セキュリティ

 

目的

情報セキュリティマニュアル（ISM）の目的は、組織がリスク管理フレームワークを用いて情報技術システムおよび運用技術システムをサイバー脅威から保護するために適用できるサイバーセキュリティフレームワークの概要を示すことです。

対象読者

ISMは、最高情報セキュリティ責任者（CISO）、最高情報責任者、サイバーセキュリティ専門家、および情報技術マネージャーを対象としています。

権限

ISMは、オーストラリア通信信号局（ASD）の思慮深い助言を反映したものです。この助言は、2001年情報サービス法に基づくASDの指定された機能に従って提供されます。

ASDは、オーストラリア通信セキュリティ指示書やその他のサイバーセキュリティ関連出版物の形でサイバーセキュリティに関する助言も提供しています。これらの場合、オペレーティングシステム、アプリケーション、およびデバイス固有の助言がISMの助言よりも優先される場合があります。

法令および法的考慮事項

組織は、法令、または法令に基づく指示もしくはその他の法的権限によって遵守が義務付けられている場合を除き、法的にISMを遵守する必要はありません。さらに、ISMは法令または法律によって課される義務に優先するものではありません。最後に、ISMが法令または法律と矛盾する場合は、後者が優先されます。

ISMには、法令または法律が組織に関連する可能性のある事例が記載されていますが、そのような問題を包括的に検討しているわけではありません。システムを設計、運用、廃止する際には、1983年公文書保存法、1988年プライバシー法、2018年重要インフラセキュリティ法、1979年電気通信（傍受およびアクセス）法などの関連法令に精通することが推奨されます。

サイバーセキュリティの原則

ISMにおけるサイバーセキュリティの原則の目的は、組織が情報技術システムおよび運用技術システムをサイバー脅威から保護するための戦略的なガイダンスを提供することです。これらのサイバーセキュリティ原則は、統制、識別、保護、検知、対応という5つの機能に分類されています。組織は、組織内でこれらのサイバーセキュリティ原則が遵守されていることを実証できる必要があります。

サイバーセキュリティガイドライン

ISMにおけるサイバーセキュリティガイドラインの目的は、組織が情報技術システムと運用技術システムをサイバー脅威から保護するための実践的なガイダンスを提供することです。組織は、関連するサイバーセキュリティガイドラインを検討する必要があります。