🔧 阿川の電商水電行
Shopify 顧問、維護與客製化
💡
小任務 / 單次支援方案
單次處理 Shopify 修正/微調
⭐️
維護方案
每月 Shopify 技術支援 + 小修改 + 諮詢
🚀
專案建置
Shopify 功能導入、培訓 + 分階段交付
安全性指南、框架集
學習在行業或技術等領域具有影響力的指南或框架非常有益。
本文旨在透過獲得通常不會參考的廣泛知識,來振興整個安全業界。為此,我們以在國內外被廣泛參考且可免費瀏覽的資料為中心進行刊載。
希望這篇文章能成為你了解新「安全世界」的契機。
對於分類等沒有特定的堅持!希望你能有所幫助!
※2024年版請點此。
組織、行業別指南集
網路安全管理
※企業或組織在網路安全的確保上進行有組織、有系統的努力
| 名稱 | 概要 | 發行元 |
|---|---|---|
| JIS Q 27001:2023 資訊安全、網路安全及隱私保護―資訊安全管理系統―要求事項 | 規定ISMS要求事項的國際標準,提供組織建立、實施、維護及持續改進ISMS的要求 | JIS(ISMS), 2023(註冊後可免費瀏覽) |
| ISO/IEC 27005:2022 資訊安全、網路安全及隱私保護-資訊安全風險管理指南 | 具體步驟和方法論展示風險的識別、分析、評估和應對等一系列過程的國際標準 | JIS(ISMS), 2023(註冊後可免費瀏覽) |
| 組織內部不正防止指南 | 能有效實施企業或其他組織所需的內部不正對策 | IPA, 2023 |
| CSIRT材料 | 支援建構「組織內CSIRT」的組織性事件回應體系的材料。考慮到建立CSIRT的組織,可以根據過去的事件應對經驗整理或檢討現有體系,作為參考 | JPCERT, 2021 |
| CSIRT人員的定義與確保 Ver.2.1 | 明確各企業CSIRT所需的功能、體制和人力,以支持CSIRT的持續運作 | 日本CISO協會, 2021 |
| CSIRT人員的培養 Ver1.0 | 以「CSIRT人員的定義與確保 Ver.2.1」所定義的CSIRT所需的角色和技能為基礎,集結WG成員的最佳實踐,探討如何按每個角色進行培養及如何將兼任角色分組進行培養 | 日本CISO協會, 2022 |
| 安全對應組織的教科書 第3.2.1版 | 廣泛整理與安全相關的業務,如事件應對、安全運作、脆弱性診斷等,並示範組織該如何掌握整體觀以實現網路安全對應 | ISOG-J, 2025 |
| 強化安全對應組織(SOC/CSIRT)的網路安全資訊共享「5W1H」第2.0版 | 整理SOC和CSIRT的安全技術人員使用的「資訊」,從5W1H的觀點出發,逐步彙總「網路安全資訊共享的5W1H」 | ISOG-J, 2019 |
| 證據保全指南 第10版 | 以推動我國相關技術普及的立場,提升面對上述情況應對能力,並作為我國電子證據保全程序的參考,匯總考量各種案件特性的見解和技術 | 特定非營利活動法人數位取證研究會, 2025 |
| 業務持續指南 | 主要針對民間企業,內容涵蓋各行各業及規模,展示業務持續的努力,包含業務持續計畫(BCP)及業務持續管理(BCM)的概述、必要性、有效性、實施方法、制定方法及注意事項,以促進我國企業的自發性業務持續努力,進而提升全國的業務持續能力 | 內閣府, 2023 |
| 釣魚對策指南 | 整理針對釣魚的預防措施及發生釣魚受害時的對應指南 | 釣魚對策協議會, 2025 |
| CIS關鍵安全控件版本8.1 | 專注於組織「應當採取的最低誠信技術對策」,為所有企業級組織界定18個控件和153項具體安全措施,以便中小企業至大企業根據自身情況進行對應 | CIS, 2024 |
管理層、CISO
| 名稱 | 概要 | 發行元 |
|---|---|---|
| CISO手冊 V1.1β | 為CISO提供一套明確的安全目標、指標及措施,基於業務的基本框架可以評估的判準 | JNSA(日本網路安全協會), 2018 |
| 網路安全經營指南 V3.0 | 旨在推動在經營者領導下的網路安全對策,整理經營者需認識的「三原則」及指令負責資訊安全措施的幹部應指示的「10項重要事項」 | 經濟產業省, 2023 |
| 網路風險手冊 董事會手冊 日本版 | ISA和NACD發行的手冊日本版,針對企業經營風險的董事考量內容 | 經團連 |
| 確保重要基礎設施網路安全的主要資料 | 显示與重要基础设施相关的网络安全行动计划、安全基准等的制定指引 | 国家网络办公室(NCO), 2025 |
中小企業
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 中小企業資訊安全對策指南 | 包括個人經營者和小型事業者在內的中小企業在資訊安全對策上的指針(經營者編)和實施對策的步驟和方法(實踐編) | IPA, 2024 |
| 中小企業需追求的安全設計 | 在獲得經營者的IT系統投資批准後,中小企業資訊系統部門需考量的IT系統導入、運營及淘汰的整體安全性 | JNSA, 2020 |
政府資訊系統
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 政府資訊系統中雲端服務的適當利用基本方針(改定案) | 政府資訊系統的系統方式中,以雲端服務的採用為預設(第一候選),並示範如何適當(智慧)利用雲端的標準指南 | 數位社會推進會議幹事會, 2025 |
| ISMAP-政府信息系統的安全評估制度 | 提前評估並登記符合政府安全要求的雲端服務,以確保政府在雲端服務調度中的安全水平,助於政府機關等順利導入雲端服務 | NISC、數位局、總務省、經濟產業省,2024 |
| 數位社會推進標準指南 | 關於服務、業務改革及相關政府資訊系統的整備和管理程序、各種技術標準等的共同規則或參考文件等 | 數位局, 2025 |
| 地方公共機關資訊安全政策指南 | 作為各地方公共機關在策劃或檢討資訊安全政策時的參考,闡述資訊安全政策的思想和內容 | 總務省, 2025 |
NIST
※摘錄
| 名稱 | 概要 | 發行元 |
|---|---|---|
| NIST彙編集 | 刊載多種NIST文檔(中文) | IPA |
| The NIST Cybersecurity Framework (CSF) 2.0 | 為產業界、政府機關及其他組織提供的管理網路安全風險的指導 | NIST, 2024 |
| FIPS 199 聯邦政府資訊及資訊系統安全分類標準 | 為提供根據風險等級的適當資訊安全而設定的標準,適用於聯邦政府機關所收集、維護的所有資訊和資訊系統 | NIST, 2006 |
| SP 800-30 Rev.1 風險評估執行指導 | 為辨識資訊系統等資產、識別、分析、評估潛在風險,並優先執行降低風險的措施之過程提供指導 | NIST, 2013 |
| SP 800-53 Rev.5 組織及資訊系統的安全與隱私管理措施 | 顯示美國聯邦政府的內部安全標準的指導,可作為一般企業的基準 | NIST, 2021 |
| SP 800-171 Rev.3 非聯邦政府組織及系統中的管理對象非機密資訊CUI的保護 | 提供對非聯邦系統中不屬於政府機密但需要保護的CUI進行安全處理的指導 | NIST, 2024 |
醫療安全
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 醫療資訊系統安全管理指南第6.0版 | 涉及所有醫療資訊系統,從醫療機構的角度對醫療資訊的處理規定 | 厚生勞動省, 2025 |
| 處理醫療資訊的系統及服務提供者安全管理指南2.0版 | 針對依合約提供醫療資訊系統的業者所需遵循的風險管理及制度要求 | 總務省、經濟產業省, 2025 |
產品與控制安全
| 名稱 | 概要 | 發行元 |
|---|---|---|
| IoT的安全性 | IPA彙整有關「IoT開發中的安全設計指南」及「ENISA IoT安全標準缺口分析」等調查報告和指南 | IPA, 2023 |
| IoT安全檢查清單 | 為系統/IoT設備開發者及使用者彙整應檢查的要點,以確保IoT設備在存在威脅環境下安全運行的39項安全功能 | JPCERT/CC, 2019 |
| IoT裝置安全要求指南2023年版_v1.0(CCDS-GR01-2023) | 定義可連網裝置必須遵循的最低要求(對策等級:★一顆星),並提供易於確認的檢查清單等 | 一般社團法人重要生活機器連結安全協議會,2022 |
| CSA IoT控制矩陣v3指南 | IoT安全控制框架為提供安全執行和滿足行業最佳實踐的工具 | CSA,2022 |
| IoT安全指南 Ver2.0 | 根據國際標準規定的安全要求,解釋保障放心安全的生命周期管理(設計、製造到服務運行、淘汰)的實現方式 | 一般社團法人安全IoT平台協議會, 2022 |
| 跨領域網路安全效能目標 Ver.1.0.1(2023-03)日文翻譯版 | 旨在協助中小型重要基礎設施業者開展網路安全保證的基本對策 | CISA, 2023 |
| 控制系統的安全風險分析指南 第2版 | 幫助業者進行控制系統的安全風險分析,從而徹底提升基礎設施和工業系統的安全性 | IPA, 2023 |
| 建築系統的網路-物理安全對策指南 | 關於建築系統的網路安全的指導 | 經濟產業省, 2023 |
| J-CLICS STEP1/STEP2(ICS安全自評工具) | 構成「檢查清單」及「問題項目指導」的資料,以幫助理解控制系統的安全對策情況 | JPCERT/CC, 2023 |
| 工廠系統的網路-物理安全對策指南1.1版 | 提供實施工廠系統安全對策的參考思路和步驟 | 產業網路安全研究會工作小組1(制度、技術、標準化)工廠子工作小組、經濟產業省, 2025 |
| 為具備控制系統SIRT功能的指導(CSIRT材料補充資料) | 總結JPCERT/CC與多家製造事業者的ICS安全負責人組成的社群所探討的應具備的能力以及相關需求 | JPCERT/CC, 2024 |
| 網路-物理安全對策框架(CPSF) | 依據行業特性對網路-物理安全對策的探討,分為建築SWG、工廠SWG、智慧家庭SWG等 | 經濟產業省, 2024 |
| 半導體設備工廠OT安全指南 | 關於半導體行業的國際安全標準的建議 | 經濟產業省, 2025 |
| 自工會/部工會-網路安全指南 V2.3 | 明確針對自動車製造商及供應鏈的網路安全對策框架 | 日本自動車工業會(JAMA)/日本自動車部件工業會(JAPIA), 2025 |
| 能源資源聚合業務的網路安全指南 | 提供業者針對需求方能源資源的利用方案的網路安全對策指導 | 資源能源廳/IPA, 2025 |
| SP 800-82 Rev.2 工業控制系統(ICS)安全指南 | 提供關於包括SCADA、DCS和PLC的工業控制系統修護方法的指導,Rev.3僅提供英文版 | NIST, 2016 |
金融安全
| 名稱 | 概要 | 發行元 |
|---|---|---|
| PCI DSS v4.0.1 | 保障信用卡資訊安全的國際安全標準 | PCI, 2024 |
| 信用卡安全指南 | 為建立安全及放心的信用卡使用環境,整合與信用卡交易有關的事業者應執行的安全對策 | 信用卡交易安全對策協議會, 2025 |
| 金融業網路安全指南 | 針對日本境內的金融機構提出的網路安全對策指導,旨在確保金融機構的功能穩定及存款者保護 | 金融廳, 2024 |
遠端工作安全
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 遠端工作中的安全保障 | 針對企業等實施遠端工作時的安全疑慮,提供導入及運用遠端工作的安全對策指導 | 總務省, 2021 |
安全人材
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 安全知識領域(SecBoK)人力資源技能地圖2021年版 | 為IT供應商及安全供應商之外,許多企業培養安全人力資源的參考資料 | JNSA, 2021 |
技術別指南集
雲端安全
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 雲端計算安全指南 V4.0 | 針對業務視角的指導、啟示,展示管理及緩解雲端技術所帶來的風險的方法 | CSAJC, 2018 |
| 雲端重大安全風險11項惡意威脅 | 提供有關雲端的合規、風險的管理建議及參考範例 | CSAJC, 2019 |
| 雲端配置錯誤對策手冊 | 促進雲端服務使用和提供中的適當設置,推動安全和可靠的雲端服務的良好應用,提供雲端服務供應商和使用者必要的對策 | 總務省, 2024 |
| AWS基礎安全最佳實踐(FSBP)標準 | 為AWS帳戶的所有工作負載提供持續評估的指導,快速識別最佳實踐的偏離區域,改善及維持組織的安全體系 | AWS |
| Azure安全最佳實踐與模式 | 對於設計者、架構師、開發者和測試人員,示範如何建立及部署安全保障的Azure解決方案的最佳實踐 | 微軟, 2024 |
網頁安全
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 安全網站的構建方法 | 根據IPA收到的脆弱性相關資訊,針對開發者或網站運營者提供建議,以考慮適當的安全性進行網站開發 | IPA, 2021 |
| OWASP前10名 | OWASP對於Web應用程式的脆弱性、風險及攻擊方法等進行研究,整理出在Web安全上最具危險性的項目,並定期(每2-3年)發行安全報告 | OWASP, 2021 |
AI安全
| 名稱 | 概要 | 發行元 |
|---|---|---|
| 針對AI系統的已知攻擊與影響 | 詳述針對AI系統的各種已知攻擊手法及其影響 | 未來更新 |
共有 0 則留言
文字內容提供幾種功能:
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
熱門文章
🏆 本月排行榜
評分標準:發文×10 + 留言×3 + 獲讚×5 + 點讚×1 + 瀏覽數÷10
本數據每小時更新一次
🔧 阿川の電商水電行
Shopify 顧問、維護與客製化
💡
小任務 / 單次支援方案
單次處理 Shopify 修正/微調
⭐️
維護方案
每月 Shopify 技術支援 + 小修改 + 諮詢
🚀
專案建置
Shopify 功能導入、培訓 + 分階段交付