このページをはてなブックマークに追加このページを含むはてなブックマーク このページをlivedoor クリップに追加このページを含むlivedoor クリップ

目次

情報セキュリティマネジメントシステムの規格

英国国際標準国内標準
ベストプラクティスBS7799(BS7799-1)ISO/IEC17799JIS X 5080
認証基準BS7799-2無しISMS認証基準

情報資産

情報資産のオーナーの役割と責任

 情報資産には、オーナー・ユーザー・サプライヤーがいる。各々の意味は次の通りである。

  • オーナー
    • 情報の持ち主・管理者。「Needs to Know」(知る必要がある者だけに知らせる)の対象者の決定権を持っている。
  • ユーザー
    • オーナーの承認を得て初めて情報にアクセスできる者。
  • サプライヤー
    • ネットワークやシステムを介して情報を提供する者。情報システム部や外部委託企業などがこれに当たる。

例1:個人情報についていえば、オーナーは個人である。会社(例えば、営業部門)は個人情報のユーザーである。個人情報がシステムにインプットされていれば、情報システム部がサプライヤーということになる。ここで重要なのはオーナーには権限があり、ユーザーとサプライヤーには責任が伴うということである。

例2:人事情報のアクセス権限を決定するのはオーナー部門、即ち人事部門であるが、システム上のアクセス権を設定するのは情報システム部である。

情報資産の例

  • 狭義の情報資産
    • データベース
    • 業務ノウハウ
    • マニュアル
    • 電子文書フォーマット
    • 社員個人情報
    • 顧客個人情報
  • 紙の文書
    • 契約書
    • 財務諸表
  • ソフトウェア資産
    • OS
    • アプリケーション
    • 開発環境
  • 物理資産
    • PC
    • サーバー
    • 記憶媒体
    • 社屋施設
    • オフィス備品
  • 人的資産
    • 社員
    • 顧客
  • 無形資産
    • ブランドイメージ
  • サービス
    • 通信サービス
    • 電源などのライフラインサービス

情報資産台帳

・情報資産を適切に把握するためには、調査表を作成する、インタビューを利用するなどの方法がある。

・情報資産台帳の作成には、リスク分析や対策の決定および情報セキュリティマネジメントを行っていく際に効果的である。

・情報資産台帳がない場合、リスク分析の適切性、対策を確認する際の網羅性に問題が生じる。

情報資産の洗い出し

 適用範囲を適切に設定するために、保有している情報管理を完全に把握しなければならない。よって、情報資産の洗い出しという作業プロセスが重要である。

[体制作り]→[調査表の様式決定]→[調査の実施]→[調査表のないよう確認]→[最終化]

情報資産管理台帳

 情報資産管理台帳とは、情報資産を完全に把握するための台帳である。情報資産管理台帳が作成されていない企業は、この台帳を作成するところから始める必要がある。

情報資産価値の評価

・情報資産の洗い出しにより洗い出されたグルーピング後の重要な情報資産について、情報資産の価値評価を行う。これは影響度評価ともいう。

・直接的な情報資産の価値というより、それが損なわれた場合の事業場の影響度を評価(インパクト評価)する。

・情報資産価値評価のポイントとして、認証基準に要求されているように情報セキュリティの3要素である機密性・完全性・可用性のそれぞれの観点の評価基準を設けて評価することである。

基本方針・対策基準・対策実施手順

情報セキュリティマネジメントシステム基本方針

 次の項目に注意して策定する必要がある。

  • 経営層が参加して定めていることを明確にする。
  • ポリシーの中に罰則規定を盛り込む。
  • セキュリティ教育の実施規定を盛り込む。

基本方針の作成のポイント

  • 基本理念
    • なぜ情報セキュリティポリシーを作成しようとしたのか、構築によって目指す会社の将来像を記述する。
    • 対外向けにも使われる文書の頭書きなので、人目を意識して格調高くまとめる。
    • 内容は抽象的でよい。
  • 定義
    • 情報セキュリティポリシーがどのような文書で構成されるのかの全体像を示す。
    • それぞれの文書についての簡単な説明も付記して、必要であれば他の文書を読んでもらうためのガイドとする。
  • 原則
    • 理念を達成するためには、統一されたセキュリティ意識を築く必要がある。
    • 情報セキュリティポリシーはそのために体系化された文書であるから、基本方針−対策基準−対策実施手順には同じ原則が貫かれていなければならないどの文書も書かれた目的は理念実現のためだからである。
    • そこで、全ての文書に通じる基本的な考え方を手短に示す。
  • 適用範囲
    • 情報セキュリティポリシーが適用される業務の範囲を示す。
    • 特に、協力会社や派遣社員に適用するのか、業務を外部委託するときはどうするかということを明確に規定しておく必要がある。
  • 体制
    • 通常はセキュリティ委員会の構成などを記入する。
    • 委員会は全社横断的な組織とする。
    • 当然、社長や経営層が参加していることを強くアピールする必要がある。
  • 教育
    • 教育を行うことを明文化する。
    • これによって、会社側には教育を行う業務が、社員には教育を受ける業務をそれぞれ発生する。
    • 教育を行うタイミング(着任時、ポリシー改正時など)も明記するとよい。
  • 罰則
    • 罰則だけでなく、表彰規定なども取り決めるとよい。
    • 明文化された罰則のないポリシーは形骸化したり、罰則施行時に社員の間で不公平感が生じる可能性がある。
  • 関連文書
    • 他の社内文書との関連をわかりやすく記述する。
    • セキュリティポリシーで全ての規則を書き込む必要はなく、例えば文書管理規定などが別に存在し、それがセキュリティ上役に立つものであれば、そのまま引用したり参照したりすればよい。
    • これによって、ポリシー作成の手間が省け、文書間の整合性も確保できる。