セキュリティ(3)
情報セキュリティ管理
リスク管理
リスクを特定分析、それらの発生頻度と影響度の視点から評価後、リスクの種類に応じて対策を講じる
リスクの特定
どのようなリスクが、どのような形で存在しているかを特定する
リスクの分析
公開情報か非公開情報か、どのような価値があるのか、どの範囲で人が利用するのかを分析
機密性、安全性、可用性の側面から最重要度のランク付けを行う
リスクの評価
脅威の発生による影響を評価し、予測される発生頻度や損失額の大きいものから、優先順位を付ける
リスクの対策
リスクの評価結果をもとに、情報セキュリティを維持するための具体的対策を決定する
| ◆リスクコントロール | :損失の発生を防止・軽減するための手法 |
|---|---|
| ◆リスクファイナンス | :損失の発生時の経済的損失を補てんするための手法 |
| リスクコントロール | リスク回避 | リスクが発生しそうな状況を避ける。情報資産をインターネットから切り離したり情報資産を破棄したりする |
|---|---|---|
| リスク分離 | 損失を招く原因や情報資源を複数に分割し、影響を最小限に押さえる。管理するコンピュータや人材を複数に分けて管理する | |
| リスク集中 | 損失を招く原因や情報資産をひとつに集約する。ひとつにまとめることで、より専門的かつ堅牢な管理ができる | |
| リスクファイナンス | リスク移転 | 契約などにより、他社に責任転嫁する。情報資産の管理を外部に委託したり、保険に加入したりする |
| リスク保有 | 自ら責任を負い、損失を負担する。リスクがあまり大きくない場合に採用される |
ISMS(Information Security Management System)
情報セキュリティマネジメントシステムのこと
PDCAサイクルを実施してマネジメントサイクルを確立することが必要
ISMS確立の手順
@ISMSの適用範囲の決定
AISMSの基本方針の定義
Bリスクアセスメント(リスクの分析と評価)の取組方法の定義
Cリスクの特定
Dリスクアセスメントの実施
Eリスク対応の実施
F管理目的と管理策の選択
G残留リスクの承認
HISMSの導入・運用の許可
I適用宣言書の作成
規格の対応関係
| 国際規格 | 日本工業規格 | 備考 |
|---|---|---|
| ISO/IEC 27001 | JIS Q 27001 | ISMS要求事項 |
| ISO/IEC 17799 ↓ ISO/IEC 27002 | JIS X 5080 ↓ JIS Q 27002 | ISM実施のための規範 |
ベースラインアプローチ
リスクそのものを評価するわけではなく、組織全体にわたり、あるレベルのセキュリティ水準に達するべく、ガイドラインや業界間で出版されているいわゆる規定や指示書などを参照して、未導入の管理策があれば、それを補強していくアプローチのことである
