分野：マネジメント系
中分類：システム監査
小分類：システム監査

情報セキュリティ管理基準は、組織において効果的な情報セキュリティマネジメント体制を構築し、適切なコントロール(管理策)を整備・運用するための実践的な規範であると同時に、情報セキュリティ監査をする際に、監査人が監査上の判断の尺度として使うべき基準です。情報セキュリティ管理基準(平成28年)では、"12.2 マルウェアからの保護"として全部で14個のコントロール項目を規定しています。

• 情報セキュリティ管理基準（以下、本基準）では、予防または定常作業として「ウェブページに対するマルウェア検出のための走査」を行うことを求めているため、適切な対応状況と判断できます。
• 本基準では「マルウェアの攻撃から回復するための適切な事業継続計画を策定する」ことを求めているため、適切な対応状況と判断できます。
• 正しい。本基準では、「認可されていないソフトウェアの使用を禁止する正式な方針を確立する」とともに「認可されていないソフトウェアの使用を防止又は検出するための管理策を実施する」ことを求めています。したがって、組織が認可していないソフトウェアを使用している状況は、指摘事項に該当します。
• 本基準では「マルウェアに付け込まれる可能性のある脆弱性を、技術的脆弱性管理などを通じて低減させる」ことを求めているため、適切な対応状況と判断できます。