Please enable JavaScript.
Coggle requires JavaScript to display documents.
情報セキュリティ (共通テキスト要求事項 (7支援 (文書化した情報 (一般, 作成及び更新, 文書化した情報の管理), 資源, 力量, 認識,…
情報セキュリティ
共通テキスト要求事項
1適応範囲
2引用企画
3用語及び定義
4組織の状況
組織及びその状況の理解
利害関係者のニーズ及び期待の理解
*
マネジメントシステムの運用範囲の決定
*
マネジメントシステム
5リーダーシップ
リーダーシップ及びコミットメント
方針
組織の役割,責任及び権限
6計画
リスク及び機会への取り組み
目的及びそれを達成するための計画策定
7支援
資源
力量
認識
コミュニケーション
文書化した情報
一般
作成及び更新
文書化した情報の管理
8運用
運用の計画及び管理
9パフォーマンス
監視,測定,分析及び評価
内分監査
マネジメントレビュー
お金をかければ外部のマネジメントレビューをする
10改善
不適合及び是正措置
継続的改善
情報セキュリティ
情報セキュリティ:要素
機密性:許可されていない個人,エンティティまたはプロセスに対して情報を使用不可または非公開二する特性
完全性:資産の正確さ及び完全さを保護する特性
可溶性:許可されたエンティティが要求した時にアクセス及び使用が可能である特性
真正性:ある主体または資産が主張通りであることを確実にする特性,真正性は利用者,プロセス,システム,情報などのエンティティに対して通用する.
責任追跡性:あるエンティティのどうあが,その動作から動作主のエンティティまで一意に追跡できることを確実にする特性
否認防止:ある活動または事象が起きたことを後になって否認されないように証明する能力
信頼性:意図した動作及び結果に一致する特性
リスクマネジメント
JIS:リスクマネジメント用語,企画において使用するための方針
JISの定義より,結果そのもののよい悪いにより規定されるものではなく,結果に対する不確実性をリスクとしている.
セキュリティマネジメント
ISMSの確率
基本方針の策定
リスクアセスメント
リスク分析
リスク評価
リスク対応
リスクコントロール
リスクが発生する可能性の減少ー>FWの設置
リスクにより損失の減少ー>サーバーの二重か
リスクファイナンス
個人情報の漏洩ー>損害保険
キャッシュフロー確保
リスク需要:残留リスクを経営的に許容すべきリスクとして受容すること
ISMSの監視と見直し
分類
担当者による自己チェック
同僚等により相互チェック
責任者による監視
独立した部門間での相互チェック
上位責任者による監視
内部監査:コンプライアンス,技術的・法的
外部監査:コンプライアンス
外部セキュリティ診断:弁護士によるレビュー
活動
日常監視業務 -> 上司
独立的評価業務 -> 内部監査人
内部通報制度 -> 誰でも
方法
準拠性の確認:社内規定,対策基準,業務手順等にしたがって運用されているか
妥当性の確認:基本方針,社内規定,対策基準,業務手順等がリスクや効率性と比較して適切であるか
改善
予防措置:情報漏洩やシステム停止などのリスクが発生する前に問題点を改善
是正措置:発見された規程などへの違反の再発を防止するために改善
リスクアセスメントとリスク対応
脅威,脆弱性の識別,評価
手順
情報資産を識別
情報資産に関連する脅威を識別
その脅威に関連する脆弱性を識別
脆弱性を考慮し,損害が発生するような脅威の可能性を評価
脅威
物理的損害:火災,水害等
自然現象:地震,洪水等
重要なサービスの損失:空調,電力,通信等
放射による妨害:電磁,熱等
情報を危うくすること:登頂,改ざん等
技術的な故障:機器,ソフトウェア等
許可されていない行為:コピーデータ破壊等
昨日を危うくすること:ミス,権限濫用等
問:学習サービスの規格番号は次の内どれか
ISO9001
ISO14001
ISO29990
ISO22301
規格
情報セキュリティ
4組織の状況
情報セキュリティマネジメントシステムの適応範囲の決定
利害関係者のニーズ及び期待の理解
情報セキュリティマネジメントシステム
理組織及びその状況の理解
5リーダーシップ
リーダーシップ及びコミットメント
方針
組織の役割,責任及び権限
6計画
情報セキュリティ目的及びそれを達成するための計画策定
リスク及び機会への取り組み
情報セキュリティリスクアセスメント
情報セキュリティリスク対応
7支援
資源
力量
認識
コミュニケーション
文書化した情報
8運用
情報セキュリティリスクアセスメント
情報セキュリティリスク対応
9パフォーマンス評価
監視,測定分析及び評価
内部監査
マネジメントレビュー
改善
環境(EMS):ISO14001
ITサービス(ITSMS):ISO/IEC
IEC
1906年より始まり,正式名称は国際電気標準会議
第一合同技術委員会と呼ばれ情報技術分野の標準化を行うための組織
#
ISO
1947年より始まり正式名称は国際標準化機構