TOPプロジェクト管理> アプリケーション管理
ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第8回:情報セキュリティを取り巻く規程
 著者:みずほ情報総研  青木 淳   2005/12/12
前のページ  1  2   3  次のページ
アプリケーション管理

   アプリケーションのビジネス価値管理とアプリケーション管理のライフサイクル(要件定義・設計・構築のアプリケーション開発フェーズと展開・運用・最適化のサービス管理フェーズの2つの分かれる)にそった解説が含まれている。
ICTインフラストラクチャ管理

   ICT(情報および通信技術)のインフラ管理について解説している。ICTコンポーネントやITサービスについてのビジネス要求の認識から、テスト、インストール、展開、運用までを包含している。
ビジネス展望

   ビジネス目標に対してIT要員がどのように貢献てきるか、あるいはその貢献が最もいかされるための方法について解説を行っている。
ITILとISMS

   ITILとISMSの関係をみると、ITILのITサービスマネジメントには以下のように記載されている。

   「情報セキュリティ管理は、IT組織におけるセキュリティをサービスプロバイダの観点から統合したものです。情報セキュリティ管理実施基準(BS7799)は、セキュリティ対策の開発、導入、評価のガイダンスを提供しています。」

   上記から、ITILはサービスプロバイダのためのフレームワークを提供している点がISMSと大きく異なっている。ITILのプロセスのインプットは顧客からの要求事項であり、アウトプットはそれらの要求事項に準拠していることを顧客に報告するという形態になっている。

   またITILの全体のフレームワークの中で、セキュリティ管理は他のプロセスと切り離して実践することはできないと、以下のように記載されている。

   「セキュリティ管理は、他のプロセスのITILプロセスと関連性があります。これは他のプロセスがセキュリティに関する活動を行うからです。これらの活動は、各プロセスやプロセスマネージャーの責任において、決められた方法で行われます。しかし、セキュリティ管理は、セキュリティ関連の活動の体系について、他のプロセスに指示をだします。通常、これらの合意は、セキュリティマネージャーと他のプロセスマネージャーとが相談した後で設定されます。」

   関連するプロセスとしては、サービスサポートとサービスデリバリの分野が関連しており、ここのプロセスについてはISMSに記載されている管理策に該当するものが含まれている。

   さらにITILの場合、顧客とのSLAセキュリティ要求事項に確かに準拠していることを示さなければならない。内容的には「セキュリティ管理についての測定可能な重要業績評価指標(KPI)と判断基準」について合意しておくこととなっている。ISMSにも外部委託業者との関連で同様ことを求める記載がある。

   このようにITILはITサービスプロバイダのために開発されたマネジメントのベストプラクティスであり、BS7799を参照していることからISMSと内容的には関係している部分が多い。従ってISMSあるいはBS7799の認証取得をしている企業であれば、ITILのセキュリティ要求事項は満たしていると判断することができると思われる。
SOX法の概要

   SOX法とは、米国のSarbanes-Oxley(サーベンス・オクスリー)法という、エンロン事件をはじめとする米国企業の会計不祥事の続出に対して、米国政府が企業の内部統制強化を目的に2002年7月に成立させた企業改革のための法律のことを指す。日本でも同様の法制度が導入される予定であり、日本版SOX法ともいわれている。

   日本版SOX法の草案は、2005年7月13日に金融庁の企業会計審議会・内部統制部会が発表しており、パブリックコメントを受けてガイドラインが作成されることとなっている。

   現在の草案では、内部統制の基本的要素は大きく6つに分類されている。
統制環境

   規律および組織構造の提供により、内部統制のための基盤を築くこととなっている。社風・企業文化を決定するものであり、組織を構成する人々の内部統制に対する意識に影響を与えるものである。統制環境は他のすべての構成要素に基礎を成している。統制環境には、以下のような事項が含まれる。

  • 誠実性と倫理観
  • 職務遂行に必要な能力の定義と人材の確保
  • 取締役会や監査役などの経営者に対する監視機能及び内部統制に対する姿勢
  • 経営組織と権限や職責の付与
  • リスクの評価と対応

表2:日本版SOX法の統制環境
   決定した目的達成に関連するリスクに対して、どのように対処していくかを決定する基盤を確立するために、経営者がこれらのリスクを認識して分析することとなっている。
前のページ  1  2   3  次のページ

みずほ情報総研株式会社 青木 淳
 著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第8回:情報セキュリティを取り巻く規程
  情報セキュリティを取り巻く関連規格などについて
アプリケーション管理
  情報と伝達