「ISMS」の版間の差分

提供:Wiki@KDS
ナビゲーションに移動 検索に移動
← 古い編集新しい編集 →
編集の要約なし
編集の要約なし
1行目: 1行目:
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、情報に関するセキュリティを管理するための仕組み。<br>光画印刷では2006年3月に取得している。<br>
<div id="manual">
光画ISMSサイト:http://www.kohga.co.jp/ISMS/
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、情報に関するセキュリティを管理するための仕組み。光画印刷では2006年3月に取得している。<br>
・光画ISMSサイト:http://www.kohga.co.jp/ISMS/


----
==リーダー会議==
毎月第3水曜日に本社1階会議室で行われています。<br>
この内容は、全スタッフに対しての報告が義務付けられています。
 
*・[[2009年04月15日:リーダー会議]] <em>new!!</em>
*・[[2009年03月18日:リーダー会議]]
*・[[2009年01月21日:リーダー会議]]


==参考ページ==
==参考ページ==


*[[ISMS概論]]…入社時、ISMSについて説明するときの配布資料です。
*[[ISMS概論]]…入社時、ISMSについて説明するときの配布資料です。
*[[ISMSケーススタディ]]…事例を上げて、問題点や改善方法を紹介します。
*[[ISMSケーススタディ]]…事例を上げて、問題点や改善方法を紹介します。
*[[クリアデスク・クリアスクリーン]]
*[[クリアデスク・クリアスクリーン]]
*[[機密保持契約書]]…書類申請・契約時の運用方法についての説明です。
*[[機密保持契約書]]…書類申請・契約時の運用方法についての説明です。
 
<br>
*[[メール送信時の添付ファイル保護]]
*[[メール送信時の添付ファイル保護]]
*[[ファイル送信システム 利用マニュアル]]
*[[ファイル送信システム 利用マニュアル]]
 
----
 
==リーダー会議==
毎月第3水曜日に本社1階会議室で行われています。<br>
この内容は、全スタッフに対しての報告が義務付けられています。


*[[2009年01月21日:第06回リーダー会議]]
*[[2009年03月18日:第07回リーダー会議]]
*[[2009年04月15日:リーダー会議]]


----
==ISMSの定義==
==ISMSの定義==


30行目: 27行目:


また、ここでいう機密性・完全性・可用性とは、以下のような内容である。
また、ここでいう機密性・完全性・可用性とは、以下のような内容である。
<div class="example">
*・'''機密性'''…アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
*・'''完全性'''…情報および処理方法が正確であることおよび完全であることを保護すること。
*・'''可用性'''…認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
</div>


*機密性…アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
*完全性…情報および処理方法が正確であることおよび完全であることを保護すること。
*可用性…認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
----
==マネジメント==
==マネジメント==


ISMSでは、情報資産を特定し、リスクを洗い出し、リスク軽減を行う形で、セキュリティを高める。情報資産は、以下の切り口で洗い出しを行う。
ISMSでは、情報資産を特定し、リスクを洗い出し、リスク軽減を行う形で、セキュリティを高める。情報資産は、以下の切り口で洗い出しを行う。
* 情報資産:データベース、データファイル、手順書、監査証跡など
<div class="example">
* ソフトウェア資産:業務用ソフトウェア、システムソフトウェア、開発用ツールなど
* ・'''情報資産''':データベース、データファイル、手順書、監査証跡など
* 物理的資産:コンピュータ装置、通信装置、記録媒体など
* ・'''ソフトウェア資産''':業務用ソフトウェア、システムソフトウェア、開発用ツールなど
* サービス資産:ユーティリティ(空調、電源、照明)など
* ・'''物理的資産''':コンピュータ装置、通信装置、記録媒体など
* 人的資産:資格、技能、経験など
* ・'''サービス資産''':ユーティリティ(空調、電源、照明)など
* 無形資産:組織の評判、イメージなど
* ・'''人的資産''':資格、技能、経験など
* ・'''無形資産''':組織の評判、イメージなど
</div>


これらの情報資産に対して価値、影響度、蓋然性を基準として評価し、機密性、完全性、可用性の観点から、リスク対策を実施する。尚、ISMSではリスクをゼロにする事は求めていない。<br>リスク対策を行う事は、コストが掛かる為、組織として許容できる範囲のリスクかどうかの判断を経営陣が行う事を求めていて、許容範囲までのリスク軽減の対策を講じ、実行されている事を管理する事が求められている。情報資産の洗い出しから始まって、リスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを回す事がISMSである。
これらの情報資産に対して価値、影響度、蓋然性を基準として評価し、機密性、完全性、可用性の観点から、リスク対策を実施する。尚、ISMSではリスクをゼロにする事は求めていない。<br>リスク対策を行う事は、コストが掛かる為、組織として許容できる範囲のリスクかどうかの判断を経営陣が行う事を求めていて、許容範囲までのリスク軽減の対策を講じ、実行されている事を管理する事が求められている。情報資産の洗い出しから始まって、リスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを回す事がISMSである。


----
==具体的な範囲==
==具体的な範囲==
 
ISMSが適応される具体的な範囲は、以下の項目になります。
<div class="example">
1.電子メールの知識と利用法<br>
1.電子メールの知識と利用法<br>
2.ウイルスの知識と対処方法<br>
2.ウイルスの知識と対処方法<br>
60行目: 58行目:
7.ルールや規則の遵守<br>
7.ルールや規則の遵守<br>
8.社外における情報セキュリティ
8.社外における情報セキュリティ
</div>


----
==年度別の課題==
==年度別の課題==
*[[2007年度 ISMS要員教育資料]]…2007年度の課題や目標です。
*[[2007年度 ISMS要員教育資料]]…2007年度の課題や目標です。


----
==試験サイト==
==試験サイト==
*情報セキュリティ理解度チェック受講…http://slb.jnsa.org/eslb/ にて、ISMSの理解度チェックの受講ができます。問題数:25問、制限時間:60分(標準回答時間30分)です。
*・'''情報セキュリティ理解度チェック受講'''<br>
 
http://slb.jnsa.org/eslb/<br>
*Infinity Infonyによるイーランニング…https://www.infinity-infony.net/tat/login/ にて講座が受けられます。(ID/パスは、2009年1月上旬に千葉さんが配布)<br>本講座はISO27001(ISMS)の必要性について解説しています。 なぜ必要なのかをしっかり学習し、理解してください。
ISMSの理解度チェックの受講ができます。問題数:25問、制限時間:60分(標準回答時間30分)です。<br>
<br>
*・'''Infinity Infonyによるイーランニング'''(ID/パスは、2009年1月上旬に千葉さんが配布)<br>
https://www.infinity-infony.net/tat/login/<br>
本講座はISO27001(ISMS)の必要性について解説しています。 なぜ必要なのかを学習し、理解してください。

2009年4月29日 (水) 12:45時点における版

情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、情報に関するセキュリティを管理するための仕組み。光画印刷では2006年3月に取得している。
・光画ISMSサイト:http://www.kohga.co.jp/ISMS/

リーダー会議

毎月第3水曜日に本社1階会議室で行われています。
この内容は、全スタッフに対しての報告が義務付けられています。

参考ページ



ISMSの定義

ISMSの定義としてJIPDECは、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、
また、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。

また、ここでいう機密性・完全性・可用性とは、以下のような内容である。

  • 機密性…アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
  • 完全性…情報および処理方法が正確であることおよび完全であることを保護すること。
  • 可用性…認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

マネジメント

ISMSでは、情報資産を特定し、リスクを洗い出し、リスク軽減を行う形で、セキュリティを高める。情報資産は、以下の切り口で洗い出しを行う。

  • 情報資産:データベース、データファイル、手順書、監査証跡など
  • ソフトウェア資産:業務用ソフトウェア、システムソフトウェア、開発用ツールなど
  • 物理的資産:コンピュータ装置、通信装置、記録媒体など
  • サービス資産:ユーティリティ(空調、電源、照明)など
  • 人的資産:資格、技能、経験など
  • 無形資産:組織の評判、イメージなど

これらの情報資産に対して価値、影響度、蓋然性を基準として評価し、機密性、完全性、可用性の観点から、リスク対策を実施する。尚、ISMSではリスクをゼロにする事は求めていない。
リスク対策を行う事は、コストが掛かる為、組織として許容できる範囲のリスクかどうかの判断を経営陣が行う事を求めていて、許容範囲までのリスク軽減の対策を講じ、実行されている事を管理する事が求められている。情報資産の洗い出しから始まって、リスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを回す事がISMSである。

具体的な範囲

ISMSが適応される具体的な範囲は、以下の項目になります。

1.電子メールの知識と利用法
2.ウイルスの知識と対処方法
3.インターネットの利用法と注意点
4.パスワードの知識と管理
5.PCの利用上の注意点
6.オフィスにおける情報セキュリティ
7.ルールや規則の遵守
8.社外における情報セキュリティ

年度別の課題

試験サイト

  • 情報セキュリティ理解度チェック受講

http://slb.jnsa.org/eslb/
ISMSの理解度チェックの受講ができます。問題数:25問、制限時間:60分(標準回答時間30分)です。

  • Infinity Infonyによるイーランニング(ID/パスは、2009年1月上旬に千葉さんが配布)

https://www.infinity-infony.net/tat/login/
本講座はISO27001(ISMS)の必要性について解説しています。 なぜ必要なのかを学習し、理解してください。

https://wiki.kohga.tokyo/index.php?title=ISMS&oldid=3599」から取得