情報セキュリティ管理
情報セキュリティポリシィ
- 情報セキュリティポリシィとは
自己の所有する情報資産の情報セキュリティ対策について,総合的・体系的かつ具体的にとりまとめたものである.どのような情報資産をどのような脅威から,どのようにして守るのかについての基本的な考え方,並びに情報セキュリティを確保するための体制,組織及び運用を含めた規定である.情報セキュリ ティ基本方針及び情報セキュリティ対策基準からなる.
- リスク分析と対策方針
情報セキュリティポリシィを決定するには,まず次のリスク分析を行う必要がある.
- 情報資産の調査
情報資産,用途,管理者,利用者(アクセス権限),保存場所,保存期間
- 重要性による分類
情報資産の機密性,完全性,可用性
- リスク評価
情報資産を取り巻く物理的,技術的,人的環境における脅威
- リスクに対する対策
リスク評価により定められた情報資産の脅威ごとのリスクの大きさと,要求されるセキュリティ水準とを比較することにより,情報セキュリティ対策の方針を定める.
- 対策基準の策定
- 組織・体制
- 情報の分類と管理
- 物理的セキュリティ
- 人的セキュリティ
役割・責任,免責事項
教育・訓練
事故,欠陥に対する報告
パスワードの管理
非常勤及び臨時職員等の雇用及び契約
- 技術的セキュリティ
コンピュータ及びネットワークの管理
アクセス制御
システム開発,導入,保守等
コンピュータウイルス対策
セキュリティ情報の収集
- 運用
情報システムの監視及びポリシーの遵守状況の確認(運用管理)
運用管理における留意点
侵害時の対応策
外部委託による運用契約
- 法令遵守
著作権法,不正アクセス禁止法,個人情報保護法等
- 情報セキュリティに関する違反に対する対応
罰則規定
- 評価・見直し
監査,点検,ポリシーの更新
- ISMSとは
ISMS (Information Security Management System) とは,個別の問題ごとの技術対策の他に,組織のマネジメントとして自らのリスク評価により,必要なセキュリティレベルを定め,プランを持ち,資源配分してシステムを運用することである.また,組織が保護すべき情報資産について,機密性,完全性,可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである(ISO/IEC 13335-1:2004より引用).
- ISMSの運用
- ISO/IEC15408などとは違い,技術的詳細ではなく,セキュリティ管理体制全般を監査し,リスクマネジメントを要する点が特徴.ISMS適合性評価制度と呼ばれ「情報処理サービス業情報システム安全対策実施事業所認定制度」に代わる情報処理サービス業事業者に対する ISO/IEC17799:2000および BS7799-2:1999に基づいた評価認定制度である.現在,一般財団法人日本情報経済社会推進協会(JIPDEC)を中心に2002年より正式運用されている.
- ISMSの認定取得を希望する事業者は,JIPDECの指定する審査登録機関に,認定取得に当たっての申請を行い,ISMSに基づく審査と監査を行う.審査機関からの結果報告を受けて,JIPDECが事業者を認定済み事業者としての登録を行う.
- ISMSのポイント
情報セキュリティポリシーをを基にPlan,Do,Check,Actのサイクルを継続的にまわすことで,情報セキュリティレベルの更なる向上を目指す.
- Plan(計画)
情報セキュリティ対策について具体的な計画やポリシーを策定する.
- Do(運用)
計画に基づいて対策の実施・運用を行う.
- Check(確認)
実施した結果の監査を行う.
- Act(改善)
経営陣による見直しを行い,改善する.
- ISMS決定プロセス
- STEP1:情報セキュリティポリシーを策定する.
- STEP2:その中でISMSの適用範囲を定義する.
- STEP3:STEP1に基づきリスクアセスメント(評価)を実施する.
- STEP4:マネジメント枠組みのもとで管理するリスクを決定する.
- STEP5:最適なリスク評価に基づき,実施すべき管理策を選択する.
- STEP6:適用宣言書を作成し選択した管理策を公表する.
BS7799
人や組織が守るべき情報セキュリティの運用管理対策について,英国規格協会(BSI) が1995年に制定した国家規格である.事実上の欧州標準規格となっている.企業・団体向けの情報システムセキュリティ管理のガイドラインが規定されている.特にセキュリティの運用管理に重点が置かれている点が特徴である.
ISO/IEC15408と並んで現在最もポピュラーなセキュリティの規格である.製品に対する評価認証を行うものではなく,セキュリティマネジメントの規格としての意味合いが強い.
内容は,2つのパートに分かれる
- Part 1 (BS 7799-1:1999 Code of practice for information security managemen)
組織内の情報セキュリティの開発,導入,運用担当者の参照文書となることを目的とする.
- Part 2 (BS 7799-2:1999 Specification for information security management systems)
情報セキュリティ管理システムの構築,導入,規格化の要件を規定している.個々の必要性に応じた最適の管理目的と,管理を明確にするためのリスク評価,組織によって導入されるべきセキュリティ管理システムを規定している.
BS7799-1 は情報セキュリティ管理実施基準であり,は2000年9月,ISO/IEC17799:2000として標準化された.BS7799-2は情報セキュリティ管理システム仕様であり,日本でも ISMS (Information Security Management System)適合性評価制度として派生している.
1992年11月26日,OECDは情報システムにおける危険を認識し,利益を保護することを目的とする9つの原則からなるガイドラインを発表した.
- 原則1:責任(Accountability Principle)
提供者,利用者等関係者の責任を明確にすること.
- 原則2: 認識(Awareness Principle)
情報システムの信頼性のため,セキュリティシステムの存在,レベル,実現に対する十分な知識を習得できること.
- 原則3: 倫理(Ethics Principle)
他者の権利や利益は尊重されること.
- 原則4: 多面的検討(Multidisciplinary Principle)
セキュリティレベルの認識,実現は,技術面,管理面,組織面,操作面,商業面,教育面,法律面等多くの面から検討されること.
- 原則5 :適切性(Proportionality Principle)
セキュリティ対策は,個々のシステムに対して適切なレベルのものを用いること.
- 原則6 :統合性(Integration Principle)
セキュリティレベルの認識,実現は,他の面と統合的に検討,装備されること.
- 原則7 :適時性(Timeliness Principle)
セキュリティを侵害された場合,安全を守るために公私,国内外を問わず迅速に行動すること.
- 原則8 :見直し(Reassessment Principle)
情報システムおよびセキュリティ対策は定期的に見直されること.
- 原則9 :民主主義(Democracy Principle)
民主主義社会における情報の合法利用にみあったセキュリティシステムであること.