情報セキュリティ運用とリスクマネジメント(セキュリティ)
学習のポイント
情報セキュリティマネジメントシステムを把握し、「リスク」と「リスクアセスメント」を理解しましょう。また、各種関連法規の把握をしましょう。
1. 情報セキュリティマネジメント(ISMS) | |
情報セキュリティマネジメント(ISMS)は、組織における情報セキュリティの運用の仕組みです。セキュリティ対策と情報を取り扱う際の基本的な方針である「セキュリティポリシ」を定め、運用管理を含めた体制・制度のことをいいます。実際の情報セキュリティの管理業務の進め方として「PDCAサイクル」を利用します。
Do…計画に基づいて対策の導入・運用を行う。 Check…実施した結果の監視・見直しを行う。 Acttion…経営陣による改善・処置を行う。 |
|
2. JIS Q 27001 | |
ISMS 要求事項で、「ISMS適合性認定制度」の基準となる規格のこと。 ISMS適合性認定制度とは? 構築されたISMSが、ISO27001/JISQ27001に適合していることを、第三者が評価し、認定する制度のこと。 |
|
3. JIS Q 27002 | |
ISMS 実践のための規範で、ISMSを実践するためのガイドとして、管理事項・目的・実施方法などを規定したものです。 | |
4. 個人情報保護法 | |
情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向等を受けて、平成15年5月に公布され、平成17年4月に全面施行されました。 個人情報とは「氏名・生年月日などの個人を特定できるもの、または、他の情報を組み合わせることで個人を識別できるもの」と定義されています。個人情報をデータベースなどで取り扱う事業者を「個人情報取扱事業者」といいます。 個人情報取扱事業者の義務 ●利用目的の特定・目的外利用の禁止 個人情報を取り扱うに当たっては、利用目的をできるだけ特定しなければなりません。 ●適正な取得 偽りその他不正な手段によって個人情報を取得することは禁止されています。 ●安全管理措置 個人データの漏えいや滅失を防ぐため、必要かつ適切な保護措置を講じなければなりません。 ●第三者提供の制限 原則として、あらかじめ本人の同意を得ずに本人以外の者に個人データを提供することは禁止されています。 ●開示、訂正、利用停止等の求め 本人からの求めに応じて、保有個人データを開示し、内容に誤りのあるときは訂正等を行い、法律上の義務に違反する取扱い不適正な取得、本人同意のない第三者提供については利用停止等を行わなければなりません。 |
|
5. 不正アクセス禁止法 | |
不正アクセス行為の禁止等に関する法律。1999年8月に国会で可決成立し、2000年2月に施行された。アクセス制御機能をもつ特定電子機器などに電気通信回線を通じて他人の識別符号(ID、パスワードなど)を入力して作動させ、制限されている特定利用をできる状態にする不正アクセス行為を禁止し、違反に対しては1年以上の懲役または50万円以下の罰金に処するもの。また、不正アクセスを助長する行為を禁止し、その違反に対しては30万円以下の罰則を設ける。検挙件数は毎年増加傾向にある。 ・他人のIDやバスワードを無断゛使用してシステムに接続する ・システムのセキュリティホールを使用して侵入する ・他人のIDやパスワードを無断で第三者へ提供する ※不正アクセスを助長する行為 |
|
6. リスクマネジメント | |
●リスクとは? ある事態が発生した時の損失を伴なう危険性のこと。 ●リスクマネジメントとは? リスクを分析し、どのように対処するのかのプロセスを明確にすること。 |
|
7. リスクアセスメント | |
●リスクアセスメントとは? 組織やシステムに内在するリストを特定し、その影響を知り、最も効果のある対策を講じること。これらは「リスク分析」「リスク評価」で実現します。 ●リスク分析 守るべき範囲の特定 ↓ 情報資産の洗い出し ↓ どのようなリストがあるのか特定する ●リスク評価 リスク分析から得られた情報を基にしてリスクの大きさを算出し、評価を行う。また、リスクが発生した時の「リスク対応」を決める。 ●リスク対応 1. リスク回避 リスクの発生要因を取り除き、リスクの発生を未然に防ぐ。 2. リスク転嫁 保険加入などの手段で、リスク発生時の対応責任を第三者へ移す。 3. リスク低減 リスク発生の確率や影響を低減させるための対策を講じる。 4. リスク保有 そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容すること。 |