「情報セキュリティマネジメントシステム」の版間の差分

提供:Wiki@KDS
ナビゲーションに移動 検索に移動
← 古い編集新しい編集 →
Unno (トーク | 投稿記録)
77 回編集
編集の要約なし
Unno (トーク | 投稿記録)
77 回編集
編集の要約なし
10行目: 10行目:


<div class="example">
<div class="example">
===『情報セキュリティとは(情報セキュリティの定義)===
===情報セキュリティとは(情報セキュリティの定義)===
情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。<br>
情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。<br>
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。<br>
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。<br>
21行目: 21行目:
'''可用性…情報資産を利用したいときに利用できる状態'''<br>
'''可用性…情報資産を利用したいときに利用できる状態'''<br>
例)システム障害などからの保護<br><br>
例)システム障害などからの保護<br><br>
</div>
</div>


28行目: 27行目:
===情報セキュリティマネジメントの必要性===
===情報セキュリティマネジメントの必要性===
企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。<br>
企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。<br>
<div class="example">
<div class="example">
'''→ ポイント'''<br>
'''→ ポイント'''<br>
36行目: 34行目:
</div>
</div>


<div class="example">
===秘密保持契約 [A6.1.5]===
【管理策】<br>
<em>情報保護に対する組織の必要を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューしなければならない。</em><br>
【解説】<br>
会社と従業員との間で交わす秘密保持契約には、秘密情報を保護するための要求事項を取り上げる。<br>
秘密保持契約に関する要求事項は、定期的に、及びこれら要求に影響する変化が発生した場合にレビューしなければならない。
<div class="example">
'''当社では「要員管理規定」で定めている。'''<br>
*・社員は「機密保持誓約書」の提出、派遣社員は「機密保持契約書」の締結を行う。
*・内容についてはISMS管理責任者がレビューする。
</div>
</div>
</div>


<div class="example">
===情報セキュリティの独立したレビュー[A6.1.8]===
【管理策】<br>
<em>情報セキュリティ及びその実施のマネジメントに対する組織の取組み(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)について、あらかじめ計画した間隔で、又はセキュリティの実施に重大な変化が生じた場合に、独立したレビューを実施しなければならない。</em><br>
【解説】<br>
ISMSを構築したら、その内容とそれが確実に実施されているかどうかをレビューしなければならない。レビューは日常業務の枠から独立した形で、定期的又は業務や情報施設、ISMSに大きな変更があった場合に行う。
<div class="example">
'''当社では「セキュリティマニュアル」で定めている。'''<br>
*・マネジメントレビュー、内部監査にてレビューを行っている。
</div>
</div>


<div id="manual">
<div id="manual">
=='''外部組織[A6.2]'''==
=='''情報セキュリティマネジメントシステム(ISMS)の確立及び運用管理'''==
【目的】<br>
外部組織によってアクセス、処理、通信、又は管理される組織の情報及び情報処理施設のセキュリティを維持するため。


<div class="example">
<div class="example">
===外部組織に関係したリスクの識別[A6.2.1]===
===情報セキュリティマネジメントシステム(ISMS)とはなにか?===
【管理策】<br>
ISMSとは、情報セキュリティが関わる組織の目標を達成するために必要なマネジメントを効率的・効果的に行う為の仕組みである。このマネジメントシステムにおいて重要な事は、その管理が継続的かつ有効に機能する事である。そのためには、'''組織においてPDCAモデルが確立'''されている必要がある。<br>
<em>外部組織がかかわる業務プロセスからの、組織の情報及び情報処理施設に対するリスクを識別しなければならない。また、外部組織にアクセスを許可する前に適切な管理策を実施しなければならない。</em><br>
[[画像:ims04.jpg]]<br><br>
【解説】<br>
'''1:計画(ISMS の確立)'''<br>
第三者が情報処理施設及び設備へのアクセスすることの必要性、アクセスを許可した場合に生じるリスクなどについて評価し、その結果をふまえて必要な管理策を講じる。<br>
組織の全般的方針及び目的に従った結果を出すための,リスクマネジメント及び情報セキュリティの改善に関連した,ISMS 基本方針,目的,プロセス及び手順の確立<br><br>
'''2:実行(ISMS の導入及び運用)'''<br>
ISMS 基本方針,管理策,プロセス及び手順の導入及び運用<br><br>
'''3:点検(ISMS の監視及びレビュー)'''<br>
ISMS 基本方針,目的及び実際の経験に照らした,プロセスのパフォーマンスのアセスメント(適用可能ならば測定),及びその結果のレビューのための経営陣への報告<br><br>
'''4:処置(ISMS の維持及び改善)'''<br>
ISMS の継続的な改善を達成するための,ISMS の内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた,是正処置及び予防処置の実施<br><br>


<div class="example">
<div class="example">
'''当社では「施設・設備管理規定」で定めている。'''<br>
'''→ ポイント'''<br>
*・管理レベルにより、社内エリアを区分し、入退管理を実施する。
つまり、情報セキュリティマネジメントシステムにおいては、'''PDCAモデルを継続的に回す事で、セキュリティレベルをより確実なものとして運用を行う事が出来る。'''
*・身分証による識別/施設入退室管理表によるビジターバッジ・入館証発行/昼休み・18時~9時の施錠/受渡場所の設定/作業時の社員立会など
</div>
</div>
</div>
</div>
85行目: 61行目:


<div class="example">
<div class="example">
===第三者との契約におけるセキュリティ[A6.2.3]===
===情報セキュリティマネジメントの必要性===
【管理策】<br>
企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。<br>
<em>組織の情報若しくは情報処理施設が関係するアクセス・処理・通信・管理にかかわる第三者との契約、又は情報処理施設に製品・サービスを追加する第三者との契約は、関連するすべてのセキュリティ要求事項を取り上げなければならない。</em><br>
【解説】<br>
情報処理や社内の情報処理設備の管理を外部委託する場合は、その委託先と外部委託に関係する要求事項(責任範囲・守秘義務・損害賠償・注意義務など)について明確に定めた契約を締結する。<br>
 
<div class="example">
<div class="example">
'''当社では「外部組織管理規定」「外部委託管理規定」で定めている。'''<br>
'''→ ポイント'''<br>
*・外部委託先起業とは機密保持契約を締結している。
情報資産が企業経営に影響を及ぼす場合は、'''経営者の責任が問われる事'''になる。<br>
つまり、'''情報セキュリティマネジメントシステムを構築し、リスクを回避する必要'''がある。
</div>
</div>
</div>
</div>
</div>
</div>
'''Bold text'''

2010年3月17日 (水) 15:49時点における版

教育資料01の情報セキュリティマネジメントシステムです。
ISMS教育資料ISMSの内部監査、及びマネジメントレビュー

一般要求事項

≪一般≫
組織は、自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持、改善すること。
この規格の目的から、この規格で使われるプロセスはPDCAモデルに基づいている。

つまり、情報セキュリティマネジメントシステムを構築、維持、管理する事で、
利害関係者による適正な評価、判断が得られ、信頼をも享受することができるよう十分に設計されたものである。


情報セキュリティとは(情報セキュリティの定義)

情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。
つまり、情報セキュリティの基本は、機密性完全性及び可用性という3つの用件を満たしている状態といえる。



機密性…許可された者が、許可された時に、許可された場所で利用できる状態
例)不正アクセスや過失などによる情報漏洩や流出からの保護

完全性…資産の正確さ及び完全さを保護している状態
例)データの誤入力、誤処理などからの保護

可用性…情報資産を利用したいときに利用できる状態
例)システム障害などからの保護


情報セキュリティマネジメントの必要性

企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。

→ ポイント
情報資産が企業経営に影響を及ぼす場合は、経営者の責任が問われる事になる。
つまり、情報セキュリティマネジメントシステムを構築し、リスクを回避する必要がある。


情報セキュリティマネジメントシステム(ISMS)の確立及び運用管理

情報セキュリティマネジメントシステム(ISMS)とはなにか?

ISMSとは、情報セキュリティが関わる組織の目標を達成するために必要なマネジメントを効率的・効果的に行う為の仕組みである。このマネジメントシステムにおいて重要な事は、その管理が継続的かつ有効に機能する事である。そのためには、組織においてPDCAモデルが確立されている必要がある。


1:計画(ISMS の確立)
組織の全般的方針及び目的に従った結果を出すための,リスクマネジメント及び情報セキュリティの改善に関連した,ISMS 基本方針,目的,プロセス及び手順の確立

2:実行(ISMS の導入及び運用)
ISMS 基本方針,管理策,プロセス及び手順の導入及び運用

3:点検(ISMS の監視及びレビュー)
ISMS 基本方針,目的及び実際の経験に照らした,プロセスのパフォーマンスのアセスメント(適用可能ならば測定),及びその結果のレビューのための経営陣への報告

4:処置(ISMS の維持及び改善)
ISMS の継続的な改善を達成するための,ISMS の内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた,是正処置及び予防処置の実施

→ ポイント
つまり、情報セキュリティマネジメントシステムにおいては、PDCAモデルを継続的に回す事で、セキュリティレベルをより確実なものとして運用を行う事が出来る。


情報セキュリティマネジメントの必要性

企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。

→ ポイント
情報資産が企業経営に影響を及ぼす場合は、経営者の責任が問われる事になる。
つまり、情報セキュリティマネジメントシステムを構築し、リスクを回避する必要がある。

https://wiki.kohga.tokyo/index.php?title=情報セキュリティマネジメントシステム&oldid=4465」から取得