ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは、組織としての情報セキュリティへの取り組み体制を構築し、改善していく一連の活動のことです。
セキュリティを維持するための活動だね
ISMS(情報セキュリティマネジメントシステム)に関する規格をJIS Q 27000シリーズといいます。
規格とは、定められたルールなど意味ですね。
JIS Q 27000シリーズの代表的な規格は、次の3つです。
| JIS Q 27000 | ISMSの用語集(真正性や可用性など) |
| JIS Q 27001 | ISMSの取り組み体制の要求事項。「こういった形でISMSを進めてくださいね」を定義している。 |
| JIS Q 27001 | 事例的な観点でまとめたもの。 |
情報セキュリティポリシー
情報セキュリティポリシーとは、セキュリティ対応における組織の方針を指します。
この策定が最重要・最優先事項です。
通常、基本方針と対策基準のことを情報セキュリティポリシーと言います。
- 情報セキュリティ基本ポリシー:組織による方針の宣言。対外的に公表する・周知する
- 情報セキュリティ対策基準:基準を記述する。
例:個人情報を扱うシステムはアクセス制御機能をつける
コンピューターにはウイルス対策をする
リスクマネジメント
リスク特定
リスクを洗い出すことです。
RBSを使って、段階的にもれなくリスクを洗い出すことが重要です。
RBS(Risk Breakdown Stracture)とは、リスク洗い出しのために、リスク・アセスメント・セッションで利用されるツールの一つです。
例えば下記のような、リスク源を階層的に表示した図です。
洗い出されたリスクは、「リスク登録簿」に記載しておきます。
リスク特定で洗い出されなかったリスクは、「想定外のリスク」となってしまうため、網羅的にリスクを洗い出すことが重要です。
リスク分析
定性的分析・定量的分析を合わせて実施します。
定量的分析でよく使う評価値(リスクレベル)は影響額×発生確率から算出します
重要度・緊急度・影響度も評価し、優先度を定めます。
対応するリスクに対しては、リスク対応計画を定めます。
対応しないリスクに対しては、残留リスクを考えます。
リスクを放っておくことを、リスク受容・保有と言います。
リスク受容した場合、技術力が向上すると、対応しなければならないリスクに変わることがある点は要注意です。
技術の進展とともに、リスクの見直しが必要だね
リスク対応(リスクコントロール)
リスク対応には、次のような対応があります。
- リスク回避:危険なことをそもそもやらない。(個人情報漏洩が危険だから、個人情報を保有しないなど)
- リスク移転:専門家に任せる(アウトソーシング)→専門家であればリスクがリスクにならない場合のみ
- リスク軽減:誰が対応してもリスクになってしまう場合、損失軽減(損失額を下げる)や損失予防(発生確率を下げる)
リスクファイナンス
金銭面での対応策のことを指します。
- リスク移転:保険を適用させる
