Wiki@KDS - 利用者の投稿記録 [ja]

東京オフィス座席表

2014-04-03T02:26:27Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表140403.gif]]

ファイル:座席表140403.gif

2014-04-03T02:26:05Z

Unno:

東京オフィス座席表

2013-12-05T07:17:44Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表131205.png]]

ファイル:座席表131205.png

2013-12-05T07:17:17Z

Unno:

東京オフィス座席表

2013-11-18T01:08:25Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表131118.png]]

ファイル:座席表131118.png

2013-11-18T01:08:03Z

Unno:

東京オフィス座席表

2013-10-01T06:21:37Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表131001.png]]

ファイル:座席表131001.png

2013-10-01T06:20:38Z

Unno:

東京オフィス座席表

2013-06-11T08:09:24Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表130611.png]]

ファイル:座席表130611.png

2013-06-11T08:09:01Z

Unno:

東京オフィス座席表

2013-05-27T06:45:53Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表130527.png]]

ファイル:座席表130527.png

2013-05-27T06:44:51Z

Unno:

東京オフィス座席表

2013-05-08T08:52:21Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表_130508.png]]

ファイル:座席表 130508.png

2013-05-08T08:51:46Z

Unno:

東京オフィス座席表

2012-11-19T01:47:09Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表_121119.jpg]]

ファイル:座席表 121119.jpg

2012-11-19T01:46:38Z

Unno:

ファイル:座席表 121016.jpg

2012-10-16T09:56:50Z

Unno: 「ファイル:座席表 121016.jpg」の新しい版をアップロードしました

ファイル:座席表 121016.jpg

2012-10-16T09:27:35Z

Unno:

東京オフィス座席表

2012-10-16T09:27:25Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席表_121016.jpg]]

ファイル:座席表 121010.jpg

2012-10-10T05:27:01Z

Unno:

東京オフィス座席表

2012-09-05T02:12:25Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席120905.png]]

ファイル:座席120905.png

2012-09-05T02:11:55Z

Unno:

東京オフィス座席表

2012-08-29T06:38:10Z

Unno:

東京オフィス5階の座席表です。
→[[スタッフ紹介]]

===東京オフィス5階の座席表===
[[画像:座席120829.png]]

ファイル:座席120829.png

2012-08-29T06:37:26Z

Unno:

東京オフィス座席表

2012-03-02T09:13:25Z

Unno:

===東京オフィス座席表===
[[画像:座席表 120302.gif]]

ファイル:座席表 120302.gif

2012-03-02T09:13:03Z

Unno:

東京オフィス座席表

2012-02-20T01:45:18Z

Unno:

===東京オフィス座席表===
[[画像:座席表120220.gif]]

ファイル:座席表120220.gif

2012-02-20T01:44:47Z

Unno:

東京オフィス座席表

2010-06-10T06:05:57Z

Unno:

===東京オフィス座席表===
[[画像:東京オフィス座席表_100610.gif]]

ファイル:東京オフィス座席表 100610.gif

2010-06-10T06:05:21Z

Unno:

東京オフィス座席表

2010-04-13T02:57:34Z

Unno:

===東京オフィス座席表===
[[画像:東京オフィス座席表_100412_03.gif]]

社内規則・マニュアル・各種対応事項等

2010-04-13T02:56:41Z

Unno:

===基本事項===
*[[住所・連絡先]]
*[[勤務時間]]
*[[朝当番]]
*[[最終退出時の手順]]
*[[休日表カレンダー]]
*[[東京オフィス座席表]]

===届書・提出===
*[[経費]]
*[[出張の経費届]]
*[[タイムカード〆]]
*[[代休振替について]]

===管理・運用===
*[[ISMS]]
*[[データ受け渡し用サーバ「move」の利用方法]]
*[[データ受け渡し用アップローダー]]
*[[郵便受け]]
*[[憩いの間]]
*[[水（ウォーターサーバ）]]
*[[エアコン]]

===購入・備品===
*[[社内の備品・消耗品について]]
*[[プリンタ]]
*[[定期購読雑誌について]]

===連絡・緊急時===
*[[住所・連絡先]]
*[[事故・病気の際の連絡について]]
*[[会社近辺の病院]]

===その他===
*[[印刷移転に伴う諸々メモ]]
*[[個人の危機管理]]

社内規則・マニュアル・各種対応事項等

2010-04-13T02:55:25Z

Unno:

===基本事項===
*[[住所・連絡先]]
*[[勤務時間]]
*[[朝当番]]
*[[最終退出時の手順]]
*[[休日表カレンダー]]
*[[座席表]]

===届書・提出===
*[[経費]]
*[[出張の経費届]]
*[[タイムカード〆]]
*[[代休振替について]]

===管理・運用===
*[[ISMS]]
*[[データ受け渡し用サーバ「move」の利用方法]]
*[[データ受け渡し用アップローダー]]
*[[郵便受け]]
*[[憩いの間]]
*[[水（ウォーターサーバ）]]
*[[エアコン]]

===購入・備品===
*[[社内の備品・消耗品について]]
*[[プリンタ]]
*[[定期購読雑誌について]]

===連絡・緊急時===
*[[住所・連絡先]]
*[[事故・病気の際の連絡について]]
*[[会社近辺の病院]]

===その他===
*[[印刷移転に伴う諸々メモ]]
*[[個人の危機管理]]

ファイル:東京オフィス座席表 100412 03.gif

2010-04-13T02:52:36Z

Unno:

ISMS教育資料簡略化バージョン

2010-03-24T02:45:29Z

Unno:

<div id="manual">
[[ISMS]]の基本的な考え方として、'''<em>これだけは絶対に覚えるべきもの</em>'''をまとめました。<br><br>

==情報セキュリティとは==

*・ISMS＝情報（Information）、セキュリティ（Security）、マネジメント（Management）、システム（System）
*・ISMSとは、'''企業が情報を適切に管理し、機密を守るため'''の包括的な枠組み。
*・情報セキュリティとは、情報資産に対するセキュリティのことであり、'''<em>「情報の機密性、完全性、可用性を維持すること」</em>'''である。
*・'''<em>ISMSではリスクをゼロにすることは求めていない。</em>'''多くの場合、「リスク管理」と「効率化」は相反するものであり、セキュリティ対策にはコストがかかるため。

<br>
==情報資産とは==

*・情報資産とは、'''それを必要とする人にとって価値を見出されるような情報'''のことである。<br>
*・ISMSでの具体的な情報資産とは、'''「原稿・見積書・校正紙・FAX・名刺・デジタルデータ・端末・メディア・メール・ファイル」'''のことである。詳しい分類は下記を参照。
<div class="example">
* ・'''情報資産'''・・・データファイル、データベース、手順書など
* ・'''ソフトウェア資産'''・・・業務用ソフトウェア、システムソフトウェアなど
* ・'''物理的資産'''・・・コンピュータ端末、通信装置など
* ・'''人的資産'''・・・スキル、経験、資格など
* ・'''無形資産'''・・・組織の評判、ブランドイメージなど
</div>

→[http://www.kohga.co.jp/ISMS/sisan/index.html 光画印刷ISMS文書情報資産一覧表へ]

<br>

==一般的なセキュリティの維持に必要な三本柱==
情報セキュリティ対策は、その情報に関わる人的要素が非常に大きく、コンピュータ職だけではなく従業員全員に関わる問題である。<br>
ここでは、一般的なセキュリティの維持に必要な三本柱の考え方を紹介する。

<div class="example">
*1.'''<em>人的セキュリティ</em>'''・・・・・人間が情報を取り扱う際に不正な行為が行われないようにする対策
*2.'''<em>物理的セキュリティ</em>'''・・・使用する媒体そのものの管理対策（棚に鍵をかける等）
*3.'''<em>技術的セキュリティ</em>'''・・・セキュリティに対する技術の事（ウイルス対策・サーバメンテナンス等）
</div>
[[画像:3security.gif]]

<br>
==情報セキュリティの3大要素とは==

*・組織が保護すべき情報資産において、'''機密性・完全性・可用性をバランス良く維持し改善すること'''がISMSの要求する主なコンセプトである。
*・下記3つの性質を維持することが、情報セキュリティにとって重要になる。以下、各項目を説明する。
<div class="example">
*・'''<em>機密性</em>'''・・・アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
*・'''<em>完全性</em>'''・・・情報および処理方法が正確であることおよび完全であることを保護すること。
*・'''<em>可用性</em>'''・・・認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
</div>
端的に言うと以下のようになる。この概念は覚えること。
<div class="example">
*・'''機密性'''・・・許可されなければ、使えない、見えない
*・'''完全性'''・・・改ざんできない
*・'''可用性'''・・・必要な時に、使える、見ることができる
</div>
[[画像:isms_3factor.gif]]

<br>
==ISMSの運用管理（PDCAサイクル）とは==

*・ISMSはセキュリティ対策を行うために、'''<em>PDCAサイクルを継続的かつ有効に機能させなければならない。</em>'''

<div class="example">
*・'''<em>Plan</em>'''・・・・・【計画】情報セキュリティ対策の具体的計画・目標を策定する。
*・'''<em>Do</em>'''・・・・・・【実施】計画に基づいて対策の実施・運用を行う。
*・'''<em>Check</em>'''・・・【確認】実施した結果の点検・監視を行う
*・'''<em>Act</em>'''・・・・・・【改善】経営陣による見直しを行い、改善・処置する。
</div>
[[画像:isms_pdca.gif]]

<br>
==なぜISMSが必要なのか？==

情報セキュリティの性質上、情報資産に関わるもの全員が、その資産の情報セキュリティに関わることになる。<br>そのため、'''<em>情報セキュリティを維持するには、明確な方針及び目的を定め、組織的、継続的な取り組みが必要</em>'''となる。
<div class="example">
*'''1.事業資産としての情報の重要性'''・・・・・・・・情報は事業には不可欠の資産であり、適切に保護される必要がある。
*'''2.ネットワーク・分散型システムの普及'''・・・・社外との電子的やり取りが普及したため、システム担当者のみならず、全社員の教育が必要である。
*'''3.情報システムへの脅威の増大'''・・・・・・・・・ネットワーク上での不正行為、スパイ行為、妨害行為の脅威は年々増大する傾向にあり、その対策が必要である。
*'''4.セキュリティ事故の高度化・大規模化'''・・・・高度に効率化されたシステム上では、一瞬にして顧客情報を盗まれる。そのための対策として、情報セキュリティが必要になる。
*'''5.技術的対策の限界'''・・・・・・・・・・・・・・・・・・技術的な対策だけでなく、人的な対策（盗難、誤操作）などの物理的要因も考慮にいれる必要がある。
</div>

<br>
==ISMSのメリットとは==

'''<em>ISMSとは、より健全な経営に導く仕組み</em>'''である。企業経営にとって、導入するメリットがあるからこそ存在する。以下、具体的なメリットを説明する。

<table class="wikitable">
<tr>
<th bgcolor="#E0E0E0" width="200px">リスク低減</th>
<td>・情報漏えいへの対策（未然防止）<br>・不正アクセスへの組織的対応<br>・システム破壊、事故対応力の向上<br>・セキュリティ事故による事業損害リスクの低下</td>
</tr>
<tr>
<th bgcolor="#E0E0E0" width="200px">売上増加</th>
<td>・対外的な信頼性向上によるビジネスチャンス拡大<br>・他社との差別化による受注増大<br>・官公庁・大手ITベンダーに対する受注増大</td>
</tr>
</table>

<br>

==情報資産について==

*・その情報資産は誰が管理するのか。ISMSではその'''管理責任者を明確にしなければならない。'''
*・情報資産には、それぞれ保護レベルを定める。運用時には必ず分類しなければならない。
*・'''<em>情報資産の保護レベルによってその運用方法が異なる。</em>'''以下、3つの保護レベルを説明する。
<div class="example">
*・'''<em>保護レベル1</em>'''・・・情報資産価値が低く、漏洩しても影響を及ぼさない→<em>公開（配布）後の原稿など</em>
*・'''<em>保護レベル2</em>'''・・・情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→<em>公開（配布）前の原稿など</em>
*・'''<em>保護レベル3</em>'''・・・個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→<em>名簿、経理情報など</em>
※詳しくは、[http://www.kohga.co.jp/ISMS/sisan/index.html 情報資産一覧表]、[http://www.kohga.co.jp/ISMS/risk/index.html リスクアセスメントシート]を参照。
</div>

<br>
==組織図と役割について==
*・ISMSの最高責任者は'''社長'''。
*・東京DSオフィスにおける責任者は'''千葉さん'''(ISMS事務局メンバー）。
*・ISMSリーダーは倉田さん（ISMS推進者）。ISMSサブリーダーは大山さん、中村さん。
[[画像:isms_construction.gif]]

<br>
==管理の具体的な方法とは==

ISMSでは'''ルールを定め、仕事を管理しながら運用することが重要'''であり、それが最大の効果を生む。<br>また、管理によって、業務における責任と範囲が明確になるという副次的な効果もある。

<div class="example">
'''<em>リスク管理に対する心構え</em>'''
*1.問題や事故を予防するため、'''事前に予測'''をして、対策を考える。
*2.問題が起きたときには決められた手順で対応を行い、'''被害を最小限'''に抑える。
*3.事故の原因や要因となる要素を事前に検討し、事故の'''再発を防ぐ'''。
[[画像:isms_mind.gif]]
</div>

→これらのことを実践することは、企業の利益を維持するために必須である。<br><br>
以下、'''<em>ISMSを遵守するためには、具体的にどう行動すべきか</em>'''を説明する。<br>※[http://www.kohga.co.jp/ISMS/rule/index.html 管理規定の原文はこちら]にあります。

<div class="example">
===■入退室管理について===
*・社内では「IDカード(名札)」をつける。
*・施設内の執務エリアの定義は理解する。 [http://www.kohga.co.jp/ISMS/PDF/IB_fl_tokd.pdf →東京DSオフィスのエリア管理について【PDF：66K】]
*・外部業者との物品受け渡しは、執務エリア外のドア入り口付近で行う。
*・外部委託業者などが執務エリアに入るときは、「施設入退室管理表」に記入してもらうこと。またその場合は必ず立ち会い、外部委託業者のみで行動しないようにする。
*・会社が無人になる場合は必ず施錠する。
</div>

<div class="example">

===■クリアデスク・クリアスクリーンについて===
*・'''クリアデスクとは、<em>机の上に機密情報を置き去りにしない</em>よう、机の上の整理整頓を行うこと。特に離席時に機密書類は仕舞う。'''
　→【理由】机の上に重要・機密情報が書かれた紙などを放置しないようにすることにより、情報の盗み見や持ち出しを防止する。
*・'''クリアスクリーンとは、<em>離席するときにパソコンの中身を見られないようにすること</em>'''。
　→【理由】通りがかりの人が操作可能な状態でパソコンを放置しないようにすることにより、機密情報の盗み見・持ち出しやなりすましアクセスなどを防止する。
*・スクリーンセーバーの時間は、原則'''「5分」'''と定める。立ち上げる際には'''<em>パスワード入力を求める設定</em>'''にすること。
</div>

<div class="example">

===■携帯電話について===
*・'''携帯に「顧客担当者の個人情報」が入っている場合、紛失や盗難のリスクを考慮し、普段から「ロック設定」をする。'''
*・仕事関係の個人情報が携帯に入っていなければ、特にロックをする必要はない。
*・会社の電話番号など、一般公開されているものは個人情報ではない。
</div>

<div class="example">
===■情報資産管理について===
*・全ての書類に適切な保護レベルを定め、運用・管理を行う。'''<em>保護レベルに応じた「保管」「廃棄」方法が必要</em>'''となる。
*・東京DSオフィスでは個々の書類ではなく、'''書類をまとめた箱に対して「保護レベルシール」を貼り付けてる運用ルール'''を行っている。

<table class="wikitable">
<tr>
<th bgcolor="#E0E0E0" width="180px">保護レベル1</th>
<td bgcolor="#F0F0F0">公開（配布）後の原稿</td>
</tr>
<tr>
<th bgcolor="#E0E0E0" width="180px">保護レベル2</th>
<td bgcolor="#F0F0F0">公開（配布）前の原稿→<em>廃棄の際はシュレッダーにかけること</em></td>
</tr>
<tr>
<th bgcolor="#E0E0E0" width="180px">保護レベル3</th>
<td bgcolor="#F0F0F0">個人情報、経理情報→<em>廃棄の際はシュレッダーにかけること</em></td>
</tr>
</table>
</div>

<div class="example">
===■メールについて===
*・'''電子メールにファイルを添付する際、保護レベル2以上の情報資産についてはパスワードをかける。'''(一部例外もある。運用が決まってないのもある）

</div>

<div class="example">

===■個人情報の取り扱いについて===
*・'''個人情報は情報資産価値のレベルが非常に高い。'''保護レベル3である。
*・個人情報は、原則としてどのような資産価値評価であろうとも、バックアップを取得しなければならない。
*・個人情報を破棄する場合には、第三者に漏えいしないようにシュレッダー又はファイル消去プログラムにより完全に削除しなければならない。
</div>

<div class="example">

===■情報交換について===
*・外部委託業者など'''第三者に聞こえてしまう恐れがあるときには、機密情報を電話で話さない。'''社内の人間との会話でも気を遣う。
*・FAXで機密情報を送信する際は、宛先間違いが起こらないように注意、確認し、送信が完了するまで離れない。
*・受信されたFAXから情報が漏洩する恐れがあるので、'''外部委託業者などの第三者がFAXの近辺に立ち入る際には、付き添って監視する。'''
*・FAX、コピー機に原稿を置きっぱなしにはしない。
</div>

<div class="example">
===■セキュリティ事故===
*・'''<em>セキュリティ事故を発生させてしまった場合には、速やかに上司、部門長へ報告</em>'''する。
*・「セキュリティ事故報告書」を作成し、システム企画室に報告する。
*・セキュリティ事故とは、'''データまたは処理の異常など情報システムのトラブル、情報盗難、漏洩時など人為的な違反行為が発生した場合のこと'''である。

*・情報処理施設（サーバやマシン）に、セキュリティ上の欠陥や、脅威を発見した場合は、直ちに「システム企画室」へ「セキュリティ問題報告書」を提出する。
*・もし、欠陥等を発見してもテストはしない。テストをしたことにより、被害が発生・拡大する可能性があるため。
</div>

</div>

ファイル:3security.gif

2010-03-24T01:57:34Z

Unno:

情報セキュリティマネジメントシステム

2010-03-17T09:19:52Z

Unno:

教育資料01の情報セキュリティマネジメントシステムです。<br>
[[ISMS教育資料]]｜[[ISMSの内部監査、及びマネジメントレビュー]]→

<div id="manual">
=='''一般要求事項'''==
<div class="example">
<div class="example">
'''≪一般≫'''<br>
組織は、自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持、改善すること。この規格の目的から、この規格で使われるプロセスはPDCAモデルに基づいている。</div>
つまり、情報セキュリティマネジメントシステムを構築、維持、管理する事で、<br>
'''利害関係者による適正な評価、判断が得られ、信頼をも享受することができるよう十分に設計されたものである。'''<br><br>
</div>

<div class="example">
===情報セキュリティとは(情報セキュリティの定義)===
情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。<br>
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。<br>
つまり、情報セキュリティの基本は、'''機密性'''、'''完全性'''及び'''可用性'''という3つの用件を満たしている状態といえる。<br><br>
[[画像:ims02.jpg]]<br><br>
'''機密性…許可された者が、許可された時に、許可された場所で利用できる状態'''<br>
例）不正アクセスや過失などによる情報漏洩や流出からの保護<br><br>
'''完全性…資産の正確さ及び完全さを保護している状態'''<br>
例）データの誤入力、誤処理などからの保護<br><br>
'''可用性…情報資産を利用したいときに利用できる状態'''<br>
例）システム障害などからの保護<br><br>
</div>

<div class="example">
===情報セキュリティマネジメントの必要性===
企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。<br>
<div class="example">
'''→ ポイント'''<br>
情報資産が企業経営に影響を及ぼす場合は、<em>経営者の責任が問われる事</em>になる。<br>
つまり、<em>情報セキュリティマネジメントシステムを構築し、リスクを回避する必要</em>がある。
</div>
</div>

</div>

<div id="manual">
=='''情報セキュリティマネジメントシステム(ISMS)の確立及び運用管理'''==

<div class="example">
===情報セキュリティマネジメントシステム(ISMS)とはなにか?===
ISMSとは、情報セキュリティが関わる組織の目標を達成するために必要なマネジメントを効率的・効果的に行う為の仕組みである。このマネジメントシステムにおいて重要な事は、その管理が継続的かつ有効に機能する事である。そのためには、'''組織においてPDCAモデルが確立'''されている必要がある。<br><br>
[[画像:ims04.jpg]]<br><br>
'''1:計画（ISMS の確立）'''<br>
組織の全般的方針及び目的に従った結果を出すための，リスクマネジメント及び情報セキュリティの改善に関連した，ISMS 基本方針，目的，プロセス及び手順の確立<br><br>
'''2:実行（ISMS の導入及び運用）'''<br>
ISMS 基本方針，管理策，プロセス及び手順の導入及び運用<br><br>
'''3:点検（ISMS の監視及びレビュー）'''<br>
ISMS 基本方針，目的及び実際の経験に照らした，プロセスのパフォーマンスのアセスメント（適用可能ならば測定），及びその結果のレビューのための経営陣への報告<br><br>
'''4:処置（ISMS の維持及び改善）'''<br>
ISMS の継続的な改善を達成するための，ISMS の内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた，是正処置及び予防処置の実施<br><br>

<div class="example">
'''→ ポイント'''<br>
つまり、情報セキュリティマネジメントシステムにおいては、<em>PDCAモデルを継続的に回す事で、セキュリティレベルをより確実なものとして運用を行う事が出来る。</em>
</div>
</div>

</div>

<div id="manual">
=='''ISMS構築手順、基本的枠組み'''==
<div class="example">
ISMSでは、次の手順においてマネジメントシステムを構築している。<br>
[[画像:ims05.jpg]]<br>
<div class="example">
'''→ ポイント'''<br>
ISMSの構築は、<em>「方針の定義 → リスクの特定・分析・評価 → 管理策の選択 → 経営陣の承認・許可」</em>の過程を経て確立される。また<em>確立されたマネジメントシステムは、PDCAモデルを通して運用、管理されます。</em>
</div>
</div>

</div>

<div id="manual">
=='''文書化に関する要求'''==

<div class="example">
まず、情報セキュリティマネジメントシステムが確立され、それが適切に運用されなければならない。その中で、文書化はマネジメントシステムを確立し、適切に運用する為に必要なだけではなく、それを実施している事の証拠としても必要となる。<br>
それは、'''第三者に対し説明する際や、ISMS内部監査部門及び経営陣がISMS稼動状況をチェックする際にも必要となる。'''<br><br>
[[画像:ims07.jpg]]<br>

<div class="example">
'''→ ポイント'''<br>
ISMS文書を記録、保管する事で効率的に管理する事ができ、<em>ISMSの適切な運用及び説明の実施が可能となる。</em>
</div>
</div>

</div>

情報セキュリティマネジメントシステム

2010-03-17T09:17:19Z

Unno:

教育資料01の情報セキュリティマネジメントシステムです。<br>
[[ISMS教育資料]]｜[[ISMSの内部監査、及びマネジメントレビュー]]→

<div id="manual">
=='''一般要求事項'''==
<div class="example">
'''≪一般≫'''<br>
組織は、自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持、改善すること。この規格の目的から、この規格で使われるプロセスはPDCAモデルに基づいている。</div>
つまり、情報セキュリティマネジメントシステムを構築、維持、管理する事で、<br>
'''利害関係者による適正な評価、判断が得られ、信頼をも享受することができるよう十分に設計されたものである。'''<br><br>

<div class="example">
===情報セキュリティとは(情報セキュリティの定義)===
情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。<br>
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。<br>
つまり、情報セキュリティの基本は、'''機密性'''、'''完全性'''及び'''可用性'''という3つの用件を満たしている状態といえる。<br><br>
[[画像:ims02.jpg]]<br><br>
'''機密性…許可された者が、許可された時に、許可された場所で利用できる状態'''<br>
例）不正アクセスや過失などによる情報漏洩や流出からの保護<br><br>
'''完全性…資産の正確さ及び完全さを保護している状態'''<br>
例）データの誤入力、誤処理などからの保護<br><br>
'''可用性…情報資産を利用したいときに利用できる状態'''<br>
例）システム障害などからの保護<br><br>
</div>

<div class="example">
===情報セキュリティマネジメントの必要性===
企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。<br>
<div class="example">
'''→ ポイント'''<br>
情報資産が企業経営に影響を及ぼす場合は、<em>経営者の責任が問われる事</em>になる。<br>
つまり、<em>情報セキュリティマネジメントシステムを構築し、リスクを回避する必要</em>がある。
</div>
</div>

</div>

<div id="manual">
=='''情報セキュリティマネジメントシステム(ISMS)の確立及び運用管理'''==

<div class="example">
===情報セキュリティマネジメントシステム(ISMS)とはなにか?===
ISMSとは、情報セキュリティが関わる組織の目標を達成するために必要なマネジメントを効率的・効果的に行う為の仕組みである。このマネジメントシステムにおいて重要な事は、その管理が継続的かつ有効に機能する事である。そのためには、'''組織においてPDCAモデルが確立'''されている必要がある。<br><br>
[[画像:ims04.jpg]]<br><br>
'''1:計画（ISMS の確立）'''<br>
組織の全般的方針及び目的に従った結果を出すための，リスクマネジメント及び情報セキュリティの改善に関連した，ISMS 基本方針，目的，プロセス及び手順の確立<br><br>
'''2:実行（ISMS の導入及び運用）'''<br>
ISMS 基本方針，管理策，プロセス及び手順の導入及び運用<br><br>
'''3:点検（ISMS の監視及びレビュー）'''<br>
ISMS 基本方針，目的及び実際の経験に照らした，プロセスのパフォーマンスのアセスメント（適用可能ならば測定），及びその結果のレビューのための経営陣への報告<br><br>
'''4:処置（ISMS の維持及び改善）'''<br>
ISMS の継続的な改善を達成するための，ISMS の内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた，是正処置及び予防処置の実施<br><br>

<div class="example">
'''→ ポイント'''<br>
つまり、情報セキュリティマネジメントシステムにおいては、<em>PDCAモデルを継続的に回す事で、セキュリティレベルをより確実なものとして運用を行う事が出来る。</em>
</div>
</div>

</div>

<div id="manual">
=='''ISMS構築手順、基本的枠組み'''==
<div class="example">
ISMSでは、次の手順においてマネジメントシステムを構築している。<br>
[[画像:ims05.jpg]]<br>
<div class="example">
'''→ ポイント'''<br>
ISMSの構築は、<em>「方針の定義 → リスクの特定・分析・評価 → 管理策の選択 → 経営陣の承認・許可」</em>の過程を経て確立される。<br>
また<em>確立されたマネジメントシステムは、PDCAモデルを通して運用、管理されます。</em>
</div>
</div>

</div>

<div id="manual">
=='''文書化に関する要求'''==

<div class="example">
まず、情報セキュリティマネジメントシステムが確立され、それが適切に運用されなければならない。その中で、文書化はマネジメントシステムを確立し、適切に運用する為に必要なだけではなく、それを実施している事の証拠としても必要となる。<br>
それは、'''第三者に対し説明する際や、ISMS内部監査部門及び経営陣がISMS稼動状況をチェックする際にも必要となる。'''<br><br>
[[画像:ims07.jpg]]<br>

<div class="example">
'''→ ポイント'''<br>
ISMS文書を記録、保管する事で効率的に管理する事ができ、<em>ISMSの適切な運用及び説明の実施が可能となる。</em>
</div>
</div>

</div>

ISMSの改善

2010-03-17T09:13:50Z

Unno:

教育資料01のISMSの改善です。<br>
[[ISMS教育資料]]｜[[情報セキュリティ基本方針(A5)]]→

<div id="manual">
=='''継続的改善'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、情報セキュリティ基本方針、情報セキュリティ目的、監査結果、監視した事象の分析、是正措置、予防措置及びマネジメントレビューを通じて、ISMSの有効性を継続的に改善すること。</div>
ISMSの継続的改善では、ISMS内部監査の結果や組織内外の状況変化に応じて実施を行う。また、重要であるのは、マネジメントレビューの結果も踏まえて総合的に改善を行う。
<div class="example">
'''→ ポイント'''<br>
継続的改善は、<em>ISMS内部監査やマネジメントレビューの結果を鑑みて改善計画の策定を行う。</em>
</div>
</div>

</div>

<div id="manual">
=='''是正措置'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、再発防止のため、ISMS要求事項への不適合の原因を除去する為の措置を講ずること。＜…以下省略＞</div>
是正措置とは、ISO27001の要求事項と組織が確立し運用しているISMSとの間には、組織内外の状況変化により差異(不適合)が生じる可能性がある。その不適合を修正し、ISO27001の要求事項に適合したものにするための措置である。
<div class="example">
'''→ ポイント'''<br>
是正措置とは、<em>組織内外の状況変化による差異(不適合)をISO27001の要求事項に適合させるものである。</em>
</div>
</div>

</div>
<div id="manual">
=='''予防措置'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、ISMS要求事項への起こりえる不適合が発生する事を防止するために、その要因を除去する措置を決めること。予防措置は、起こりえる問題の影響に見合ったものであること。＜…以下省略＞</div>
予防措置とは、是正措置とは異なり将来発生するおそれのある不適合に対する措置である。また、予防措置を講じておく事により、情報セキュリティインシデントが発生した場合における損害賠償責任が軽減される可能性もある。
<div class="example">
'''→ ポイント'''<br>
予防措置とは、<em>将来起こりえるであろう不適合に対する手立てを講じる事である。</em>
</div>
</div>

</div>

<div id="manual">
=='''まとめ'''==
情報セキュリティとは、情報を安全な状態(機密性、完全性、可用性の３要件を満たす)にしておく事である。それは、組織内外からのリスク、脅威から情報資産を守る事であり、そのためには情報セキュリティを維持するマネジメントシステム(ISMS)の構築が必要不可欠となる。そして、そのマネジメントシステムを継続的に機能させる為にPDCAモデルが適用されている。<br>
つまり、情報セキュリティマネジメントシステムを構築、維持、管理を行う事で、組織に対するリスク、脅威を減らし、利害関係者に対する評価と判断、そして、信頼を享受し得る事を目的としているものである。

</div>

ISMSの改善

2010-03-17T09:03:05Z

Unno:

教育資料01のISMSの改善です。<br>
[[ISMS教育資料]]｜[[ISMSの内部監査、及びマネジメントレビュー]]→

<div id="manual">
=='''継続的改善'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、情報セキュリティ基本方針、情報セキュリティ目的、監査結果、監視した事象の分析、是正措置、予防措置及びマネジメントレビューを通じて、ISMSの有効性を継続的に改善すること。</div>
これは、定められた期間において、'''ISMSの確立及び維持状況、及び情報セキュリティ基本方針において選択された管理策などを点検・評価するものである。'''また、不適合であると判断された場合は、問題が改善されるよう'''フォローアップを行う事が最も重要となっている。'''
<div class="example">
'''→ ポイント'''<br>
つまり、<em>ISMSの維持、管理策の実施状況を点検、評価する事により、問題点を洗い出し改善につなげる事が目的。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビュー'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
経営陣は、組織のISMSが引き続き適切で、妥当かつ有効である事を確実にするために、あらかじめ定められた期間でISMSをレビューすること。このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティ基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行うこと。＜…以下省略＞</div>
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。
</div>

<div class="example">
===マネジメントレビューの実施===
マネジメントビューは'''少なくとも年1回定期的に実施'''しなくてはならない。実施については、現実的に経営陣が自分自身でレビューする事は難しい為、担当者(補佐)部門を定めて実施をさせる。また、レビュー結果は、担当役員が内容を十分チェックするとともに、'''不十分であれば再調査や追加調査を指示し対応をとらなくてはならない。'''
</div>
<div class="example">
===内部監査とマネジメントレビューの違い===
'''内部監査''' … 組織のISMSで定めた事項に沿って、その実施状況を確認する事が中心となる。<br>
'''マネジメントレビュー''' … 経営の視点からISMS全般をチェックする事が重要視されている。
<div class="example">
'''→ ポイント'''<br>
定期的なレビュー(少なくとも年１回)の実施と<em>経営的視点より、ISMSの確立、維持、評価、改善を行うものである。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビューのインプット、アウトプット'''==
<div class="example">
マネジメントレビューでのインプットとは、マネジメントレビューで確認する事項(レビューの対象項目)である。また、アウトプットとは、マネジメントレビューの成果(効果)と考える。<br>
[[画像:ims08.jpg]]

<div class="example">
'''→ ポイント'''<br>
マネジメントレビューの<em>インプットではレビュー項目の確認</em>を行い、<em>アウトプットではレビュー内容を基に情報セキュリティの実現手順、及び管理策を改善させる事を目的</em>としている。
</div>
</div>

</div>

ISMSの内部監査、及びマネジメントレビュー

2010-03-17T09:01:31Z

Unno:

教育資料01のISMSの内部監査、及びマネジメントレビューです。<br>
[[ISMS教育資料]]｜[[ISMSの改善]]→

<div id="manual">
=='''ISMSの内部監査'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、当該ISMSの管理目的、管理策、プロセス及び手順が各事項を満たしているかを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施すること。＜…以下省略＞</div>
これは、定められた期間において、'''ISMSの確立及び維持状況、及び情報セキュリティ基本方針において選択された管理策などを点検・評価するものである。'''また、不適合であると判断された場合は、問題が改善されるよう'''フォローアップを行う事が最も重要となっている。'''
<div class="example">
'''→ ポイント'''<br>
つまり、<em>ISMSの維持、管理策の実施状況を点検、評価する事により、問題点を洗い出し改善につなげる事が目的。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビュー'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
経営陣は、組織のISMSが引き続き適切で、妥当かつ有効である事を確実にするために、あらかじめ定められた期間でISMSをレビューすること。このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティ基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行うこと。＜…以下省略＞</div>
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。
</div>

<div class="example">
===マネジメントレビューの実施===
マネジメントビューは'''少なくとも年1回定期的に実施'''しなくてはならない。実施については、現実的に経営陣が自分自身でレビューする事は難しい為、担当者(補佐)部門を定めて実施をさせる。また、レビュー結果は、担当役員が内容を十分チェックするとともに、'''不十分であれば再調査や追加調査を指示し対応をとらなくてはならない。'''
</div>
<div class="example">
===内部監査とマネジメントレビューの違い===
'''内部監査''' … 組織のISMSで定めた事項に沿って、その実施状況を確認する事が中心となる。<br>
'''マネジメントレビュー''' … 経営の視点からISMS全般をチェックする事が重要視されている。
<div class="example">
'''→ ポイント'''<br>
定期的なレビュー(少なくとも年１回)の実施と<em>経営的視点より、ISMSの確立、維持、評価、改善を行うものである。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビューのインプット、アウトプット'''==
<div class="example">
マネジメントレビューでのインプットとは、マネジメントレビューで確認する事項(レビューの対象項目)である。また、アウトプットとは、マネジメントレビューの成果(効果)と考える。<br>
[[画像:ims08.jpg]]

<div class="example">
'''→ ポイント'''<br>
マネジメントレビューの<em>インプットではレビュー項目の確認</em>を行い、<em>アウトプットではレビュー内容を基に情報セキュリティの実現手順、及び管理策を改善させる事を目的</em>としている。
</div>
</div>

</div>

ISMSの改善

2010-03-17T09:01:00Z

Unno:

教育資料01のISMSの改善です。<br>
[[ISMS教育資料]]｜[[ISMSの内部監査、及びマネジメントレビュー]]→

<div id="manual">
=='''ISMSの内部監査'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、当該ISMSの管理目的、管理策、プロセス及び手順が各事項を満たしているかを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施すること。＜…以下省略＞</div>
これは、定められた期間において、'''ISMSの確立及び維持状況、及び情報セキュリティ基本方針において選択された管理策などを点検・評価するものである。'''また、不適合であると判断された場合は、問題が改善されるよう'''フォローアップを行う事が最も重要となっている。'''
<div class="example">
'''→ ポイント'''<br>
つまり、<em>ISMSの維持、管理策の実施状況を点検、評価する事により、問題点を洗い出し改善につなげる事が目的。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビュー'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
経営陣は、組織のISMSが引き続き適切で、妥当かつ有効である事を確実にするために、あらかじめ定められた期間でISMSをレビューすること。このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティ基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行うこと。＜…以下省略＞</div>
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。
</div>

<div class="example">
===マネジメントレビューの実施===
マネジメントビューは'''少なくとも年1回定期的に実施'''しなくてはならない。実施については、現実的に経営陣が自分自身でレビューする事は難しい為、担当者(補佐)部門を定めて実施をさせる。また、レビュー結果は、担当役員が内容を十分チェックするとともに、'''不十分であれば再調査や追加調査を指示し対応をとらなくてはならない。'''
</div>
<div class="example">
===内部監査とマネジメントレビューの違い===
'''内部監査''' … 組織のISMSで定めた事項に沿って、その実施状況を確認する事が中心となる。<br>
'''マネジメントレビュー''' … 経営の視点からISMS全般をチェックする事が重要視されている。
<div class="example">
'''→ ポイント'''<br>
定期的なレビュー(少なくとも年１回)の実施と<em>経営的視点より、ISMSの確立、維持、評価、改善を行うものである。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビューのインプット、アウトプット'''==
<div class="example">
マネジメントレビューでのインプットとは、マネジメントレビューで確認する事項(レビューの対象項目)である。また、アウトプットとは、マネジメントレビューの成果(効果)と考える。<br>
[[画像:ims08.jpg]]

<div class="example">
'''→ ポイント'''<br>
マネジメントレビューの<em>インプットではレビュー項目の確認</em>を行い、<em>アウトプットではレビュー内容を基に情報セキュリティの実現手順、及び管理策を改善させる事を目的</em>としている。
</div>
</div>

</div>

ISMSの内部監査、及びマネジメントレビュー

2010-03-17T08:58:55Z

Unno:

教育資料01のISMSの内部監査、及びマネジメントレビューです。<br>
[[ISMS教育資料]]｜[[情報セキュリティマネジメントシステム]]→

<div id="manual">
=='''ISMSの内部監査'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、当該ISMSの管理目的、管理策、プロセス及び手順が各事項を満たしているかを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施すること。＜…以下省略＞</div>
これは、定められた期間において、'''ISMSの確立及び維持状況、及び情報セキュリティ基本方針において選択された管理策などを点検・評価するものである。'''また、不適合であると判断された場合は、問題が改善されるよう'''フォローアップを行う事が最も重要となっている。'''
<div class="example">
'''→ ポイント'''<br>
つまり、<em>ISMSの維持、管理策の実施状況を点検、評価する事により、問題点を洗い出し改善につなげる事が目的。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビュー'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
経営陣は、組織のISMSが引き続き適切で、妥当かつ有効である事を確実にするために、あらかじめ定められた期間でISMSをレビューすること。このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティ基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行うこと。＜…以下省略＞</div>
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。
</div>

<div class="example">
===マネジメントレビューの実施===
マネジメントビューは'''少なくとも年1回定期的に実施'''しなくてはならない。実施については、現実的に経営陣が自分自身でレビューする事は難しい為、担当者(補佐)部門を定めて実施をさせる。また、レビュー結果は、担当役員が内容を十分チェックするとともに、'''不十分であれば再調査や追加調査を指示し対応をとらなくてはならない。'''
</div>
<div class="example">
===内部監査とマネジメントレビューの違い===
'''内部監査''' … 組織のISMSで定めた事項に沿って、その実施状況を確認する事が中心となる。<br>
'''マネジメントレビュー''' … 経営の視点からISMS全般をチェックする事が重要視されている。
<div class="example">
'''→ ポイント'''<br>
定期的なレビュー(少なくとも年１回)の実施と<em>経営的視点より、ISMSの確立、維持、評価、改善を行うものである。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビューのインプット、アウトプット'''==
<div class="example">
マネジメントレビューでのインプットとは、マネジメントレビューで確認する事項(レビューの対象項目)である。また、アウトプットとは、マネジメントレビューの成果(効果)と考える。<br>
[[画像:ims08.jpg]]

<div class="example">
'''→ ポイント'''<br>
マネジメントレビューの<em>インプットではレビュー項目の確認</em>を行い、<em>アウトプットではレビュー内容を基に情報セキュリティの実現手順、及び管理策を改善させる事を目的</em>としている。
</div>
</div>

</div>

ファイル:Ims08.jpg

2010-03-17T08:48:05Z

Unno:

ISMSの内部監査、及びマネジメントレビュー

2010-03-17T08:39:05Z

Unno:

ISMSの内部監査、及びマネジメントレビュー

2010-03-17T08:38:51Z

Unno:

ISMSの内部監査、及びマネジメントレビュー

2010-03-17T08:31:29Z

Unno:

教育資料01のISMSの内部監査、及びマネジメントレビューです。<br>
[[ISMS教育資料]]｜[[情報セキュリティマネジメントシステム]]→

<div id="manual">
=='''ISMSの内部監査'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、当該ISMSの管理目的、管理策、プロセス及び手順が各事項を満たしているかを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施すること。＜…以下省略＞</div>
これは、定められた期間において、'''ISMSの確立及び維持状況、及び情報セキュリティ基本方針において選択された管理策などを点検・評価するものである。'''また、不適合であると判断された場合は、問題が改善されるよう'''フォローアップを行う事が最も重要となっている。'''
<div class="example">
'''→ ポイント'''<br>
つまり、<em>ISMSの維持、管理策の実施状況を点検、評価する事により、問題点を洗い出し改善につなげる事が目的。</em>
</div>
</div>

</div>

<div id="manual">
=='''マネジメントレビュー'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
経営陣は、組織のISMSが引き続き適切で、妥当かつ有効である事を確実にするために、あらかじめ定められた期間でISMSをレビューすること。このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティ基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行うこと。＜…以下省略＞</div>
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。
</div>
</div>

<div class="example">
'''≪原文≫'''<br>
経営陣は、組織のISMSが引き続き適切で、妥当かつ有効である事を確実にするために、あらかじめ定められた期間でISMSをレビューすること。このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティ基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行うこと。＜…以下省略＞</div>
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。

情報セキュリティマネジメントシステム

2010-03-17T08:11:42Z

Unno:

教育資料01の情報セキュリティマネジメントシステムです。<br>
[[ISMS教育資料]]｜[[ISMSの内部監査、及びマネジメントレビュー]]→

<div id="manual">
=='''一般要求事項'''==
<div class="example">
'''≪一般≫'''<br>
組織は、自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持、改善すること。この規格の目的から、この規格で使われるプロセスはPDCAモデルに基づいている。</div>
つまり、情報セキュリティマネジメントシステムを構築、維持、管理する事で、<br>
'''利害関係者による適正な評価、判断が得られ、信頼をも享受することができるよう十分に設計されたものである。'''<br><br>

<div class="example">
===情報セキュリティとは(情報セキュリティの定義)===
情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。<br>
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。<br>
つまり、情報セキュリティの基本は、'''機密性'''、'''完全性'''及び'''可用性'''という3つの用件を満たしている状態といえる。<br><br>
[[画像:ims02.jpg]]<br><br>
'''機密性…許可された者が、許可された時に、許可された場所で利用できる状態'''<br>
例）不正アクセスや過失などによる情報漏洩や流出からの保護<br><br>
'''完全性…資産の正確さ及び完全さを保護している状態'''<br>
例）データの誤入力、誤処理などからの保護<br><br>
'''可用性…情報資産を利用したいときに利用できる状態'''<br>
例）システム障害などからの保護<br><br>
</div>

<div class="example">
===情報セキュリティマネジメントの必要性===
企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。<br>
<div class="example">
'''→ ポイント'''<br>
情報資産が企業経営に影響を及ぼす場合は、'''経営者の責任が問われる事'''になる。<br>
つまり、'''情報セキュリティマネジメントシステムを構築し、リスクを回避する必要'''がある。
</div>
</div>

</div>

<div id="manual">
=='''情報セキュリティマネジメントシステム(ISMS)の確立及び運用管理'''==

<div class="example">
===情報セキュリティマネジメントシステム(ISMS)とはなにか?===
ISMSとは、情報セキュリティが関わる組織の目標を達成するために必要なマネジメントを効率的・効果的に行う為の仕組みである。このマネジメントシステムにおいて重要な事は、その管理が継続的かつ有効に機能する事である。そのためには、'''組織においてPDCAモデルが確立'''されている必要がある。<br><br>
[[画像:ims04.jpg]]<br><br>
'''1:計画（ISMS の確立）'''<br>
組織の全般的方針及び目的に従った結果を出すための，リスクマネジメント及び情報セキュリティの改善に関連した，ISMS 基本方針，目的，プロセス及び手順の確立<br><br>
'''2:実行（ISMS の導入及び運用）'''<br>
ISMS 基本方針，管理策，プロセス及び手順の導入及び運用<br><br>
'''3:点検（ISMS の監視及びレビュー）'''<br>
ISMS 基本方針，目的及び実際の経験に照らした，プロセスのパフォーマンスのアセスメント（適用可能ならば測定），及びその結果のレビューのための経営陣への報告<br><br>
'''4:処置（ISMS の維持及び改善）'''<br>
ISMS の継続的な改善を達成するための，ISMS の内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた，是正処置及び予防処置の実施<br><br>

<div class="example">
'''→ ポイント'''<br>
つまり、情報セキュリティマネジメントシステムにおいては、'''PDCAモデルを継続的に回す事で、セキュリティレベルをより確実なものとして運用を行う事が出来る。'''
</div>
</div>

</div>

<div id="manual">
=='''ISMS構築手順、基本的枠組み'''==
<div class="example">
ISMSでは、次の手順においてマネジメントシステムを構築している。<br>
[[画像:ims05.jpg]]<br>
<div class="example">
'''→ ポイント'''<br>
ISMSの構築は、'''「方針の定義 → リスクの特定・分析・評価 → 管理策の選択 → 経営陣の承認・許可」'''の過程を経て確立される。<br>
また確'''立されたマネジメントシステムは、PDCAモデルを通して運用、管理されます。'''
</div>
</div>

</div>

<div id="manual">
=='''文書化に関する要求'''==

<div class="example">
まず、情報セキュリティマネジメントシステムが確立され、それが適切に運用されなければならない。その中で、文書化はマネジメントシステムを確立し、適切に運用する為に必要なだけではなく、それを実施している事の証拠としても必要となる。<br>
それは、'''第三者に対し説明する際や、ISMS内部監査部門及び経営陣がISMS稼動状況をチェックする際にも必要となる。'''<br><br>
[[画像:ims07.jpg]]<br>

<div class="example">
'''→ ポイント'''<br>
ISMS文書を記録、保管する事で効率的に管理する事ができ、'''ISMSの適切な運用及び説明の実施が可能となる。'''
</div>
</div>

</div>

ISMSの内部監査、及びマネジメントレビュー

2010-03-17T08:08:25Z

Unno:

情報セキュリティマネジメントシステム

2010-03-17T07:50:39Z

Unno:

教育資料01の情報セキュリティマネジメントシステムです。<br>
[[ISMS教育資料]]｜[[ISMSの内部監査、及びマネジメントレビュー]]→

<div id="manual">
=='''一般要求事項'''==
'''≪一般≫'''<br>
組織は、自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持、改善すること。この規格の目的から、この規格で使われるプロセスはPDCAモデルに基づいている。<br><br>
つまり、情報セキュリティマネジメントシステムを構築、維持、管理する事で、<br>
'''利害関係者による適正な評価、判断が得られ、信頼をも享受することができるよう十分に設計されたものである。'''

<div class="example">
===情報セキュリティとは(情報セキュリティの定義)===
情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。<br>
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。<br>
つまり、情報セキュリティの基本は、'''機密性'''、'''完全性'''及び'''可用性'''という3つの用件を満たしている状態といえる。<br><br>
[[画像:ims02.jpg]]<br><br>
'''機密性…許可された者が、許可された時に、許可された場所で利用できる状態'''<br>
例）不正アクセスや過失などによる情報漏洩や流出からの保護<br><br>
'''完全性…資産の正確さ及び完全さを保護している状態'''<br>
例）データの誤入力、誤処理などからの保護<br><br>
'''可用性…情報資産を利用したいときに利用できる状態'''<br>
例）システム障害などからの保護<br><br>
</div>

<div class="example">
===情報セキュリティマネジメントの必要性===
企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。<br>
<div class="example">
'''→ ポイント'''<br>
情報資産が企業経営に影響を及ぼす場合は、'''経営者の責任が問われる事'''になる。<br>
つまり、'''情報セキュリティマネジメントシステムを構築し、リスクを回避する必要'''がある。
</div>
</div>

</div>

<div id="manual">
=='''情報セキュリティマネジメントシステム(ISMS)の確立及び運用管理'''==

<div class="example">
===情報セキュリティマネジメントシステム(ISMS)とはなにか?===
ISMSとは、情報セキュリティが関わる組織の目標を達成するために必要なマネジメントを効率的・効果的に行う為の仕組みである。このマネジメントシステムにおいて重要な事は、その管理が継続的かつ有効に機能する事である。そのためには、'''組織においてPDCAモデルが確立'''されている必要がある。<br><br>
[[画像:ims04.jpg]]<br><br>
'''1:計画（ISMS の確立）'''<br>
組織の全般的方針及び目的に従った結果を出すための，リスクマネジメント及び情報セキュリティの改善に関連した，ISMS 基本方針，目的，プロセス及び手順の確立<br><br>
'''2:実行（ISMS の導入及び運用）'''<br>
ISMS 基本方針，管理策，プロセス及び手順の導入及び運用<br><br>
'''3:点検（ISMS の監視及びレビュー）'''<br>
ISMS 基本方針，目的及び実際の経験に照らした，プロセスのパフォーマンスのアセスメント（適用可能ならば測定），及びその結果のレビューのための経営陣への報告<br><br>
'''4:処置（ISMS の維持及び改善）'''<br>
ISMS の継続的な改善を達成するための，ISMS の内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた，是正処置及び予防処置の実施<br><br>

<div class="example">
'''→ ポイント'''<br>
つまり、情報セキュリティマネジメントシステムにおいては、'''PDCAモデルを継続的に回す事で、セキュリティレベルをより確実なものとして運用を行う事が出来る。'''
</div>
</div>

</div>

<div id="manual">
=='''ISMS構築手順、基本的枠組み'''==
<div class="example">
ISMSでは、次の手順においてマネジメントシステムを構築している。<br>
[[画像:ims05.jpg]]<br>
<div class="example">
'''→ ポイント'''<br>
ISMSの構築は、'''「方針の定義 → リスクの特定・分析・評価 → 管理策の選択 → 経営陣の承認・許可」'''の過程を経て確立される。<br>
また確'''立されたマネジメントシステムは、PDCAモデルを通して運用、管理されます。'''
</div>
</div>

</div>

<div id="manual">
=='''文書化に関する要求'''==

<div class="example">
まず、情報セキュリティマネジメントシステムが確立され、それが適切に運用されなければならない。その中で、文書化はマネジメントシステムを確立し、適切に運用する為に必要なだけではなく、それを実施している事の証拠としても必要となる。<br>
それは、'''第三者に対し説明する際や、ISMS内部監査部門及び経営陣がISMS稼動状況をチェックする際にも必要となる。'''<br><br>
[[画像:ims07.jpg]]<br>

<div class="example">
'''→ ポイント'''<br>
ISMS文書を記録、保管する事で効率的に管理する事ができ、'''ISMSの適切な運用及び説明の実施が可能となる。'''
</div>
</div>

</div>

Wiki@KDS - 利用者の投稿記録 [ja]

東京オフィス座席表

ファイル:座席表140403.gif

東京オフィス座席表

ファイル:座席表131205.png

東京オフィス座席表

ファイル:座席表131118.png

東京オフィス座席表

ファイル:座席表131001.png

東京オフィス座席表

ファイル:座席表130611.png

東京オフィス座席表

ファイル:座席表130527.png

東京オフィス座席表

ファイル:座席表 130508.png

東京オフィス座席表

ファイル:座席表 121119.jpg

ファイル:座席表 121016.jpg

ファイル:座席表 121016.jpg

東京オフィス座席表

ファイル:座席表 121010.jpg

東京オフィス座席表

ファイル:座席120905.png

東京オフィス座席表

ファイル:座席120829.png

東京オフィス座席表

ファイル:座席表 120302.gif

東京オフィス座席表

ファイル:座席表120220.gif

東京オフィス座席表

ファイル:東京オフィス座席表 100610.gif

東京オフィス座席表

社内規則・マニュアル・各種対応事項等

社内規則・マニュアル・各種対応事項等

ファイル:東京オフィス座席表 100412 03.gif

ISMS教育資料 簡略化バージョン

ファイル:3security.gif

情報セキュリティマネジメントシステム

情報セキュリティマネジメントシステム

ISMSの改善

ISMSの改善

ISMSの内部監査、及びマネジメントレビュー

ISMSの改善

ISMSの内部監査、及びマネジメントレビュー

ファイル:Ims08.jpg

ISMSの内部監査、及びマネジメントレビュー

ISMSの内部監査、及びマネジメントレビュー

ISMSの内部監査、及びマネジメントレビュー

情報セキュリティマネジメントシステム

ISMSの内部監査、及びマネジメントレビュー

情報セキュリティマネジメントシステム

ISMS教育資料簡略化バージョン