「ISMS」の版間の差分
編集の要約なし |
編集の要約なし |
||
| 1行目: | 1行目: | ||
<div id="manual"> | <div id="manual"> | ||
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、情報に関するセキュリティを管理するための仕組み。光画印刷では2006年3月に取得している。[http://www.kohga.co.jp/ISMS/ 光画ISMSサイト] | 情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、情報に関するセキュリティを管理するための仕組み。光画印刷では2006年3月に取得している。[http://www.kohga.co.jp/ISMS/ 光画ISMSサイト] | ||
==参考ページ== | |||
*・[[ISMS概論]]…入社時、ISMSについて説明するときの配布資料。 | |||
*・[[ISMS教育資料]]…教育資料です。 | |||
<br> | |||
*・[[ISMSケーススタディ]]…事例を上げて、問題点や改善方法を紹介します。 | |||
*・[[クリアデスク・クリアスクリーン]] | |||
*・[[機密保持契約書]]…書類申請・契約時の運用方法についての解説。 | |||
*・[[ファイル送信システム 利用マニュアル]]…ファイル送信システムの解説。 | |||
==リーダー会議 報告== | ==リーダー会議 報告== | ||
| 15行目: | 25行目: | ||
*・[[2009年03月18日:リーダー会議]] | *・[[2009年03月18日:リーダー会議]] | ||
*・[[2009年01月21日:リーダー会議]] | *・[[2009年01月21日:リーダー会議]] | ||
==ISMSの定義== | ==ISMSの定義== | ||
2010年3月12日 (金) 17:07時点における版
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、情報に関するセキュリティを管理するための仕組み。光画印刷では2006年3月に取得している。光画ISMSサイト
参考ページ
- ・ISMSケーススタディ…事例を上げて、問題点や改善方法を紹介します。
- ・クリアデスク・クリアスクリーン
- ・機密保持契約書…書類申請・契約時の運用方法についての解説。
- ・ファイル送信システム 利用マニュアル…ファイル送信システムの解説。
リーダー会議 報告
毎月第3水曜日に本社1階会議室で行われています。この内容は、全スタッフに対しての報告が義務付けられています。
- ・2009年11月28日:リーダー会議…
- ・2009年10月21日:リーダー会議…【レベル1】今年度の内部監査について、【報告】第4回社員教育について
- ・2009年09月16日:リーダー会議…【レベル1】運用基本事項の確認について、【報告】第3回社員教育について
- ・2009年08月19日:リーダー会議…【報告】第2回社員教育について
- ・2009年07月15日:リーダー会議…【レベル3】受領証兼返却確認証について
- ・2009年06月17日:リーダー会議…【レベル2】機密情報搬送方法について、【報告】セキュリティ便の契約について
- ・2009年05月20日:リーダー会議…【レベル1】今期教育内容について、【報告】セキュリティ問題発生の確認
- ・2009年04月15日:リーダー会議
- ・2009年03月18日:リーダー会議
- ・2009年01月21日:リーダー会議
ISMSの定義
ISMSの定義としてJIPDECは、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、
また、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。
また、ここでいう機密性・完全性・可用性とは、以下のような内容である。
- ・機密性…アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
- ・完全性…情報および処理方法が正確であることおよび完全であることを保護すること。
- ・可用性…認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
マネジメント
ISMSでは、情報資産を特定し、リスクを洗い出し、リスク軽減を行う形で、セキュリティを高める。情報資産は、以下の切り口で洗い出しを行う。
- ・情報資産:データベース、データファイル、手順書、監査証跡など
- ・ソフトウェア資産:業務用ソフトウェア、システムソフトウェア、開発用ツールなど
- ・物理的資産:コンピュータ装置、通信装置、記録媒体など
- ・サービス資産:ユーティリティ(空調、電源、照明)など
- ・人的資産:資格、技能、経験など
- ・無形資産:組織の評判、イメージなど
これらの情報資産に対して価値、影響度、蓋然性を基準として評価し、機密性、完全性、可用性の観点から、リスク対策を実施する。尚、ISMSではリスクをゼロにする事は求めていない。
リスク対策を行う事は、コストが掛かる為、組織として許容できる範囲のリスクかどうかの判断を経営陣が行う事を求めていて、許容範囲までのリスク軽減の対策を講じ、実行されている事を管理する事が求められている。情報資産の洗い出しから始まって、リスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを回す事がISMSである。
具体的な範囲
ISMSが適応される具体的な範囲は、以下の項目になります。
1.電子メールの知識と利用法
2.ウイルスの知識と対処方法
3.インターネットの利用法と注意点
4.パスワードの知識と管理
5.PCの利用上の注意点
6.オフィスにおける情報セキュリティ
7.ルールや規則の遵守
8.社外における情報セキュリティ
年度別の課題
- 2007年度 ISMS要員教育資料…2007年度の課題や目標です。
試験サイト
- ・情報セキュリティ理解度チェック受講
http://slb.jnsa.org/eslb/
ISMSの理解度チェックの受講ができます。問題数:25問、制限時間:60分(標準回答時間30分)です。
- ・Infinity Infonyによるイーランニング(ID/パスは、2009年1月上旬に千葉さんが配布)
https://www.infinity-infony.net/tat/login/
本講座はISO27001(ISMS)の必要性について解説しています。 なぜ必要なのかを学習し、理解してください。