情報セキュリティ総論②
前回に引き続き、情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2015年12月20日アクセス)の「Chapter Ⅰ 情報セキュリティ総論」の内容を独自にまとめてみました(内容が多少古かったので、何ヶ所かは自力で調べて内容を新しくしています)。
jichitaisyokuinbenkyo.hateblo.jp
(↑記事は読み飛ばしていただいても結構です。)
【情報セキュリティ対策の枠組み】
JIS Q 27001 : 2014では、情報セキュリティマネジメントシステム(ISMS : Information Security Management System)を確立し、実施し、維持し、継続的に改善するための事項を規定しています。
ISMSは組織が情報セキュリティに取り組むための全体的な枠組みであり、PDCA(Plan-Do-Check-Act)サイクルに乗せた継続的な改善が望ましいとされます。
【情報セキュリティ対策の方針策定=Plan】
組織が所有する情報資産の情報セキュリティ対策について総合的、体系的かつ具体的にとりまとめたもの(情報セキュリティ基本方針+情報セキュリティ対策基準)。
①情報セキュリティ基本方針
組織における、情報セキュリティ対策に対する根本的な考え方。
②情報セキュリティ対策基準
情報セキュリティ基本方針に定められ情報セキュリティを確保するため遵守すべき行為および判断などの基準。
ちなみに、Yahoo! JAPANで「情報セキュリティポリシー 市」と検索すると、埼玉県川口市が上位検索されたので、参考に載せておきます。
ページから、基本方針と対策基準にもとべます。
川口市/川口市情報セキュリティポリシー (2015年12月20日アクセス)
その他、具体的手順などを定めた「情報セキュリティ実施手順」なども存在します。
【情報セキュリティ対策の実行=Do】
リスクマネジメント(JIS Q 31000 : 2010)
リスクについて、組織を指揮統制するための調整された活動。
・リスク分析
リスクの特質を理解し、リスクレベルを決定するプロセス。
定量的リスク分析(ALEなど)
定性的リスク分析(CRAMM、GMITS/MICTSなど)
その他(JRAMなど)
・リスク対応
リスクを修正するプロセス。
リスクコントロール(リスク回避/リスク集中/リスク分離/損失予防/損失軽減)
リスクファイナンス(リスク保有/リスク移転)
【情報セキュリティ対策の点検=Check】
情報セキュリティ監査
有効かつ効率的に監査を実施して情報セキュリティの品質確保を目的とする。
・情報セキュリティ監査基準
保証型/助言型もしくは、この2つを同時に目的とした監査を行う。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf (経済産業省ホームページより。2015年12月20日アクセス)
・情報セキュリティ管理基準
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf (経済産業省ホームページより。2015年12月20日アクセス)
最後に、PDCAサイクルについて面白い記事があったので (2015年12月20日アクセス)。