ISMS教育資料 簡略化バージョン

提供:Wiki@KDS
2010年3月18日 (木) 19:55時点における192.168.200.252 (トーク)による版
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ナビゲーションに移動 検索に移動

ISMSの考え方として、これだけは絶対に覚えるべきものをまとめました。

情報セキュリティとは

  • ・ISMS=情報(Information)、セキュリティ(Security)、マネジメント(Management)、システム(System)
  • ・情報セキュリティとは、情報資産に対するセキュリティのことであり、「情報の機密性、完全性、可用性を維持すること」である。

情報資産とは

  • ・情報資産とは、「原稿・見積書・校正紙・FAX・名刺・デジタルデータ、端末・メディア・メール・ファイル」など、情報が掲載・記憶されている媒体を指す。


光画印刷ISMS文書 情報資産一覧表へ

情報セキュリティの3大要素とは

  • ・組織が保護すべき情報資産について、機密性・完全性・可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである。
  • ・下記3つの性質を維持することが、情報セキュリティにとって重要。
  • 機密性・・・アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
  • 完全性・・・情報および処理方法が正確であることおよび完全であることを保護すること。
  • 可用性・・・認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。


ISMSの運用管理(PDCAサイクル)

  • ・ISMSはセキュリティ対策を行うために、PDCAサイクルを継続的かつ有効に機能させなければならない。
  • Plan・・・・・【計画】情報セキュリティ対策の具体的計画・目標を策定する。
  • Do・・・・・・【実施】計画に基づいて対策の実施・運用を行う。
  • Check・・・【確認】実施した結果の点検・監視を行う
  • Act・・・・・・【改善】経営陣による見直しを行い、改善・処置する。


なぜISMSが必要なのか?

企業の

  • 1.ISMSの要求事項として組織のセキュリティ・人的セキュリティ対策は必須事項です。
  • 2.組織が保護すべき情報資産について自らにより必要な対応方法を明確な計画をもって管理を運用することが求められています。

一般的なセキュリティの維持に必要な三本柱

情報セキュリティ対策は、その情報それぞれに関わる人的な要素が非常に大きく、コンピュータ職だけではなく全員がかかわる問題です。

  • 人的セキュリティ・・・人間が情報を取り扱う際に不正な行為が行われないようにする対策
  • 物理的セキュリティ・・・使用する媒体そのものの管理対策(棚に鍵をかける等)
  • 技術的セキュリティ・・・セキュリティに対する技術の事(ウイルス対策・サーバメンテナンス等)


情報資産について

  • ・その情報資産は誰が管理するのか。その管理責任者を明確にしなければならない。
  • ・情報資産には保護レベルによって運用方法が異なる。適切に保護レベルを定め、分類しなければならない。
  • ・保護レベルの目安は、「保護レベル1=公開後の資料」、「保護レベル2=公開前の資料」、「保護レベル3=個人情報、見積もり」と定めている。

管理の具体的な方法

ISMSでは、ルールを定め、仕事を管理しながら運用することが大事であり、最大の効果のある方法です。
管理することによって、業務における責任と範囲が明確になります。

リスク管理の心構え

  • ・問題や事故を予防するため事前に予測して対策を考えておく。
  • ・問題が起きたときには決められた手順で対応を行い被害を最小限に抑える。
  • ・事故の原因や要因となる要素を事前に検討し、事故の再発を防ぐ。

→これらの事を実践することは企業の利益を維持するために必須です。

セキュリティ事故や事件というものは、
「人為的事象であること、意図的・偶発的なものである」、「様々な要因で発生し、その種類も多岐に渡る」
という特徴があり、事前に全てのケースについて予測し準備をすることは現実的に不可能です。
しかし、予測される問題を予め想定し、対応する方法を検討しておけば、未然に事故が防げたり、実際に問題が起きたとき、速やかな対応が可能となります。


https://wiki.kohga.tokyo/index.php?title=ISMS教育資料_簡略化バージョン&oldid=4491」から取得