「ISMS概論」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし |
編集の要約なし |
||
| 1行目: | 1行目: | ||
<div id="manual"> | <div id="manual"> | ||
==情報セキュリティとは== | ==情報セキュリティとは== | ||
2011年4月5日 (火) 09:59時点における版
情報セキュリティとは
- ・ISMS=情報(Information)、セキュリティ(Security)、マネジメント(Management)、システム(System)
- ・ISMSとは、企業が情報を適切に管理し、機密を守るための包括的な枠組みである。
- ・情報セキュリティとは、情報資産に対するセキュリティのことであり、「情報の機密性、完全性、可用性を維持すること」である。
- ・ISMSではリスクをゼロにすることは求めていない。多くの場合、「リスク管理」と「効率化」は相反するものであり、セキュリティ対策にはコストがかかるため。
情報資産とは
- ・情報資産とは、それを必要とする人にとって価値を見出されるような情報のことである。
- ・ISMSでの具体的な情報資産とは、「原稿・見積書・校正紙・FAX・名刺・デジタルデータ・端末・メディア・メール・ファイル」のことである。
主な情報資産の分類
- ・情報資産・・・データファイル、データベース、手順書など
- ・ソフトウェア資産・・・業務用ソフトウェア、システムソフトウェアなど
- ・物理的資産・・・コンピュータ端末、通信装置など
- ・人的資産・・・スキル、経験、資格など
- ・無形資産・・・組織の評判、ブランドイメージなど
一般的なセキュリティの維持に必要な三本柱
情報セキュリティ対策は、その情報に関わる人的要素が非常に大きく、コンピュータ職だけではなく従業員全員に関わる問題である。
以下はセキュリティの維持に必要な三本柱と言われる。
- 1.人的セキュリティ・・・・・人間が情報を取り扱う際、不正な行為が行われないようにする対策
- 2.物理的セキュリティ・・・使用する媒体そのものの管理対策(棚に鍵をかける等)
- 3.技術的セキュリティ・・・セキュリティに対する技術のこと(ウイルス対策・サーバメンテナンス等)
情報セキュリティの3大要素とは
- ・組織が保護すべき情報資産において、機密性・完全性・可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである。
- ・下記3つの性質を維持することが、情報セキュリティにとって重要になる。以下、各項目を説明する。
- ・機密性・・・アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
- ・完全性・・・情報および処理方法が正確であることおよび完全であることを保護すること。
- ・可用性・・・認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
端的に言うと以下のようになる。この概念は覚えること。
- ・機密性・・・許可されなければ、使えない、見えない
- ・完全性・・・改ざんできない
- ・可用性・・・必要な時に、使える、見ることができる
ISMSの運用管理(PDCAサイクル)とは
- ・ISMSはセキュリティ対策を行うために、PDCAサイクルを継続的かつ有効に機能させなければならない。
- ・Plan・・・・・【計画】情報セキュリティ対策の具体的計画・目標を策定する。
- ・Do・・・・・・【実施】計画に基づいて対策の実施・運用を行う。
- ・Check・・・【確認】実施した結果の点検・監視を行う
- ・Act・・・・・・【改善】経営陣による見直しを行い、改善・処置する。
なぜISMSが必要なのか?
業務上、情報資産に関わるもの全員が、その資産の情報セキュリティに関わることになる。
そのため、情報セキュリティを維持するには、 明確な方針及び目的を定め、組織的、継続的な取り組みが必要となる。
- 1.事業資産としての情報の重要性・・・・・・・・情報は事業には不可欠の資産であり、適切に保護される必要がある。
- 2.ネットワーク・分散型システムの普及・・・・社外との電子的やり取りが普及したため、システム担当者のみならず、全社員の教育が必要である。
- 3.情報システムへの脅威の増大・・・・・・・・・ネットワーク上での不正行為、スパイ行為、妨害行為の脅威は年々増大する傾向にあり、その対策が必要である。
- 4.セキュリティ事故の高度化・大規模化・・・・高度に効率化されたシステム上では、一瞬にして顧客情報を盗まれる。そのための対策として、情報セキュリティが必要になる。
- 5.技術的対策の限界・・・・・・・・・・・・・・・・・・技術的な対策だけでなく、人的な対策(盗難、誤操作)などの物理的要因も考慮にいれる必要がある。
ISMSのメリットとは
ISMSは、会社をより健全な経営に導く仕組みである。企業経営にとって、導入するメリットがあるからこそISMSは存在する。
以下、具体的なメリットを説明する。
| リスク低減 | ・情報漏えいへの対策(未然防止) ・不正アクセスへの組織的対応 ・システム破壊、事故対応力の向上 ・セキュリティ事故による事業損害リスクの低下 |
|---|---|
| 売上増加 | ・対外的な信頼性向上によるビジネスチャンス拡大 ・他社との差別化による受注増大 ・官公庁・大手ITベンダーに対する受注増大 |
情報資産の管理・保護について
- ・その情報資産は誰が管理するのか。ISMSではその管理責任者を明確にしなければならない。
- ・情報資産には、それぞれ保護レベルを定める。運用時には必ず分類しなければならない。
- ・情報資産の保護レベルによってその運用方法が異なる。以下、3つの保護レベルを説明する。
- ・保護レベル1・・・情報資産価値が低く、漏洩しても影響を及ぼさない→公開(配布)後の原稿など
- ・保護レベル2・・・情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→公開(配布)前の原稿など
- ・保護レベル3・・・個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→名簿、経理情報など
※詳しくは、情報資産一覧表、リスクアセスメントシートを参照。
組織図と役割について
- ・ISMSの最高責任者は社長。
- ・東京DSオフィスにおける責任者は千葉さん(ISMS事務局メンバー)。
- ・ISMSリーダーは倉田さん(ISMS推進者)。ISMSサブリーダーは大山さん、中村さん。
ISMS管理の具体的な手順・約束事!
ISMSではルールを定め、仕事を管理しながら運用することが重要であり、それが最大の効果を生む。
また、管理によって、業務における責任と範囲が明確になるという副次的な効果もある。
リスク管理に対する心構え
- 1.問題や事故を予防するため、事前に予測をして、対策を考える。
- 2.問題が起きたときには決められた手順で対応を行い、被害を最小限に抑える。
- 3.事故の原因や要因となる要素を事前に検討し、事故の再発を防ぐ。
→これらのことを実践することは、企業の利益を維持するために必須である。
以下、ISMSを遵守するためには、具体的にどう行動すべきかを説明する。
※管理規定の原文はこちらにあります。
■入退室管理について
- ・社内では「IDカード(名札)」をつける。
- ・施設内の執務エリアの定義は理解する。 →東京DSオフィスのエリア管理について【PDF:66K】
- ・外部業者との物品受け渡しは、執務エリア外のドア入り口付近で行う。
- ・外部委託業者などが執務エリアに入るときは、「施設入退室管理表」に記入してもらうこと。またその場合は必ず立ち会い、外部委託業者のみで行動しないようにする。
- ・会社が無人になる場合は必ず施錠する。
■クリアデスク・クリアスクリーンについて
- ・クリアデスクとは、机の上に機密情報を置き去りにしないよう、机の上の整理整頓を行うこと。 特に離席時に機密書類は仕舞う。
→【理由】机の上に重要・機密情報が書かれた紙などを放置しないようにすることにより、情報の盗み見や持ち出しを防止する。
- ・クリアスクリーンとは、離席するときにパソコンの中身を見られないようにすること。
→【理由】通りがかりの人が操作可能な状態でパソコンを放置しないようにすることにより、機密情報の盗み見・持ち出しやなりすましアクセスなどを防止する。
- ・スクリーンセーバーの時間は、原則「5分」と定める。立ち上げる際にはパスワード入力を求める設定にすること。
■携帯電話について
- ・携帯に「顧客担当者の個人情報」が入っている場合、紛失や盗難のリスクを考慮し、普段から「ロック設定」をする。
- ・仕事関係の個人情報が携帯に入っていなければ、特にロックをする必要はない。
- ・会社の電話番号など、一般公開されているものは個人情報ではない。
■情報資産管理について
- ・全ての書類に適切な保護レベルを定め、運用・管理を行う。保護レベルに応じた「保管」「廃棄」方法が必要となる。
- ・東京DSオフィスでは個々の書類ではなく、書類をまとめた箱に対して「保護レベルシール」を貼り付けてる運用ルールを行っている。
| 保護レベル1 | 公開(リリース)後の制作物 ※世間の誰でも見ることができる情報のこと!! |
そのままゴミ箱に捨ててOK |
|---|---|---|
| 保護レベル2 | 公開(リリース)前の原稿や制作物、制作過程の資料 ※世間の人が見ることのできない情報のこと!! |
→廃棄の際はシュレッダーにかける |
| 保護レベル3 | 個人情報、経理情報、機密情報 | →廃棄の際はシュレッダーにかける |
■メールについて
- ・電子メールにファイルを添付する際、保護レベル2以上の情報資産についてはパスワードをかける。(一部例外もある。クライアントの都合上にもよる。運用が決まってないのもある)
■個人情報の取り扱いについて
- ・個人情報は情報資産価値のレベルが非常に高い。保護レベル3である。
- ・個人情報は、原則としてどのような資産価値評価であろうとも、バックアップを取得しなければならない。
- ・個人情報を破棄する場合には、第三者に漏えいしないようにシュレッダー又はファイル消去プログラムにより完全に削除しなければならない。
■情報交換について
- ・外部委託業者など第三者に聞こえてしまう恐れがあるときには、機密情報を電話で話さない。社内の人間との会話でも気を遣う。
- ・FAXで機密情報を送信する際は、宛先間違いが起こらないように注意、確認し、送信が完了するまで離れない。
- ・受信されたFAXから情報が漏洩する恐れがあるので、外部委託業者などの第三者がFAXの近辺に立ち入る際には、付き添って監視する。
- ・FAX、コピー機に原稿を置きっぱなしにはしない。
■セキュリティ事故
- ・セキュリティ事故を発生させてしまった場合には、速やかに上司、部門長へ報告する。
- ・セキュリティ事故とは、データまたは処理の異常など情報システムのトラブル、情報盗難、漏洩時など人為的な違反行為が発生した場合のことである。
- ・情報処理施設(サーバやマシン)に、セキュリティ上の欠陥や、脅威を発見した場合は、直ちに「システム企画室」へ「セキュリティ問題報告書」を提出する。
- ・もし、欠陥等を発見してもテストはしない。テストをしたことにより、被害が発生・拡大する可能性があるため。
- ・事故を発生させてしまったときは、システム企画室に報告するための「セキュリティ事故報告書」を作成する。
以上、ISMSに関するこれらのことは理解して遵守すること。