ISMS教育資料 簡略化バージョン
ISMSの基本的な考え方として、これだけは絶対に覚えるべきものをまとめました。
情報セキュリティとは
- ・ISMS=情報(Information)、セキュリティ(Security)、マネジメント(Management)、システム(System)
- ・ISMSとは、企業が情報を適切に管理し、機密を守るための包括的な枠組み。
- ・情報セキュリティとは、情報資産に対するセキュリティのことであり、「情報の機密性、完全性、可用性を維持すること」である。
- ・ISMSではリスクをゼロにすることは求めていない。多くの場合、「リスク管理」と「効率化」は相反するものであり、セキュリティ対策にはコストがかかる。
情報資産とは
- ・情報資産とは、「原稿・見積書・校正紙・FAX・名刺・デジタルデータ・端末・メディア・メール・ファイル」のことである。
詳しい分類は下記を参照のこと。
- ・情報資産・・・データファイル、データベース、手順書など
- ・ソフトウェア資産・・・業務用ソフトウェア、システムソフトウェアなど
- ・物理的資産・・・コンピュータ端末、通信装置など
- ・人的資産・・・資格、技能、経験など
- ・無形資産・・・組織の評判、イメージなど
情報セキュリティの3大要素とは
- ・組織が保護すべき情報資産において、機密性・完全性・可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである。
- ・下記3つの性質を維持することが、情報セキュリティにとって重要になる。
- ・機密性・・・アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
- ・完全性・・・情報および処理方法が正確であることおよび完全であることを保護すること。
- ・可用性・・・認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
端的に言うと、以下のようになる。この概念は覚えること。
- ・機密性・・・許可されなければ、使えない、見えない
- ・完全性・・・改ざんできない
- ・可用性・・・必要な時に、使える、見ることができる
ISMSの運用管理(PDCAサイクル)とは
- ・ISMSはセキュリティ対策を行うために、PDCAサイクルを継続的かつ有効に機能させなければならない。
- ・Plan・・・・・【計画】情報セキュリティ対策の具体的計画・目標を策定する。
- ・Do・・・・・・【実施】計画に基づいて対策の実施・運用を行う。
- ・Check・・・【確認】実施した結果の点検・監視を行う
- ・Act・・・・・・【改善】経営陣による見直しを行い、改善・処置する。
なぜISMSが必要なのか?
情報セキュリティの性質上、 情報資産に関わるもの全員が、その資産の情報セキュリティに関わることになる。
そのため、情報セキュリティを維持するには、 明確な方針及び目的を定め、組織的、継続的な取り組みが必要となる。
- 1.事業資産としての情報の重要性・・・・・・・・情報は事業には不可欠の資産であり、適切に保護される必要がある。
- 2.ネットワーク・分散型システムの普及・・・・社外との電子的やり取りが普及したため、システム担当者のみならず、全社員の教育が必要である。
- 3.情報システムへの脅威の増大・・・・・・・・・ネットワーク上での不正行為、スパイ行為、妨害行為の脅威は年々増大する傾向にあり、その対策が必要である。
- 4.セキュリティ事故の高度化・大規模化・・・・高度に効率化されたシステム上では、一瞬にして顧客情報を盗まれる。そのための対策として、情報セキュリティが必要になる。
- 5.技術的対策の限界・・・・・・・・・・・・・・・・・・技術的な対策だけでなく、人的な対策(盗難、誤操作)などの物理的要因も考慮にいれる必要がある。
一般的なセキュリティの維持に必要な三本柱
情報セキュリティ対策は、その情報に関わる人的要素が非常に大きく、コンピュータ職だけではなく従業員全員に関わる問題である。
- 1.人的セキュリティ・・・・・人間が情報を取り扱う際に不正な行為が行われないようにする対策
- 2.物理的セキュリティ・・・使用する媒体そのものの管理対策(棚に鍵をかける等)
- 3.技術的セキュリティ・・・セキュリティに対する技術の事(ウイルス対策・サーバメンテナンス等)
ISMSのメリットとは
本質的には、企業組織をより健全な経営へと導く仕組みがISMSである。以下、具体的なメリットを説明する。
| リスク低減 | ・情報漏えいへの対策(未然防止) ・不正アクセスへの組織的対応 ・システム破壊、事故対応力の向上 ・セキュリティ事故による事業損害リスクの低下 |
|---|---|
| 売上増加 | ・対外的な信頼性向上によるビジネスチャンス拡大 ・他社との差別化による受注増大 ・官公庁・大手ITベンダーに対する受注増大 |
情報資産について
- ・その情報資産は誰が管理するのか。ISMSではその管理責任者を明確にしなければならない。
- ・情報資産には、それぞれ保護レベルを定める。運用時には必ず分類しなければならない。
- ・情報資産の保護レベルによってその運用方法が異なる。以下、3つの保護レベルを説明する。
- ・保護レベル1・・・情報資産価値が低く、漏洩しても影響を及ぼさない→公開(配布)後の原稿など
- ・保護レベル2・・・情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→公開(配布)前の原稿など
- ・保護レベル3・・・個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→名簿、経理情報など
※詳しくは、情報資産一覧表、リスクアセスメントシートを参照。
組織図と役割について
- ・ISMSの最高責任者は社長。
- ・東京DSオフィスにおける責任者は千葉さん(ISMS事務局メンバー)。
- ・ISMSリーダーは倉田さん(ISMS推進者)。ISMSサブリーダーは大山さん、友美さん。
管理の具体的な方法とは
ISMSではルールを定め、仕事を管理しながら運用することが重要であり、それが最大の効果を生む。また、管理によって、業務における責任と範囲が明確になるという副次的な効果もある。
リスク管理に対する心構え
- 1.問題や事故を予防するため、事前に予測をして、対策を考える。
- 2.問題が起きたときには決められた手順で対応を行い、被害を最小限に抑える。
- 3.事故の原因や要因となる要素を事前に検討し、事故の再発を防ぐ。
→これらのことを実践することは、企業の利益を維持するために必須である。
以下、ISMSを遵守するためには、具体的にどう行動すべきかを説明する。
■入退室管理について
- ・社内では「IDカード(名札)」をつける。
- ・施設内の執務エリアの定義。 →東京DSオフィスのエリア管理について【PDF:66K】
- ・外部業者との物品受け渡しは、執務エリア外のドア入り口付近で行うこと。
- ・外部委託業者などが執務エリアに入るときは、「施設入退室管理表」に記入してもらうこと。またその場合は、必ず立ち会い、外部委託業者のみで行動しないようにする。
- ・会社が無人になる場合は必ず施錠する。
■クリアデスク・クリアスクリーンについて
- ・クリアデスクとは、机の上に機密情報を置き去りにしないよう、机の上の整理整頓を行うこと。 特に離席時に機密書類は仕舞う。
→【理由】机の上に重要・機密情報が書かれた紙などを放置しないようにすることにより、情報の盗み見や持ち出しを防止する。
- ・クリアスクリーンとは、離席するときにパソコンの中身を見られないようにすること。
→【理由】通りがかりの人が操作可能な状態でパソコンを放置しないようにすることにより、機密情報の盗み見・持ち出しやなりすましアクセスなどを防止する。
- ・スクリーンセーバーの時間は、原則「5分」と定める。立ち上げる際にはパスワード入力を求めるな設定にすること。
■携帯電話について
- ・携帯に「顧客担当者の個人情報」が入っている場合、紛失や盗難のリスクを考慮し、普段から「ロック設定」をする。
- ・仕事関係の個人情報が携帯に入っていなければ、特にロックをする必要はない。
- ・会社の電話番号など、一般公開されているものは個人情報ではない。
■保護ラベルについて
- ・東京DSオフィスでは、個々の書類ではなく、書類をまとめた箱に対して「保護レベルシール」を貼り付けてる運用ルールとなっている。
■書類(メディア)保管・廃棄について
- ・全ての書類に情報資産価値の「保護レベル」分けをする。保護レベルに応じた「保管」「廃棄」方法が必要。
| 保護レベル1 | 公開(配布)後の原稿 |
|---|---|
| 保護レベル2 | 公開(配布)前の原稿→廃棄の際はシュレッダーにかけること |
| 保護レベル3 | 個人情報や経理情報 |
■メールについて
- ・電子メールにファイルを添付する際、保護レベル2以上の情報資産については、パスワードをかける。
- ・一部の案件については、クライアントの意向により例外もある。