情報セキュリティインシデントの管理(A13)
教育資料08の情報セキュリティインシデントの管理(A13)です。
←アクセス制御(A11)|ISMS教育資料|
情報セキュリティの事象及び弱点の報告[A13.1]
【目的】
情報システムに関する情報セキュリティの事象及び弱点を時機を失しない是正処置をとることができるやり方で連絡することを確実するため。
情報セキュリティ事象の報告[A13.1.1]
【管理策】
情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけすみやかに報告しなければならない。
セキュリティ弱点の報告[A13.1.2]
【管理策】
すべての従業員、契約相手並びに第三者の情報システム及びサービスの利用者に、システム又はサービスの中で発見した又は疑いをもったセキュリティ弱点は、どのようなものでも記録し、また、報告するように要求しなければならない。
【解説】
情報セキュリティインシデントに対する管理策(予防・発見・復旧)を構築・運用する。
発生した情報セキュリティ事故、また、事故につながる弱点は適切な連絡経路で速やかに報告しなければならない。
セキュリティインシデントには下記のものがある。
- ・情報漏洩、改ざん、破壊
- ・コンピュータウイルスなどの侵入
- ・不正アクセス
- ・情報システムの故障、サービス停止
- ・不完全、不正確なデータによる障害
セキュリティインシデントに対する管理策
- ○予防対策
・情報セキュリティインシデント発生確率の低減、発生時の損失抑制
- ○発見対策
・情報セキュリティインシデント発生の早期発見、発生時の連絡体制
- ○復旧対策
・応急対策、本格的復旧対策
当社では「セキュリティインシデント管理規定」で定めている。
- ・セキュリティ事故、セキュリティ弱点、ソフトウエア誤動作に分けて、管理・報告手順を定めている。
情報セキュリティインシデントの管理及びその改善[A13.2]
【目的】
情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため。
情報セキュリティインシデントからの学習[A13.2.2]
【管理策】
情報セキュリティインシデントの形態、規模及び費用を定量化し監視できるようにする仕組みを備えなければならない。
【解説】
情報セキュリティインシデントが発生。
↓
・内容、原因、業務や経営への影響度などを明確にする。
・復旧手順に問題はなかったか、発見・予防対策は十分だったか、復旧コストはどれくらいかを明確にする。
↓
これらの結果を管理策の改善につなげる。
当社では「セキュリティインシデント管理規定」で定めている。
- ・事故事例の分析で得られる教訓を社員が共有できる知識として整理し、適切な方法で告知している。