情報資産に対する脅威と対策②-①
マイナンバー制度について
- 番号法の規定によるものを除き、特定個人情報(マイナンバーをその内容に含む個人情報)の収集・保管、特定個人情報ファイルの作成を禁止
- 特定個人情報保護委員会による監視・監督
- 特定個人情報保護評価
- 罰則の強化
- マイポータルによる情報提供等記録の確認
- 個人情報を一元的に管理せずに、分散管理を実施
- 個人番号を直接用いず、符号を用いた情報連携を実施
- アクセス制御により、アクセスできる人の制限・管理を実施
- 通信の暗号化を実施
- 作者: 水町雅子
- 出版社/メーカー: 有斐閣
- 発売日: 2014/03/26
- メディア: 単行本(ソフトカバー)
- この商品を含むブログ (3件) を見る
- 作者: 清水勉,桐山桂一
- 出版社/メーカー: 岩波書店
- 発売日: 2012/08/08
- メディア: 単行本(ソフトカバー)
- クリック: 1回
- この商品を含むブログ (3件) を見る
- 作者: 白石孝,清水雅彦
- 出版社/メーカー: 自治体研究社
- 発売日: 2015/04/10
- メディア: 単行本
- この商品を含むブログを見る
情報資産に対する脅威と対策①
情報セキュリティ総論②
前回に引き続き、情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2015年12月20日アクセス)の「Chapter Ⅰ 情報セキュリティ総論」の内容を独自にまとめてみました(内容が多少古かったので、何ヶ所かは自力で調べて内容を新しくしています)。
jichitaisyokuinbenkyo.hateblo.jp
(↑記事は読み飛ばしていただいても結構です。)
【情報セキュリティ対策の枠組み】
JIS Q 27001 : 2014では、情報セキュリティマネジメントシステム(ISMS : Information Security Management System)を確立し、実施し、維持し、継続的に改善するための事項を規定しています。
ISMSは組織が情報セキュリティに取り組むための全体的な枠組みであり、PDCA(Plan-Do-Check-Act)サイクルに乗せた継続的な改善が望ましいとされます。
【情報セキュリティ対策の方針策定=Plan】
組織が所有する情報資産の情報セキュリティ対策について総合的、体系的かつ具体的にとりまとめたもの(情報セキュリティ基本方針+情報セキュリティ対策基準)。
①情報セキュリティ基本方針
組織における、情報セキュリティ対策に対する根本的な考え方。
②情報セキュリティ対策基準
情報セキュリティ基本方針に定められ情報セキュリティを確保するため遵守すべき行為および判断などの基準。
ちなみに、Yahoo! JAPANで「情報セキュリティポリシー 市」と検索すると、埼玉県川口市が上位検索されたので、参考に載せておきます。
ページから、基本方針と対策基準にもとべます。
川口市/川口市情報セキュリティポリシー (2015年12月20日アクセス)
その他、具体的手順などを定めた「情報セキュリティ実施手順」なども存在します。
【情報セキュリティ対策の実行=Do】
リスクマネジメント(JIS Q 31000 : 2010)
リスクについて、組織を指揮統制するための調整された活動。
・リスク分析
リスクの特質を理解し、リスクレベルを決定するプロセス。
定量的リスク分析(ALEなど)
定性的リスク分析(CRAMM、GMITS/MICTSなど)
その他(JRAMなど)
・リスク対応
リスクを修正するプロセス。
リスクコントロール(リスク回避/リスク集中/リスク分離/損失予防/損失軽減)
リスクファイナンス(リスク保有/リスク移転)
【情報セキュリティ対策の点検=Check】
情報セキュリティ監査
有効かつ効率的に監査を実施して情報セキュリティの品質確保を目的とする。
・情報セキュリティ監査基準
保証型/助言型もしくは、この2つを同時に目的とした監査を行う。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf (経済産業省ホームページより。2015年12月20日アクセス)
・情報セキュリティ管理基準
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf (経済産業省ホームページより。2015年12月20日アクセス)
最後に、PDCAサイクルについて面白い記事があったので (2015年12月20日アクセス)。
情報セキュリティ総論①
情報セキュリティに関連する法律といえば、
- 刑法
- 不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
- 個人情報保護法(個人情報の保護に関する法律)
- 番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
- サイバーセキュリティ基本法
このうち個人情報保護法は、OECD(経済協力開発機構)が公表した、「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(OECD8原則)をベースにしておりhttp://www.caa.go.jp/planning/kojin/kaisetsu/pdfs/gensoku.pdf(消費者庁ホームページより。2015年12月16日アクセス)、
この法律では、個人情報の利用目的の通知(第24条第2項)、開示(第25条第1項)、訂正(第26条第1項)、利用停止(第27条第1項、第2項)などを認めています。
http://www.caa.go.jp/planning/kojin/kaisetsu/pdfs/kanyo.pdf(消費者庁ホームページより。2015年12月16日アクセス)
情報セキュリティ管理士認定試験を受けます。
らくらく突破 情報セキュリティ管理士 認定試験 公式テキスト
- 作者: 五十嵐聡
- 出版社/メーカー: 技術評論社
- 発売日: 2012/12/26
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る