアンスを管理する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
技術的脆弱性の管理
ID: ISO 27001:2013 A.12.6.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| リスク評価を実施して結果を配布する | CMA_C1544 - リスク評価を実施して結果を配布する | Manual、Disabled | 1.1.0 |
| リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| セキュリティ制御評価の追加テストを選択する | CMA_C1149 - セキュリティ制御評価の追加テストを選択する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
ソフトウェアのインストールに関する制限
ID: ISO 27001:2013 A.12.6.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのコンプライアンスを管理する | CMA_0290 - クラウド サービス プロバイダーのコンプライアンスを管理する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
情報システム監査管理策
ID: ISO 27001:2013 A.12.7.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 侵入テストに別個のチームを採用する | CMA_C1171 - 侵入テストに別個のチームを採用する | Manual、Disabled | 1.1.0 |
通信のセキュリティ
ネットワーク制御
ID: ISO 27001:2013 A.13.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
ネットワーク サービスのセキュリティ
ID: ISO 27001:2013 A.13.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
ネットワークの分離
ID: ISO 27001:2013 A.13.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
情報転送のポリシーと手順
ID: ISO 27001:2013 A.13.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスの使用を明示的に通知する | CMA_C1649 - コラボレーション コンピューティング デバイスの使用を明示的に通知する | Manual、Disabled | 1.1.1 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | CMA_C1648 - コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
情報の転送に関する契約
ID: ISO 27001:2013 A.13.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
電子メッセージング
ID: ISO 27001:2013 A.13.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
機密性または秘密保持契約
ID: ISO 27001:2013 A.13.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を文書化する | CMA_0192 - 組織のアクセス契約を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
| 不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
| ユーザーがアクセス契約に署名することを必須にする | CMA_0440 - ユーザーがアクセス契約に署名することを必須にする | Manual、Disabled | 1.1.0 |
| 改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を更新する | CMA_0520 - 組織のアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
システムの取得、開発、メンテナンス
情報セキュリティの要件の分析と仕様
ID: ISO 27001:2013 A.14.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 運用構想書 (CONOPS) を作成する | CMA_0141 - 運用構想書 (CONOPS) を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ アーキテクチャを確認および更新する | CMA_C1504 - 情報セキュリティ アーキテクチャを確認および更新する | Manual、Disabled | 1.1.0 |
| 開発プロセス、標準、ツールをレビューする | CMA_C1610 - 開発プロセス、標準、ツールをレビューする | Manual、Disabled | 1.1.0 |
パブリック ネットワークでのアプリケーション サービスのセキュリティ保護
ID: ISO 27001:2013 A.14.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
アプリケーション サービスのトランザクションの保護
ID: ISO 27001:2013 A.14.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
セキュリティで保護された開発に関するポリシー
ID: ISO 27001:2013 A.14.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| セキュリティ アーキテクチャの構築を開発者に要求する | CMA_C1612 - セキュリティ アーキテクチャの構築を開発者に要求する | Manual、Disabled | 1.1.0 |
| 正確なセキュリティ機能を説明するよう開発者に要求する | CMA_C1613 - 正確なセキュリティ機能を説明するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | CMA_C1614 - 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 開発プロセス、標準、ツールをレビューする | CMA_C1610 - 開発プロセス、標準、ツールをレビューする | Manual、Disabled | 1.1.0 |
システムの変更制御の手順
ID: ISO 27001:2013 A.14.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
運用プラットフォーム変更後のアプリケーションの技術的なレビュー
ID: ISO 27001:2013 A.14.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
ソフトウェア パッケージに対する変更の制限
ID: ISO 27001:2013 A.14.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
セキュリティで保護されたシステム エンジニアリングの原則
ID: ISO 27001:2013 A.14.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報入力の検証を実行 | CMA_C1723 - 情報入力の検証を実行 | Manual、Disabled | 1.1.0 |
| セキュリティ アーキテクチャの構築を開発者に要求する | CMA_C1612 - セキュリティ アーキテクチャの構築を開発者に要求する | Manual、Disabled | 1.1.0 |
| 正確なセキュリティ機能を説明するよう開発者に要求する | CMA_C1613 - 正確なセキュリティ機能を説明するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | CMA_C1614 - 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 開発プロセス、標準、ツールをレビューする | CMA_C1610 - 開発プロセス、標準、ツールをレビューする | Manual、Disabled | 1.1.0 |
セキュリティで保護された開発環境
ID: ISO 27001:2013 A.14.2.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
外部委託による開発
ID: ISO 27001:2013 A.14.2.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | CMA_C1602 - セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | Manual、Disabled | 1.1.0 |
システム セキュリティのテスト
ID: ISO 27001:2013 A.14.2.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| 暗号化されていない静的認証子がないことを確認する | CMA_C1340 - 暗号化されていない静的認証子がないことを確認する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | CMA_C1602 - セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | Manual、Disabled | 1.1.0 |
システムの承認テスト
ID: ISO 27001:2013 A.14.2.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 承認担当者 (AO) を割り当てる | CMA_C1158 - 承認担当者 (AO) を割り当てる | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| リソースが承認されていることを確認する | CMA_C1159 - リソースが承認されていることを確認する | Manual、Disabled | 1.1.0 |
| 暗号化されていない静的認証子がないことを確認する | CMA_C1340 - 暗号化されていない静的認証子がないことを確認する | Manual、Disabled | 1.1.0 |
テスト データの保護
ID: ISO 27001:2013 A.14.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 暗号化されていない静的認証子がないことを確認する | CMA_C1340 - 暗号化されていない静的認証子がないことを確認する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
サプライヤーとの関係性
サプライヤーとの関係性における情報セキュリティ ポリシー
ID: ISO 27001:2013 A.15.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
サプライヤーとの契約内でのセキュリティへの対処
ID: ISO 27001:2013 A.15.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| 不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
| 改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
情報と通信テクノロジのサプライ チェーン
ID: ISO 27001:2013 A.15.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
サプライヤー サービスの監視とレビュー
ID: ISO 27001:2013 A.15.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
サプライヤー サービスに対する変更の管理
ID: ISO 27001:2013 A.15.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
情報セキュリティ インシデント管理
責任と手順
ID: ISO 27001:2013 A.16.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| データ侵害レコードを保持する | CMA_0351 - データ侵害レコードを保持する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を保護する | CMA_0405 - インシデント対応計画を保護する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
情報セキュリティ イベントの報告
ID: ISO 27001:2013 A.16.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
情報セキュリティの弱点の報告
ID: ISO 27001:2013 A.16.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
情報セキュリティ イベントに関する評価と決定
ID: ISO 27001:2013 A.16.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
情報セキュリティ インシデントへの対応
ID: ISO 27001:2013 A.16.1.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
情報セキュリティ インシデントの教訓
ID: ISO 27001:2013 A.16.1.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 侵害のインジケーターを検出する | CMA_C1702 - 侵害のインジケーターを検出する | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
証拠の収集
ID: ISO 27001:2013 A.16.1.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
ビジネス継続性管理における情報セキュリティの側面
情報セキュリティの継続性の計画
ID: ISO 27001:2013 A.17.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
情報セキュリティの継続性の実装
ID: ISO 27001:2013 A.17.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| インターネット アクセス プロバイダーの要件を確立する | CMA_0278 - インターネット アクセス プロバイダーの要件を確立する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| トランザクション ベースの回復を実装する | CMA_C1296 - トランザクション ベースの回復を実装する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| 中断後にリソースを回復して再構成する | CMA_C1295 - 中断後にリソースを回復して再構成する | Manual、Disabled | 1.1.1 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
情報セキュリティの継続性の確認、レビュー、評価
ID: ISO 27001:2013 A.17.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替計画テストの修正操作を開始する | CMA_C1263 - 代替計画テストの修正操作を開始する | Manual、Disabled | 1.1.0 |
| 代替計画テストの結果を確認する | CMA_C1262 - 代替計画テストの結果を確認する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリーの計画をテストする | CMA_0509 - 事業継続とディザスター リカバリーの計画をテストする | Manual、Disabled | 1.1.0 |
情報処理施設の可用性
ID: ISO 27001:2013 A.17.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
コンプライアンス
識別が適用される法律と契約の要件
ID: ISO 27001:2013 A.18.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
知的財産権
ID: ISO 27001:2013 A.18.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 知的財産権の遵守を必須にする | CMA_0432 - 知的財産権の遵守を必須にする | Manual、Disabled | 1.1.0 |
| ソフトウェア ライセンスの使用を追跡する | CMA_C1235 - ソフトウェア ライセンスの使用を追跡する | Manual、Disabled | 1.1.0 |
レコードの保護
ID: ISO 27001:2013 A.18.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| トランザクション ベースの回復を実装する | CMA_C1296 - トランザクション ベースの回復を実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
個人を特定できる情報のプライバシーと保護
ID: ISO 27001:2013 A.18.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| コンプライアンス アクティビティを管理する | CMA_0358 - コンプライアンス アクティビティを管理する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
暗号化コントロールの規制
ID: ISO 27001:2013 A.18.1.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
情報セキュリティの独立したレビュー
ID: ISO 27001:2013 A.18.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 侵入テストに別個のチームを採用する | CMA_C1171 - 侵入テストに別個のチームを採用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
セキュリティのポリシーおよび標準への準拠
ID: ISO 27001:2013 A.18.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
技術的なコンプライアンスの確認
ID: ISO 27001:2013 A.18.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| 侵入テストに別個のチームを採用する | CMA_C1171 - 侵入テストに別個のチームを採用する | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
情報セキュリティ ポリシー
情報セキュリティに関するポリシー
ID: ISO 27001:2013 A.5.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 契約社員とサービス プロバイダーのプライバシー要件を確立する | CMA_C1810 - 契約社員とサービス プロバイダーのプライバシー要件を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| コンプライアンス アクティビティを管理する | CMA_0358 - コンプライアンス アクティビティを管理する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
情報セキュリティに関するポリシーのレビュー
ID: ISO 27001:2013 A.5.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
情報セキュリティ組織
情報セキュリティの役割と責任
ID: ISO 27001:2013 A.6.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 構成プランの保護を作成する | CMA_C1233 - 構成プランの保護を作成する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| 特定のロールと責任を果たす個人を指定する | CMA_C1747 - 特定のロールと責任を果たす個人を指定する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 構成項目の識別計画を策定する | CMA_C1231 - 構成項目の識別計画を策定する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| プライバシーに関する苦情の手順を文書化して実装する | CMA_0189 - プライバシーに関する苦情の手順を文書化して実装する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を文書化する | CMA_C1531 - サードパーティの担当者のセキュリティ要件を文書化する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を確立する | CMA_C1529 - サードパーティの担当者のセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ状態を管理する | CMA_C1746 - 情報システムのセキュリティ状態を管理する | Manual、Disabled | 1.1.0 |
| サードパーティー プロバイダーのコンプライアンスをモニターする | CMA_C1533 - サードパーティー プロバイダーのコンプライアンスをモニターする | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者の転送または解雇の通知を要求する | CMA_C1532 - サードパーティの担当者の転送または解雇の通知を要求する | Manual、Disabled | 1.1.0 |
| サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | CMA_C1530 - サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
職務の分離
ID: ISO 27001:2013 A.6.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| アクセス認可を定義して職務の分離をサポートする | CMA_0116 - アクセス認可を定義して職務の分離をサポートする | Manual、Disabled | 1.1.0 |
| 職務の分離について文書化する | CMA_0204 - 職務の分離について文書化する | Manual、Disabled | 1.1.0 |
| 個人の職務を分離する | CMA_0492 - 個人の職務を分離する | Manual、Disabled | 1.1.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
関係当局との連絡
ID: ISO 27001:2013 A.6.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 機関および専門研究グループの連絡先を管理する | CMA_0359 - 機関および専門研究グループの連絡先を管理する | Manual、Disabled | 1.1.0 |
専門研究グループとの連絡
ID: ISO 27001:2013 A.6.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ アラートを担当者に送信する | CMA_C1705 - セキュリティ アラートを担当者に送信する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 脅威インテリジェンス プログラムを確立する | CMA_0260 - 脅威インテリジェンス プログラムを確立する | Manual、Disabled | 1.1.0 |
| 内部セキュリティ アラートを生成する | CMA_C1704 - 内部セキュリティ アラートを生成する | Manual、Disabled | 1.1.0 |
| セキュリティ ディレクティブの実装 | CMA_C1706 - セキュリティ ディレクティブの実装 | Manual、Disabled | 1.1.0 |
| 機関および専門研究グループの連絡先を管理する | CMA_0359 - 機関および専門研究グループの連絡先を管理する | Manual、Disabled | 1.1.0 |
プロジェクト管理の情報セキュリティ
ID: ISO 27001:2013 A.6.1.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 事業目標と IT 目標を調整する | CMA_0008 - 事業目標と IT 目標を調整する | Manual、Disabled | 1.1.0 |
| 情報システム要件を決定するためにリソースを割り当てる | CMA_C1561 - 情報システム要件を決定するためにリソースを割り当てる | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 予算ドキュメントで個別の行項目を確立する | CMA_C1563 - 予算ドキュメントで個別の行項目を確立する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リソースの割り当てを管理する | CMA_0293 - リソースの割り当てを管理する | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 開発プロセス、標準、ツールをレビューする | CMA_C1610 - 開発プロセス、標準、ツールをレビューする | Manual、Disabled | 1.1.0 |
| リーダーシップからのコミットメントをセキュリティで保護する | CMA_0489 - リーダーシップからのコミットメントをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
モバイル デバイス ポリシー
ID: ISO 27001:2013 A.6.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
テレワーク
ID: ISO 27001:2013 A.6.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
人事セキュリティ
スクリーニング
ID: ISO 27001:2013 A.7.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 機密情報へのアクセス権を持つ職員をクリアする | CMA_0054 - 機密情報へのアクセス権を持つ職員をクリアする | Manual、Disabled | 1.1.0 |
| 職員のスクリーニングを実装する | CMA_0322 - 職員のスクリーニングを実装する | Manual、Disabled | 1.1.0 |
| 定義された頻度で個人を再表示する | CMA_C1512 - 定義された頻度で個人を再表示する | Manual、Disabled | 1.1.0 |
雇用条件
ID: ISO 27001:2013 A.7.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を文書化する | CMA_0192 - 組織のアクセス契約を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| ユーザーがアクセス契約に署名することを必須にする | CMA_0440 - ユーザーがアクセス契約に署名することを必須にする | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を更新する | CMA_0520 - 組織のアクセス契約を更新する | Manual、Disabled | 1.1.0 |
管理責任
ID: ISO 27001:2013 A.7.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を文書化する | CMA_0192 - 組織のアクセス契約を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を文書化する | CMA_C1531 - サードパーティの担当者のセキュリティ要件を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を確立する | CMA_C1529 - サードパーティの担当者のセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| サードパーティー プロバイダーのコンプライアンスをモニターする | CMA_C1533 - サードパーティー プロバイダーのコンプライアンスをモニターする | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者の転送または解雇の通知を要求する | CMA_C1532 - サードパーティの担当者の転送または解雇の通知を要求する | Manual、Disabled | 1.1.0 |
| サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | CMA_C1530 - サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | Manual、Disabled | 1.1.0 |
| ユーザーがアクセス契約に署名することを必須にする | CMA_0440 - ユーザーがアクセス契約に署名することを必須にする | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を更新する | CMA_0520 - 組織のアクセス契約を更新する | Manual、Disabled | 1.1.0 |
情報セキュリティの認識、教育、トレーニング
ID: ISO 27001:2013 A.7.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 更新されたセキュリティ認識トレーニングを提供する | CMA_C1090 - 更新されたセキュリティ認識トレーニングを提供する | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
懲戒プロセス
ID: ISO 27001:2013 A.7.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 正式な制裁プロセスを実装する | CMA_0317 - 正式な制裁プロセスを実装する | Manual、Disabled | 1.1.0 |
| 承認時に担当者に通知する | CMA_0380 - 承認時に担当者に通知する | Manual、Disabled | 1.1.0 |
雇用責任の終了または変更
ID: ISO 27001:2013 A.7.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 離職時に離職者面接を実施する | CMA_0058 - 離職時に離職者面接を実施する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| 退職する従業員によりデータが盗まれないように保護して防止する | CMA_0398 - 退職する従業員によりデータが盗まれないように保護して防止する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
アセット管理
資産のインベントリ
ID: ISO 27001:2013 A.8.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
資産の所有権
ID: ISO 27001:2013 A.8.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
許容される資産の使用
ID: ISO 27001:2013 A.8.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
資産の返却
ID: ISO 27001:2013 A.8.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 離職時に離職者面接を実施する | CMA_0058 - 離職時に離職者面接を実施する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| 退職する従業員によりデータが盗まれないように保護して防止する | CMA_0398 - 退職する従業員によりデータが盗まれないように保護して防止する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
情報の分類
ID: ISO 27001:2013 A.8.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報の分類 | CMA_0052 - 情報の分類 | Manual、Disabled | 1.1.0 |
| ビジネス分類スキームを作成する | CMA_0155 - ビジネス分類スキームを作成する | Manual、Disabled | 1.1.0 |
| セキュリティ分類が承認されていることを確認する | CMA_C1540 - セキュリティ分類が承認されていることを確認する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
情報のラベル付け
ID: ISO 27001:2013 A.8.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
資産の処理
ID: ISO 27001:2013 A.8.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| 資産管理の要件を定義する | CMA_0125 - 資産管理の要件を定義する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
リムーバブル メディアの管理
ID: ISO 27001:2013 A.8.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
メディアの廃棄
ID: ISO 27001:2013 A.8.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
物理メディア転送
ID: ISO 27001:2013 A.8.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
アクセス制御
アクセス制御ポリシー
ID: ISO 27001:2013 A.9.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
ネットワークおよびネットワーク サービスへのアクセス
ID: ISO 27001:2013 A.9.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
ユーザーの登録と登録解除
ID: ISO 27001:2013 A.9.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| システム識別子の割り当て | CMA_0018 - システム識別子の割り当て | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 定義された期間に識別子を再利用できないようにする | CMA_C1314 - 定義された期間に識別子を再利用できないようにする | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
ユーザー アクセスのプロビジョニング
ID: ISO 27001:2013 A.9.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
特権アクセス権の管理
ID: ISO 27001:2013 A.9.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
ユーザーのシークレット認証情報の管理
ID: ISO 27001:2013 A.9.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
ユーザー アクセス権のレビュー
ID: ISO 27001:2013 A.9.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 必要に応じてユーザー特権を再割り当てまたは削除する | CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
アクセス権の削除または調整
ID: ISO 27001:2013 A.9.2.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
秘密認証情報の使用
ID: ISO 27001:2013 A.9.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウント資格情報を終了する | CMA_C1022 - カスタマー コントロールのアカウント資格情報を終了する | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
情報のアクセス制限
ID: ISO 27001:2013 A.9.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
安全なログオン手順
ID: ISO 27001:2013 A.9.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| ログイン試行の連続失敗回数の制限を強制する | CMA_C1044 - ログイン試行の連続失敗回数の制限を強制する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| エラー メッセージの生成 | CMA_C1724 - エラー メッセージの生成 | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| 認証処理中にフィードバック情報を隠す | CMA_C1344 - 認証処理中にフィードバック情報を隠す | Manual、Disabled | 1.1.0 |
| エラー メッセージの表示 | CMA_C1725 - エラー メッセージの表示 | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| ユーザー セッションを自動的に終了する | CMA_C1054 - ユーザー セッションを自動的に終了する | Manual、Disabled | 1.1.0 |
パスワード管理システム
ID: ISO 27001:2013 A.9.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
| パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
特権ユーティリティ プログラムの使用
ID: ISO 27001:2013 A.9.4.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
プログラム ソース コードへのアクセス制御
ID: ISO 27001:2013 A.9.4.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
改善
不適合および是正措置
ID: ISO 27001:2013 C.10.1.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
不適合および是正措置
ID: ISO 27001:2013 C.10.1.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
不適合および是正措置
ID: ISO 27001:2013 C.10.1.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
不適合および是正措置
ID: ISO 27001:2013 C.10.1.g 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
組織のコンテキスト
情報セキュリティ管理システムのスコープの決定
ID: ISO 27001:2013 C.4.3.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
情報セキュリティ管理システムのスコープの決定
ID: ISO 27001:2013 C.4.3.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
情報セキュリティ管理システムのスコープの決定
ID: ISO 27001:2013 C.4.3.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 事業目標と IT 目標を調整する | CMA_0008 - 事業目標と IT 目標を調整する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| ビジネス ケースを使用して必要なリソースを記録する | CMA_C1735 - ビジネス ケースを使用して必要なリソースを記録する | Manual、Disabled | 1.1.0 |
| 資本計画と投資の要求に必要なリソースが含まれることを確認する | CMA_C1734 - 資本計画と投資の要求に必要なリソースが含まれることを確認する | Manual、Disabled | 1.1.0 |
| 契約社員とサービス プロバイダーのプライバシー要件を確立する | CMA_C1810 - 契約社員とサービス プロバイダーのプライバシー要件を確立する | Manual、Disabled | 1.1.0 |
| リソースの割り当てを管理する | CMA_0293 - リソースの割り当てを管理する | Manual、Disabled | 1.1.0 |
| リーダーシップからのコミットメントをセキュリティで保護する | CMA_0489 - リーダーシップからのコミットメントをセキュリティで保護する | Manual、Disabled | 1.1.0 |
情報セキュリティ管理システム
ID: ISO 27001:2013 C.4.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
リーダーシップ
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 事業目標と IT 目標を調整する | CMA_0008 - 事業目標と IT 目標を調整する | Manual、Disabled | 1.1.0 |
| 情報システム要件を決定するためにリソースを割り当てる | CMA_C1561 - 情報システム要件を決定するためにリソースを割り当てる | Manual、Disabled | 1.1.0 |
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| ビジネス ケースを使用して必要なリソースを記録する | CMA_C1735 - ビジネス ケースを使用して必要なリソースを記録する | Manual、Disabled | 1.1.0 |
| 資本計画と投資の要求に必要なリソースが含まれることを確認する | CMA_C1734 - 資本計画と投資の要求に必要なリソースが含まれることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| 予算ドキュメントで個別の行項目を確立する | CMA_C1563 - 予算ドキュメントで個別の行項目を確立する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リソースの割り当てを管理する | CMA_0293 - リソースの割り当てを管理する | Manual、Disabled | 1.1.0 |
| リーダーシップからのコミットメントをセキュリティで保護する | CMA_0489 - リーダーシップからのコミットメントをセキュリティで保護する | Manual、Disabled | 1.1.0 |
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| パフォーマンス メトリックを定義する | CMA_0124 - パフォーマンス メトリックを定義する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 事業目標と IT 目標を調整する | CMA_0008 - 事業目標と IT 目標を調整する | Manual、Disabled | 1.1.0 |
| 情報システム要件を決定するためにリソースを割り当てる | CMA_C1561 - 情報システム要件を決定するためにリソースを割り当てる | Manual、Disabled | 1.1.0 |
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| ビジネス ケースを使用して必要なリソースを記録する | CMA_C1735 - ビジネス ケースを使用して必要なリソースを記録する | Manual、Disabled | 1.1.0 |
| 資本計画と投資の要求に必要なリソースが含まれることを確認する | CMA_C1734 - 資本計画と投資の要求に必要なリソースが含まれることを確認する | Manual、Disabled | 1.1.0 |
| 予算ドキュメントで個別の行項目を確立する | CMA_C1563 - 予算ドキュメントで個別の行項目を確立する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リソースの割り当てを管理する | CMA_0293 - リソースの割り当てを管理する | Manual、Disabled | 1.1.0 |
| リーダーシップからのコミットメントをセキュリティで保護する | CMA_0489 - リーダーシップからのコミットメントをセキュリティで保護する | Manual、Disabled | 1.1.0 |
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.g 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| パフォーマンス メトリックを定義する | CMA_0124 - パフォーマンス メトリックを定義する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
リーダーシップとコミットメント
ID: ISO 27001:2013 C.5.1.h 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
ポリシー
ID: ISO 27001:2013 C.5.2.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
ポリシー
ID: ISO 27001:2013 C.5.2.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
ポリシー
ID: ISO 27001:2013 C.5.2.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
ポリシー
ID: ISO 27001:2013 C.5.2.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
ポリシー
ID: ISO 27001:2013 C.5.2.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
ポリシー
ID: ISO 27001:2013 C.5.2.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
ポリシー
ID: ISO 27001:2013 C.5.2.g 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
組織上の役割、責任、および権限
ID: ISO 27001:2013 C.5.3.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| パフォーマンス メトリックを定義する | CMA_0124 - パフォーマンス メトリックを定義する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
計画
全般
ID: ISO 27001:2013 C.6.1.1.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
全般
ID: ISO 27001:2013 C.6.1.1.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
全般
ID: ISO 27001:2013 C.6.1.1.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
全般
ID: ISO 27001:2013 C.6.1.1.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
全般
ID: ISO 27001:2013 C.6.1.1.e.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
全般
ID: ISO 27001:2013 C.6.1.1.e.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.a.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.a.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.c.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.c.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.d.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.d.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.d.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.e.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.6.1.2.e.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスクへの対応
ID: ISO 27001:2013 C.6.1.3.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスクへの対応
ID: ISO 27001:2013 C.6.1.3.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスクへの対応
ID: ISO 27001:2013 C.6.1.3.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスクへの対応
ID: ISO 27001:2013 C.6.1.3.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
情報セキュリティ リスクへの対応
ID: ISO 27001:2013 C.6.1.3.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスクへの対応
ID: ISO 27001:2013 C.6.1.3.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
情報セキュリティの目的とそれを達成するための計画
ID: ISO 27001:2013 C.6.2.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
サポート
リソース
ID: ISO 27001:2013 C.7.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 事業目標と IT 目標を調整する | CMA_0008 - 事業目標と IT 目標を調整する | Manual、Disabled | 1.1.0 |
| 情報システム要件を決定するためにリソースを割り当てる | CMA_C1561 - 情報システム要件を決定するためにリソースを割り当てる | Manual、Disabled | 1.1.0 |
| ビジネス ケースを使用して必要なリソースを記録する | CMA_C1735 - ビジネス ケースを使用して必要なリソースを記録する | Manual、Disabled | 1.1.0 |
| 資本計画と投資の要求に必要なリソースが含まれることを確認する | CMA_C1734 - 資本計画と投資の要求に必要なリソースが含まれることを確認する | Manual、Disabled | 1.1.0 |
| 予算ドキュメントで個別の行項目を確立する | CMA_C1563 - 予算ドキュメントで個別の行項目を確立する | Manual、Disabled | 1.1.0 |
| リソースの割り当てを管理する | CMA_0293 - リソースの割り当てを管理する | Manual、Disabled | 1.1.0 |
| リーダーシップからのコミットメントをセキュリティで保護する | CMA_0489 - リーダーシップからのコミットメントをセキュリティで保護する | Manual、Disabled | 1.1.0 |
能力
ID: ISO 27001:2013 C.7.2.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
能力
ID: ISO 27001:2013 C.7.2.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
能力
ID: ISO 27001:2013 C.7.2.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
能力
ID: ISO 27001:2013 C.7.2.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
意識
ID: ISO 27001:2013 C.7.3.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
意識
ID: ISO 27001:2013 C.7.3.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
意識
ID: ISO 27001:2013 C.7.3.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
通信
ID: ISO 27001:2013 C.7.4.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | CMA_C1083 - 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
通信
ID: ISO 27001:2013 C.7.4.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | CMA_C1083 - 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
通信
ID: ISO 27001:2013 C.7.4.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | CMA_C1083 - 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
通信
ID: ISO 27001:2013 C.7.4.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | CMA_C1083 - 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
通信
ID: ISO 27001:2013 C.7.4.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | CMA_C1083 - 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
作成と更新
ID: ISO 27001:2013 C.7.5.2.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
文書化された情報の制御
ID: ISO 27001:2013 C.7.5.3.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
文書化された情報の制御
ID: ISO 27001:2013 C.7.5.3.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
文書化された情報の制御
ID: ISO 27001:2013 C.7.5.3.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
文書化された情報の制御
ID: ISO 27001:2013 C.7.5.3.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
文書化された情報の制御
ID: ISO 27001:2013 C.7.5.3.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
文書化された情報の制御
ID: ISO 27001:2013 C.7.5.3.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
操作
運用計画と管理
ID: ISO 27001:2013 C.8.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスク評価
ID: ISO 27001:2013 C.8.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
情報セキュリティ リスクへの対応
ID: ISO 27001:2013 C.8.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
パフォーマンス評価
監視、測定、分析、評価
ID: ISO 27001:2013 C.9.1.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
監視、測定、分析、評価
ID: ISO 27001:2013 C.9.1.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
監視、測定、分析、評価
ID: ISO 27001:2013 C.9.1.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
監視、測定、分析、評価
ID: ISO 27001:2013 C.9.1.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
監視、測定、分析、評価
ID: ISO 27001:2013 C.9.1.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
監視、測定、分析、評価
ID: ISO 27001:2013 C.9.1.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.a.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.a.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.c 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レビュー、分析、レポートのレベルを調整する | CMA_C1123 - 監査レビュー、分析、レポートのレベルを調整する | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 個別の評価者を採用してセキュリティ管理評価を実施する | CMA_C1148 - 個別の評価者を採用してセキュリティ管理評価を実施する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
内部監査
ID: ISO 27001:2013 C.9.2.g 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.a 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| セキュリティ プログラム プロセスのためのアクション計画とマイルストーンを実装する | CMA_C1737 - セキュリティ プログラム プロセスのためのアクション計画とマイルストーンを実装する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.b 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.c.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| パフォーマンス メトリックを定義する | CMA_0124 - パフォーマンス メトリックを定義する | Manual、Disabled | 1.1.0 |
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.c.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.c.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| パフォーマンス メトリックを定義する | CMA_0124 - パフォーマンス メトリックを定義する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.c.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| パフォーマンス メトリックを定義する | CMA_0124 - パフォーマンス メトリックを定義する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.d 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.e 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
管理レビュー
ID: ISO 27001:2013 C.9.3.f 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。