TOP
>
情報セキュリティ
> 4. リスク評価
企業の社会的責任に必要な情報セキュリティマネジメント
第4回:情報セキュリティポリシーの作成・維持管理手順
著者:
みずほ情報総研 牛尾 浩平
2006/6/29
前のページ
1
2
3
次のページ
4. リスク評価
組織が保有する情報や情報処理設備に関連する資産の価値/重要度/脅威/脆弱性に基づき、リスクを明確にする。リスク評価の方法例を表1に示す。リスク評価の方法は表1に示す方法以外にも様々あり、そのメリット/デメリットや、実施するために必要な労力やスキルなどが異なる。いずれの方法で実施する場合も、重大なリスクを見落としてしまわないように注意する必要がある。
ベースラインアプローチ
一定に確保すべきセキュリティレベルとして、既存の標準類(JISQ27001:2006、情報セキュリティ管理基準、国や業界団体の情報セキュリティに関連するガイドライン類など)を設定し、そのレベルに到達しているかどうかを評価する。
詳細リスク分析
資産を識別し、識別された資産の価値、資産に対する脅威、資産の脆弱性を明らかにし、評価する(この方法による組織全体に対する実施は、表内に示す4つの方法の中では、一般的に最も労力を要する)。
組み合わせアプローチ
ベースラインアプローチや詳細リスク分析などの複数の方法を組み合わせて評価する(例えば、最初にベースラインアプローチを組織全体に対して実施し、リスクが大きそうな部分に対し詳細リスク分析を実施する)。
非形式的アプローチ
組織や担当者の知識や経験に基づき評価する。
表1:リスク評価の方法例
参考:「ISO/IEC TR 13335-2:1997 ITセキュリティマネジメントのガイドラインー第2部:ITセキュリティのマネジメント及び計画」
5. 情報セキュリティマネジメントのための組織体制の決定
情報セキュリティマネジメントを推進するための組織体制を決定する。
まずは経営陣の支持の姿勢を示し、その責任を明確にするために情報セキュリティマネジメント体制の最高責任者を設置する。最高責任者として経営陣の誰かをあてる必要がある。
また、情報セキュリティマネジメントの推進の実務を担う機能を設置する必要があり、情報セキュリティマネジメントを推進する主管部署を設置する場合や、各部署の代表を集めた委員会などを設置する場合もある。
さらに、情報セキュリティマネジメント体制の中で、表2に示すような情報セキュリティに関連する対策の責任者を決定する。
各部署の情報セキュリティ管理の責任者
システム・ネットワークなどの管理責任者
教育実施の責任者
点検実施の責任者
内部監査実施の責任者
緊急時対応の責任者
表2:情報セキュリティに関連する対策の責任者の例
6. 既存の情報セキュリティに関連する規程類の調査
人事の規程、監査の規程、システムの規程などの情報セキュリティ管理に関連する内容を含む規程類がすでに整備されているのであれば、それらの記載内容との整合をとるための調査を行う。場合によって、情報セキュリティポリシーの承認とあわせて関連する規程類を改訂する必要がある。
情報セキュリティに関連する規程の例と、情報セキュリティポリシー作成時の考慮点を表3に示す。
規程
考慮点
就業規則
人的セキュリティ対策として、情報セキュリティポリシーに違反した場合の対応を定める必要がある。就業規則にある従業員の懲戒などに関連する記載と整合をとる。
監査規程
情報セキュリティ内部監査は、関連するその他の社内監査(リスク管理の適切性、システムの安全性・信頼性・効率性、法令などおよび社内諸規程の遵守状況の監査など)と関連する。
監査計画の策定、監査の実施、監査結果に基づく改善検討などを効果的かつ効率的に実施できるような決まりを定めておくことが望ましい。
ネットワーク規程やPC規程など
ネットワーク機器やパソコンなどの導入/運用保守/廃棄などに関し、情報セキュリティに留意した規程や手順が必要である。
外部委託規程
外部組織に業務やシステム開発・運用などを委託する際の、外部委託業者の選定基準/契約手続/管理方法を、情報セキュリティに留意した規程や手続に定める必要がある。
教育規程
情報セキュリティを従業員へに理解してもらい遵守させるために、情報セキュリティの教育を体系的に実施する必要がある。
事業継続計画
事業継続計画には、様々な緊急事態が発生した際の対応を定めるが、その中には重大な情報セキュリティ事件・事故が発生した際の対応が含まれる。
個人情報保護規程
個人情報保護法には、「個人データ」を対象とした「安全管理措置」「従業者の監督」「委託先の監督」などの情報セキュリティ対策が含まれている。そのため、個人情報保護法対応のための実施事項と、一般の情報セキュリティマネジメントのための実施事項を整理する必要がある。
表3:情報セキュリティポリシーに関連する規程の例と考慮点
前のページ
1
2
3
次のページ
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第4回:情報セキュリティポリシーの作成・維持管理手順
はじめに
4. リスク評価
7. 情報セキュリティポリシー掲載項目の決定
