情報セキュリティスペシャリスト 情報処理安全確保支援士

情報セキュリティマネジメントについて

投稿日:2016年4月23日 更新日:

情報セキュリティマネジメントとは「適切な情報セキュリティポリシーに基づいて、情報資産の機密性、完全性、可用性をバランスよく維持または改善すること」です。

これを会社として十分に確保するために、ISMS(情報セキュリティマネジメントシステム)という重要な制度があります。


ISMSは正式には「ISMS適合性評価制度」と言われ、ISO/IEC27001,ISO/IEC 27002という国際規格で定められています。
ISO/IEC 27001 JIS Q 27001 ISMS 要求事項
ISO/IEC 27002 JIS Q 27002 ISM 実践のための規範

ISMSは簡単に言ってしまうと企業が十分な情報セキュリティを確保・維持することを
目的とした評価制度となります。

ISMS認証を取得した企業は情報セキュリティマネジメントの水準が基準以上達しているものとみられ評価され、中には、ISMSの認定を受けていない会社では携わることのできない案件などもあるので、とても重要な評価制度となっています。

このように、企業が情報セキュリティマネジメントを遂行するために、ISMS適合性評価制度を取得・運用する必要がありますが、

その上で重要な2つのキーワードが、リスクマネジメントセキュリティポリシーです。

リスクマネジメント

まず、そもそもリスクとはマイナスのイメージがありますが、「不確実性」であることを指します。
なので、利益を生もうが損失を生もうが不確実であることがリスクと言えます。

リスクの分析・評価のためのアプローチや手順は色々とありますが、
大枠として以下のプロセスが重要です。

①リスクアセスメント(リスクの分析・評価)
②リスク対応の実施
③リスク対応の評価、レビュー
④リスクおよびリスク対応方法の見直し

リスクマネジメントPDCA

①リスクアセスメント(リスクの分析・評価)
リスクアセスメントにおいては、以下の内容を整理、洗い出し、評価します。(What,Who,Where,When,Howなどの観点から分析を行います。)

・情報資産が何であるか、対象範囲はどこまでか、どのようにグルーピングできるか
・脅威は何であるか、誰が、どこから、どのようにして行われるのか
・脆弱性は何であるか、何が、いつ、どうなるのか
・以上の観点からリスクを洗い出し、リスクの大きさを評価する

②リスク対応の実施
リスク対応の実施においては、リスクコントロールとリスクファイナンス、リスクの受容が挙げられます。

リスクコントロール・・・潜在リスクの発生抑止や損失をおさえることを言います。リスク回避、リスク低減、リスク移転があります。
リスクファイナンス・・・リスクが発生した場合の対応費用を確保しておくことです。
リスクの受容・・・リスクの重要性や予算などとの兼ね合いで、あえて対策を取らないことです。

③リスク対応の評価、レビュー
①でリスクを識別し、②でリスクに対し対応していった内容を評価し、全てのリスクを洗い出すことができているか、対応に問題ないかを確認する。
問題があった場合は次の④で見直しを実施する。

④リスクおよびリスク対応方法の見直し
リスクマネジメントにおいては、リスクが顕在化した際などに、
随時リスクの再評価やレビューを行い、対応方法の見直しをかけていくことが重要です。

情報セキュリティポリシー

情報セキュリティポリシー

「引用:http://www.ipa.go.jp/security/manager/protect/pdca/policy.html 」

情報セキュリティポリシーの策定において以下のようなことを考慮する必要があります。
もっとあるのでしょうが、一般的なことを記載します。

・組織体制の明確化・・・情報セキュリティ統括責任者、情報セキュリティ委員会、情報システム管理者など
・情報資産の明確化・・・紙、電子データ、CD・DVDなど
・情報資産の取り扱い方法の明確化
・対象者の明確化・・・正社員、派遣社員、協力会社の社員など
・目的や罰則の明確化
・運用方法の明確化・・・インシデント発生時の対応など

 

以下は情報セキュリティポリシー策定における参照ページです。

「情報セキュリティポリシーに関するガイドライン」
http://www.nisc.go.jp/active/sisaku/2002_1128/ISP_Guideline_20021128.html
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html

「情報セキュリティポリシー・サンプル0.92a版 ポリシー・サンプル 解説書」
http://www.jnsa.org/policy/guidance/

ISMS認証が2016年度に新しくなるようです。
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/070600292/?rt=nocnt

 







-情報セキュリティスペシャリスト, 情報処理安全確保支援士
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

情報セキュリティの脆弱性ついて

脆弱性とは一般的にはソフトウェアやネットワークの欠陥(バグ)を指しますが、 広義にはシステム面だけでなく、建物・設備面や管理・セキュリティポリシー面での不備も挙げられます。 今回はその中でもネットワー …

HTTP・Webアプリケーションの脆弱性

HTTP,Webアプリケーション関連の脆弱性としては、 主に以下の種類があります。

WAF(Webアプリケーションファイアウォール)について

今回は、WAF(Webアプリケーションファイアウォール)についてです。 WAFとはその名の通り、Webアプリケーションに対する攻撃を防御するための製品です。

ファイアウォールについて

ファイアウォールとはレイア4のTCP/IPの層でアクセス制御を行う装置です。 ただし、最近のファイアウォール製品は、その機能以上にIDS/IPS,アンチウイルス、アンチスパム、Webフィルタリングとい …

認証システムについて

今回は様々な認証システムについて説明していきたいと思います。 その前に、まずは認証ってどういったものなのかの確認となります。 認証はそもそも何のためにするものかというと、 人(ユーザ名)や端末(IPア …

Sponsored Link