 |
||||||||||||||||
|
||||||||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||||||||
|
||||||||||||||||
| 4. リスク評価 | ||||||||||||||||
|
組織が保有する情報や情報処理設備に関連する資産の価値/重要度/脅威/脆弱性に基づき、リスクを明確にする。リスク評価の方法例を表1に示す。リスク評価の方法は表1に示す方法以外にも様々あり、そのメリット/デメリットや、実施するために必要な労力やスキルなどが異なる。いずれの方法で実施する場合も、重大なリスクを見落としてしまわないように注意する必要がある。
表1:リスク評価の方法例 参考:「ISO/IEC TR 13335-2:1997 ITセキュリティマネジメントのガイドラインー第2部:ITセキュリティのマネジメント及び計画」 |
||||||||||||||||
| 5. 情報セキュリティマネジメントのための組織体制の決定 | ||||||||||||||||
|
情報セキュリティマネジメントを推進するための組織体制を決定する。 まずは経営陣の支持の姿勢を示し、その責任を明確にするために情報セキュリティマネジメント体制の最高責任者を設置する。最高責任者として経営陣の誰かをあてる必要がある。 また、情報セキュリティマネジメントの推進の実務を担う機能を設置する必要があり、情報セキュリティマネジメントを推進する主管部署を設置する場合や、各部署の代表を集めた委員会などを設置する場合もある。 さらに、情報セキュリティマネジメント体制の中で、表2に示すような情報セキュリティに関連する対策の責任者を決定する。
表2:情報セキュリティに関連する対策の責任者の例 |
||||||||||||||||
| 6. 既存の情報セキュリティに関連する規程類の調査 | ||||||||||||||||
|
人事の規程、監査の規程、システムの規程などの情報セキュリティ管理に関連する内容を含む規程類がすでに整備されているのであれば、それらの記載内容との整合をとるための調査を行う。場合によって、情報セキュリティポリシーの承認とあわせて関連する規程類を改訂する必要がある。 情報セキュリティに関連する規程の例と、情報セキュリティポリシー作成時の考慮点を表3に示す。
表3:情報セキュリティポリシーに関連する規程の例と考慮点 |
||||||||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||||||||
|
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
-
-
連載
