「ISMS教育資料 簡略化バージョン」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし |
編集の要約なし |
||
| 9行目: | 9行目: | ||
==情報資産とは== | ==情報資産とは== | ||
*・情報資産とは、''' | *・情報資産とは、'''「原稿・見積書・校正紙・FAX・名刺・デジタルデータ・端末・メディア・メール・ファイル」'''など、情報が掲載・記憶されている媒体を指す。 | ||
<br> | <br> | ||
→[http://www.kohga.co.jp/ISMS/sisan/index.html 光画印刷ISMS文書 情報資産一覧表へ] | →[http://www.kohga.co.jp/ISMS/sisan/index.html 光画印刷ISMS文書 情報資産一覧表へ] | ||
| 59行目: | 59行目: | ||
*・その情報資産は誰が管理するのか。その'''管理責任者を明確にしなければならない。''' | *・その情報資産は誰が管理するのか。その'''管理責任者を明確にしなければならない。''' | ||
*・情報資産には保護レベルによって運用方法が異なる。適切に保護レベルを定め、分類しなければならない。 | *・情報資産には保護レベルによって運用方法が異なる。適切に保護レベルを定め、分類しなければならない。 | ||
* | <div class="example"> | ||
*・'''<em>保護レベル1</em>''':情報資産価値が低く、漏洩しても影響を及ぼさない→<em>公開(配布)後の原稿など</em> | |||
*・'''<em>保護レベル2</em>''':情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→<em>公開(配布)前の原稿など</em> | |||
*・'''<em>保護レベル3</em>''':個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→<em>名簿、経理情報など</em> | |||
※詳しくは、[http://www.kohga.co.jp/ISMS/sisan/index.html 情報資産一覧表]、[http://www.kohga.co.jp/ISMS/risk/index.html リスクアセスメントシート]を参照。 | |||
</div> | |||
==管理の具体的な方法== | ==管理の具体的な方法== | ||
ISMSではルールを定め、仕事を管理しながら運用することが重要であり、それが最大の効果を生む方法です。<br>管理することによって、業務における責任と範囲が明確になります。 | |||
<div class="example"> | <div class="example"> | ||
''' | '''リスク管理に対する心構え''' | ||
*・問題や事故を予防するため事前に予測して対策を考えておく。 | *・問題や事故を予防するため事前に予測して対策を考えておく。 | ||
*・問題が起きたときには決められた手順で対応を行い被害を最小限に抑える。 | *・問題が起きたときには決められた手順で対応を行い被害を最小限に抑える。 | ||
| 78行目: | 83行目: | ||
という特徴があり、事前に全てのケースについて予測し準備をすることは現実的に不可能です。<br>しかし、予測される問題を予め想定し、対応する方法を検討しておけば、未然に事故が防げたり、実際に問題が起きたとき、速やかな対応が可能となります。 | という特徴があり、事前に全てのケースについて予測し準備をすることは現実的に不可能です。<br>しかし、予測される問題を予め想定し、対応する方法を検討しておけば、未然に事故が防げたり、実際に問題が起きたとき、速やかな対応が可能となります。 | ||
<div class="example"> | |||
===入退室管理について【14施設・設備管理規定】=== | |||
*・名札をつける | |||
*・施設内の定義(執務エリアの定義) | |||
*・エリア管理レベルの説明。 | |||
*・外部委託先業者等は、施設入退室管理表に記入。外部委託業者等が、施設内で作業する場合は、必ず立ち会い、外部委託業者のみで行動しないようにする。 | |||
*・会社が無人になる場合は、必ず施錠する。 | |||
*・物品の受け渡し場所は、施設外および、入り口付近で行う。 | |||
</div> | |||
<div class="example"> | |||
===ログインについて【09アクセス制御管理規定】=== | |||
*・パスワードを正しく設定する。 | |||
*・外出する際や、席を離れる場合はログオフする。 | |||
*・スクリーンセーバを起動して、復帰の際にパスワードを入力する。 | |||
*・利用しなくなったサーバは、直ちにアンマウントする。 | |||
</div> | |||
</div> | </div> | ||
2010年3月18日 (木) 20:04時点における版
ISMSの考え方として、これだけは絶対に覚えるべきものをまとめました。
情報セキュリティとは
- ・ISMS=情報(Information)、セキュリティ(Security)、マネジメント(Management)、システム(System)
- ・情報セキュリティとは、情報資産に対するセキュリティのことであり、「情報の機密性、完全性、可用性を維持すること」である。
情報資産とは
- ・情報資産とは、「原稿・見積書・校正紙・FAX・名刺・デジタルデータ・端末・メディア・メール・ファイル」など、情報が掲載・記憶されている媒体を指す。
情報セキュリティの3大要素とは
- ・組織が保護すべき情報資産について、機密性・完全性・可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである。
- ・下記3つの性質を維持することが、情報セキュリティにとって重要。
- ・機密性・・・アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
- ・完全性・・・情報および処理方法が正確であることおよび完全であることを保護すること。
- ・可用性・・・認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
ISMSの運用管理(PDCAサイクル)
- ・ISMSはセキュリティ対策を行うために、PDCAサイクルを継続的かつ有効に機能させなければならない。
- ・Plan・・・・・【計画】情報セキュリティ対策の具体的計画・目標を策定する。
- ・Do・・・・・・【実施】計画に基づいて対策の実施・運用を行う。
- ・Check・・・【確認】実施した結果の点検・監視を行う
- ・Act・・・・・・【改善】経営陣による見直しを行い、改善・処置する。
なぜISMSが必要なのか?
企業の
- 1.ISMSの要求事項として組織のセキュリティ・人的セキュリティ対策は必須事項です。
- 2.組織が保護すべき情報資産について自らにより必要な対応方法を明確な計画をもって管理を運用することが求められています。
一般的なセキュリティの維持に必要な三本柱
情報セキュリティ対策は、その情報それぞれに関わる人的な要素が非常に大きく、コンピュータ職だけではなく全員がかかわる問題です。
- ・人的セキュリティ・・・人間が情報を取り扱う際に不正な行為が行われないようにする対策
- ・物理的セキュリティ・・・使用する媒体そのものの管理対策(棚に鍵をかける等)
- ・技術的セキュリティ・・・セキュリティに対する技術の事(ウイルス対策・サーバメンテナンス等)
情報資産について
- ・その情報資産は誰が管理するのか。その管理責任者を明確にしなければならない。
- ・情報資産には保護レベルによって運用方法が異なる。適切に保護レベルを定め、分類しなければならない。
- ・保護レベル1:情報資産価値が低く、漏洩しても影響を及ぼさない→公開(配布)後の原稿など
- ・保護レベル2:情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→公開(配布)前の原稿など
- ・保護レベル3:個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→名簿、経理情報など
※詳しくは、情報資産一覧表、リスクアセスメントシートを参照。
管理の具体的な方法
ISMSではルールを定め、仕事を管理しながら運用することが重要であり、それが最大の効果を生む方法です。
管理することによって、業務における責任と範囲が明確になります。
リスク管理に対する心構え
- ・問題や事故を予防するため事前に予測して対策を考えておく。
- ・問題が起きたときには決められた手順で対応を行い被害を最小限に抑える。
- ・事故の原因や要因となる要素を事前に検討し、事故の再発を防ぐ。
→これらの事を実践することは企業の利益を維持するために必須です。
セキュリティ事故や事件というものは、
「人為的事象であること、意図的・偶発的なものである」、「様々な要因で発生し、その種類も多岐に渡る」
という特徴があり、事前に全てのケースについて予測し準備をすることは現実的に不可能です。
しかし、予測される問題を予め想定し、対応する方法を検討しておけば、未然に事故が防げたり、実際に問題が起きたとき、速やかな対応が可能となります。
入退室管理について【14施設・設備管理規定】
- ・名札をつける
- ・施設内の定義(執務エリアの定義)
- ・エリア管理レベルの説明。
- ・外部委託先業者等は、施設入退室管理表に記入。外部委託業者等が、施設内で作業する場合は、必ず立ち会い、外部委託業者のみで行動しないようにする。
- ・会社が無人になる場合は、必ず施錠する。
- ・物品の受け渡し場所は、施設外および、入り口付近で行う。
ログインについて【09アクセス制御管理規定】
- ・パスワードを正しく設定する。
- ・外出する際や、席を離れる場合はログオフする。
- ・スクリーンセーバを起動して、復帰の際にパスワードを入力する。
- ・利用しなくなったサーバは、直ちにアンマウントする。