Information Security Management System
|
|
|
構築テンプレートブック 【ISMS STARTER KIT】 |
★☆ 規格 ☆★ |
| 規格本文 |
| 管理目的と管理策 |
| テンプレート |
| 27001:20000:JSOX |
| COBIT VS. ISO27001 |
| ISO20000 VS. ISO27001 |
| 用語 |
★☆ 構築計画 ☆★ |
| 考察:なぜISMSか |
| 考察:展開アプローチ |
| 考察:上がりのイメージ |
| 現状調査 |
| 取り組み事例 |
| リスクアセスメント手順 |
| シーズからのアプローチ |
| 適用範囲 |
| 展開イメージ |
| 構築の方法論 |
| 役割と責任の割り当て |
| 構築手順(日程) |
| 複数のISMSの管理 |
| コンサルティング談義 |
| CSM VS. CIM |
| サービス資産 |
| 進捗管理 |
| コンサルティング・スケジュール |
| コンプライアンス |
| 構築作業手順 |
| セキュリティ・ツール |
| 資産の棚卸し |
| 課題達成型アプローチ |
| リスク対応計画と管理策 |
| 構築フェーズ |
| コスト |
★☆ リンク ☆★ |
| ホーム |
| セキュリティ事件事故 |
| 適用範囲 |
| Ground Zero |
★☆ Profile ☆★ |
|
|
| ★☆★社 |
| ISMS文書 |
| 10分プレゼン |
| ベンチマーキング |
| 情報部門のISMS課題 |
| こんなときは? |
Dandelion
SINCE2006
ISMSは国際規格ISOになりました。Pマークは 改定を踏まえてISMSに近いものになって来ましたが国内規格JISです から海外の取引先の評価はそれなりですが企業全体での取得がある意味でのアドバンテージです。SOX法は日本版(JSOX法)が 制定され2008年度決算より適用となります。新たにITサービスマネジメントシステムも国際規格ISO20000になりました がこちらも企業全体での適用となるようです。環境ISOはまだまだ目が話せません。品質ISOは熟成と言いたいところですがやや方向感を見失いつつあります。 安全とか倫理とか問題意識の数だけ管理モデルが生産されているようです。マネジメントシステムの上位概念に相当すると思われる経営品質賞は 結果追認の域を出ないため下火になりつつも全体を包括する観点で今後も残るでしょう。
情報セキュリティの状況は後を立たない事件事故により経営者の判断に混乱を生じさせています。マスコミに晒される自分を想像してか過剰反応していることが多い。経営者の資質まで炙り出しています。
(サイト概要)このサイトではISMSを構築するための考察を紹介します。規格対応の視点を超えて規格が狙った事業継続を確実にするための仕組みの実現と維持についての導きをトライします。現場で実務担当する人の参考になることを期待します。
Integrated Management System
仮想的マネジメントモデルの時代へ
■ISMS構築の狙い
(情報化社会への更なる加速)
近年の情報ネットワークインフラの整備を踏まえた、大容量の情報、音声・画像情報のやり取りがネット経由になってきた。さらに、電話のIP統合、ラジオ、テレビの放送の領域までがネットワーク統合の対象として議論されるまでいなってきた。
また、メディア技術も高速大容量・省スペースに向けて急速に改善が進んでおり、データの持ち出し・持ち込み・持ち運びも容易となっている。
また、情報の価値(情報は事業資産の一つ)に対する認識が高まるとともに、情報管理は事業継続上の要件として理解されるようになって来た。
(技術と管理のギャップ)
情報技術の発達は極めて急激であるため、またシステム規模・ネットワーク規模の拡大が急激であることため、管理する側の人間のスキル、管理ノウハウ、管理のための技術は後いになることが多い。変化のスピードが早いほど、技術と管理の間のギャップは大きなものとなり、結果として、事件・事故を誘発させている。
(リスクの深刻化)
事業基盤、社会基盤の一部として情報ネットワークが位置づくことにより、ネットワークやサーバーの停止、あるいは、個人情報の大量流出などは即社会問題になり、事業継続を危うくする要素・事態となってきた。情報化に伴い大きな利便性、生産性を手にしたが、一方で同時に抱え込んだリスクの大きさは測り切れていない。結果、適切なリスク対応を実施できないでいるのが現状である。情報セキュリティは今最も企業の社会的責任を問われる領域の1つとなっている。
■ISMS課題
(情報セキュリティリスクに関わる事業継続性の確保)
情報セキュリティリスクを常に正しく把握しリスクに応じた適切な対応を継続して実践することにより、社会的責任を果たすとともに、事業継続を確実にする。
(情報セキュリティマネジメントへの取り組み)
ISMSは情報化に伴う情報セキュリティリスクを正しく理解し、リスクの大きさに応じた適切な対応を図るための管理システムです。
(ISMS規格適合性認証取得の意味)
ISMS構築はISMS認証取得の形式で第三者認証を受けることが出来ますが、認証取得自体には社会的責任を果たそうとしていることを社会に示す以上の価値はない。(“企業としての姿勢は評価できる”ぐらい)
【審査機関あるいは審査員は規格要求との対応についてチェックするだけで、実際に安全であることを保証する訳ではない。また、テクニカル領域で具体的は解決策を示すことも出来ない。規格解釈論自体はリスク解消の何の助けにもならない。認証審査に期待できるとしたら審査の過程でシステム改善のための手がかりが得られる可能性があることだが当たり外れが大きいのが実態だ。】
(有効性のあるISMS)
実際に事業継続に関わる事件事故を起こしてしまえば、認証取得の有無は意味を持ちません。返って周囲から不信を買うかもしれない。事業継続を確実にするには、事件事故を発生させてはいけないし、発生しても小さな段階で食い止めなければならない。小さな段階で食い止められなかった場合も速やかに復旧するとともに適切な説明責任を果たせることが必要です。
不測の事態はいつどこで発生するかわかりません。その意味では全員が常に一定の緊張感を持って情報セキュリティを念頭に活動することが求められています(基本動作への染み込み)。
事務局だけが頑張って認証取得したケース(事務局主導で構築、形式的な維持活動)ではISMSの有効性が確保できません。
有効性の観点では、セキュリティコストのミニマム化の視点も忘れてはいけない。事件事故発生時の実際の被害額(実績)と発生確率から得られる期待被害額(計画)の最小化を図ることです。(これこそがリスクマネジメント)
-
事件事故発生率の低減
-
事件事故発生時の迅速な対応
@小規模・初期段階で食い止める
A復旧のスピードアップ及び適切な事後対応 -
事件事故対応コストのミニマム化
ISMSを段階的に導入する場合は、適用範囲のカバー率100%達成時期も目標として設定する必要がある。その一環としてパートナー、ユーザーに期待する要件とカバー率も考慮する必要がある。
-
適用範囲カバー率
★☆ 認定機関 ☆★ |
|
|
|
|
|
|
★☆ 認証機関 ☆★ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
★☆ 海外リンク ☆★ |
 |
ISMS Favorite |
| ISMS livedoor Blog |
| ISMS cocolog |
| ISMS Nifty |
| ISMS Asahi-net |
| ISMS shinshu |
