TOP
>
情報セキュリティ
> システム・ネットワーク対策の概要
企業の社会的責任に必要な情報セキュリティマネジメント
第3回:情報セキュリティマネジメントの概要と実施のポイント
著者:
みずほ情報総研 牛尾 浩平
2006/6/15
前のページ
1
2
3
4
システム・ネットワーク対策の概要
情報セキュリティに関連するシステム・ネットワーク対策として、例として金融庁が公表している「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の「技術的安全管理措置」の内容を元に、項目とその対策例を示す(表6)。
表6:金融分野における個人情報保護法のガイドラインの技術対策の例
(画像をクリックすると別ウィンドウに拡大図を表示します)
表6の項目は個人情報保護法上の「個人データ」に関連する対策を意味するが、より広い意味に捉え一般の「情報」に関連する対策として実施すべきである。なお、一般企業に広く用いられる経済産業省の「個人情報保護法に関する法律についての経済産業分野を対象とするガイドライン」は、金融分野におけるガイドラインと比べると要求事項のレベルは抑えられているが、要求事項の枠組みはほぼ同じである。
教育(人的対策として)
情報セキュリティポリシーや実施手順書を策定し、各種対策を実施したとしても、その意義を正しく理解し、遵守されなければ、情報セキュリティマネジメントの効果を十分に享受することはできない。そのためには人的な対策が特に重要であり、体系立った教育・研修により組織内に広く啓蒙し、定期的に理解度・定着度を評価し、その結果を踏まえた改善活動を継続的に実施することが不可欠である。
情報セキュリティ対策の遵守は組織にとって重要な事項であり、各自がそれぞれの役割で実施していくことが重要である。そのためには表7の事項などを周知し理解してもらう必要がある。
情報セキュリティの重要性の意義
各自の役割と責任
各業務実施時に具体的に何をどのように実施するかの理解
疑問が生じた時や問題が発生した時の対処法
表7:周知して理解してもらう事項の例
監査と見直し
最後に、CheckフェーズとActフェーズとして、ここまで述べてきた各種情報セキュリティ対策の実施状況を確認し、問題が発見された場合は改善することにより、情報セキュリティレベルの維持あるいは向上に役立てるための監査と見直しを行う。
監査は、年に1回など定期的に実施、あるいはシステムの新規導入や更新、社会環境の変化(技術動向の変化、法令の変化など)、組織変更、システムの新規導入や更新などが発生した際に必要に応じて実施することが重要である。
監査の種類とその位置付けを表8に整理する。
セルフチェック
各従業員あるいは各部署が、自らが情報セキュリティポリシーや実施手順書に従い、情報セキュリティに十分注意を払い業務を実施しているかどうかのチェックを行う。
内部監査
社内の第三者組織や監査専門部署により、各部署や対象システムが、情報セキュリティポリシーや実施手順書に従い業務を実施しているかどうかや、効果的な情報セキュリティ対策が実施されているかどうかを監査する。
外部監査
社外の専門家により、内部監査の実施やその改善状況が適切であるか、組織全体として情報セキュリティマネジメントを適切に実施推進しているかを、客観的な立場で監査する。
表8:監査の種類
監査の結果を基に、情報セキュリティポリシーや実施手順書、情報セキュリティ対策の見直しと改善を行って、各組織のセキュリティレベルを維持・向上させていく。
次回以降は、情報セキュリティマネジメントに関して、テーマ別に詳細に説明する。
前のページ
1
2
3
4
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第3回:情報セキュリティマネジメントの概要と実施のポイント
情報セキュリティマネジメントとは
リスク評価
情報セキュリティポリシー作成
システム・ネットワーク対策の概要
