セキュリティ

 

情報セキュリティ マニュアル (ISM) の目的は、組織がリスク管理フレームワークを使用して情報技術および運用技術システム、アプリケーション、データをサイバー脅威から保護するために適用できるサイバーセキュリティ フレームワークの概要を示すことです。"

目的

情報セキュリティ マニュアル (ISM) の目的は、組織がリスク管理フレームワークを使用して適用できるサイバー セキュリティ フレームワークを概説し、情報技術および運用技術システム、アプリケーション、およびデータをサイバー脅威から保護することです。

対象読者

ISM は、最高情報セキュリティ責任者 (CISO)、最高情報責任者、サイバー セキュリティ専門家、および情報技術マネージャーを対象としています。

権限

ISM は、オーストラリア通信信号局 (ASD) の熟慮されたアドバイスを表しています。このアドバイスは、2001 年諜報機関法に基づく ASD の指定機能に従って提供されます。

ASD は、オーストラリア通信セキュリティ指示書やその他のサイバー セキュリティ関連の出版物の形でサイバー セキュリティ アドバイスも提供しています。これらの場合、デバイスおよびアプリケーション固有のアドバイスが ISM のアドバイスよりも優先されることがあります。

法律および法的考慮事項

法律、または法律に基づく指示、またはその他の法的権限によって組織が ISM に準拠することを強制されない限り、組織は法律上 ISM に準拠する必要はありません。さらに、ISMは法律や法令によって課せられた義務に優先するものではありません。最後に、ISMが法律や法令と矛盾する場合は、後者が優先されます。ISMには、組織にとって法律や法令が関係する可能性がある例が含まれていますが、このような問題を包括的に考慮する必要があります。システムを設計、運用、廃止する際には、組織は、1983 年公文書保存法、1988 年プライバシー法、2018 年重要インフラのセキュリティ法、1979 年電気通信 (傍受およびアクセス) 法などの関連法に精通しておくことが推奨されます。

サイバー セキュリティの原則

ISM 内のサイバー セキュリティの原則の目的は、組織が情報技術および運用技術システム、アプリケーション、およびデータをサイバー脅威から保護する方法に関する戦略的なガイダンスを提供することです。これらのサイバー セキュリティの原則は、管理、識別、保護、検出、および対応の 5 つの機能にグループ化されています。

組織は、組織内でサイバー セキュリティの原則が遵守されていることを実証できる必要があります。

サイバー セキュリティのガイドライン

ISM 内のサイバー セキュリティのガイドラインの目的は、組織が情報技術および運用技術システム、アプリケーション、およびデータをサイバー脅威から保護する方法に関する実用的なガイダンスを提供することです。組織は、運用する各システムに関連するサイバー セキュリティのガイドラインを考慮する必要があります。

「この文書の文脈における #リスク は、公共部門の情報資産の保護に焦点を当てています。これは、多くの場合、#セキュリティ リスク、情報セキュリティ リスク、または情報リスクと呼ばれ、組織のリスク管理フレームワーク内の他のリスク カテゴリとともに考慮されるリスク カテゴリです。これにより、リスクのコンテキストを理解し、組織のセキュリティ リスクのプロファイルを作成しやすくなります。」