「ISMS概論」を編集中


===ISMSとは===

■ISMS＝情報(Information)、セキュリティ(Security)、マネジメント(Management)、システム(System)

■情報セキュリティとは、情報資産に対するセキュリティ

■情報資産とは、<br>
見積書・印刷物・原稿・MO・データ・校正紙など情報が掲載されているすべての媒体を指します。

■ISMSは継続的にセキュリティー対策を行う為に「PDCAサイクル」とよばれる仕組みを重要視しています。<br>
●Plan【計画】情報セキュリティ対策の具体的計画・目標を策定する。<br>
↓<br>
●Do【実施】計画に基づいて対策の実施・運用を行う。<br>
↓<br>
●Check【確認】実施した結果の点検・監視を行う。<br>
↓<br>
●Act【改善】経営陣による見直しを行い、改善・処置する。

これらの基本的な考え方のもとにISMSの要求事項がさまざまな細目として規定されています。

----
===セキュリティー 管理の必要性と具体的な方法===

■それらは、なぜ必要なのか？<br>
【1】ISMSの要求事項として組織のセキュリティ・人的セキュリティ対策は必須事項です。<br>【2】組織が保護すべき情報資産について自らにより必要な対応方法を明確な計画をもって管理を運用することが求められています。

・一般的な、セキュリテの維持に必要な三本柱<br>
●人的セキュリティ<br>
　　→ 人間が情報を取り扱う際に不正な行為が行われないようにする対策

●物理的セキュリティ<br>
　　→ 使用する媒体そのものの管理対策：棚に鍵をかける、等

●技術的セキュリティ<br>
　　→ セキュリティに対する技術の事  ウイルス対策・サーバメンテナンス等

情報セキュリティ対策はその情報それぞれに関わる人的な要素が非常に大きく、コンピュータ職だけではなく全員がかかわる問題です。


----
===管理の具体的な方法===

ルールを定め、仕事を管理しながら運用する事　が最大の効果のある方法です。管理される事によって、業務における責任と範囲が明確になります。

■リスク管理の必要性：それは、なぜ必要なのか？

・問題や事故を予防するため事前に予測して対策を考えておく。<br>
・問題が起きたときには決められた手順で対応を行い被害を最小限に抑える。<br>
・事故の原因や要因となる要素を事前に検討し、事故の再発を防ぐ。

→これらの事を実践することは企業の利益を維持するために必須です。

■リスク管理の具体的な方法

・ルールを定め、仕事を管理しながら運用する事が最大の効果のある方法です。管理される事によって、業務における責任と範囲が明確になります。

セキュリティ事故や事件というものは、<br>
「人為的事象であること、意図的・偶発的なものである。」<br>
「様々な要因で発生し、その種類も多岐に渡る」<br>
という特徴があり、事前に全てのケースについて予測し準備をすることは現実的に不可能ですが、予測される問題を予め想定し、その問題に対応する方法を検討しておくと実際に問題が発生した場合に、速やかに対応が可能になったり未然に事故や事件が防げるようになります。

----
===ISMSに関わる文書について===

■今回配布する文書について
*セキュリティ年間目標
*セキュリティ基本方針書
*セキュリティマニュアル
*ISMS管理規定
*リスクアセスメントシート

----
===組織と職務および権限===

■ISMSにおける組織について

組織図、責任者の明示

■各個人の職務と権限について

各個人における職務と権限を明示

----
===ISMS適用後の業務について===

■入退室管理について【14施設・設備管理規定】
*名札をつける
*施設内の定義（執務エリアの定義）
*エリア管理レベルの説明。
*外部委託先業者等は、施設入退室管理表に記入。外部委託業者等が、施設内で作業する場合は、必ず立ち会い、外部委託業者のみで行動しないようにする。
*会社が無人になる場合は、必ず施錠する。
*物品の受け渡し場所は、施設外および、入り口付近で行う。

■ログインについて【09アクセス制御管理規定】
*パスワードを正しく設定する。
*外出する際や、席を離れる場合はログオフする。
*スクリーンセーバを起動して、復帰の際にパスワードを入力する。
DS:個人のログインパスワード
*利用しなくなったサーバは、直ちにアンマウントする。
	
■書類（メディア）について【08情報資産管理規定】【11システム運用管理規定】

※全ての書類に、「情報資産価値」の保護レベル分けをする。保護レベルに応じた「保管」「廃棄」方法が必要。

*保護レベル１：情報資産価値が低く、漏洩しても影響を及ぼさない→公開（配布）後の原稿など
*保護レベル２：情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→公開（配布）前の原稿など。
*保護レベル３：個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→名簿、経理情報など

情報資産一覧表/リスクアセスメントシートを参照。

※情報資産を外部記憶装置（外付けHDD、CD-R）等に保存する場合は、資産価値レベルによって管理方法が異なる。
*資産価値レベル１，２→社外への持ち出しは、情報資産の管理者の許可が必要。再利用の際は、必ず初期化して利用する。
*資産価値レベル３、４→エリア外及び社外への持ち出しは、情報資産の管理者の認可を必要とする。
										情報は、暗号化やパスワード設定を行うか、施錠された保管場所に保管する。<br>
媒体の再利用は原則として行わない。再利用する際は、ファイル消去ソフトウェア等を適用の上再利用する。

■メールについて【11システム運用管理規定.】

*電子メールにファイルを添付する際、必ずパスワードを掛けて圧縮し、メールの送信経路上で盗み見されないようにする。圧縮に利用するアプリケーションは選定中。
エクセルファイルの場合には、保存時にパスワードを掛けることが可能なので、それを利用することも出来る受信者とのパスワードの告知方法。運用方法。

■個人情報の取り扱いについて【12個人情報管理規定】

・個人情報は、情報資産価値のレベルが非常に高い。→保護レベル3

利用・保管・廃棄について厳密に管理するべきであり、同時にバックアップを必ず取る。

■情報交換について（電話・FAX・会話）【11システム運用管理規定.】

*外部委託業者など第三者（または、関係のない社員）に聞こえてしまう恐れがあるときには、機密情報を電話で話さない。社内の人間との会話でも同様に気を遣う。
*FAXで機密情報を送信する際は、宛先間違いが起こらないように注意、確認し、送信が完了するまで離れない。
*FAXで機密情報を受信する際は、第三者に見られることがないように、受信完了までFAXから離れない。
*受信されたFAXから情報が漏洩する恐れがあるので、外部委託業者などの第三者がFAXの近辺に立ち入る際には、必ずつきそい監視する。
*FAX、コピー機に原稿を置きっぱなしにはしない。

■セキュリティ事故【16事故管理規定】
*セキュリティ事故とは、セキュリティ事故とは、データまたは処理の異常など情報システムのトラブル、情報盗難、漏洩時など人為的な違反行為が発生した場合のこと
*セキュリティ事故を発生させてしまった場合には、速やかに上司、部門長へ報告し、「セキュリティ事故報告書」を作成し、システム企画室に報告する。
*情報処理施設（サーバやマシン）に、セキュリティ上の欠陥や、脅威を発見した場合は、直ちに「システム企画室」へ「セキュリティ問題報告書」を提出する。
*もし、欠陥等を発見してもテストしてみることはやらない。テストをした事により、被害が発生・拡大することを防ぐ。
*セキュリティポリシーや作業手順の規定に違反して、セキュリティ事故を発生させた（または発生の可能性が高い）従業員に対して制裁を下される場合がある。

----
===ISMS教育訓練理解度の算出===

■テストの実施

*ISMS運用についての簡単なテストを行う。理解度を把握し、次回の教育プログラムの検討材料にする。