Subscribed unsubscribe Subscribe Subscribe

Smily Blog

「すまいりマンスリー」から引っ越しました。

Smily Books Blog 2017年3月更新中

情報セキュリティポリシーの実践的構築手法 打川和男(オーム社)

book it

1.情報セキュリティポリシーとは?
(1)リスクの値
情報資産の価値×脅威×脆弱性
(2)リスクの"取扱い"
①無くすのか(除去)②減らすのか(軽減)③他へ移すのか(転化)④許すのか(許容)をリスクの値を基準値と比較して判断する。

2.ポリシー策定で利用されるガイドライン
(1)BS7799-Part2
情報セキュリティマネジメント対象。BSIが発行、UKAS(英国認定機関)認定。
Part1のみJISX5080でJIS化。
(2)ISMS適合性評価制度
情報セキュリティマネジメント対象。JIPDEC(日本情報処理開発協会)が発行及び認定。
(3)ISO/IEC TR13335
ITセキュリティマネジメント対象。TR X0036でJIS化。
(4)ISO/IEC 15408
ハードウェア・ソフトウェア製品または、システム対象。JISX5070でJIS化。
(5)プライバシー評価登録制度(要求事項)
個人情報保護マネジメント対象。JIS Q15001でJIS化。

3.セキュリティ対策に関する3つの特性
(1)IT発展速度の特性
各メーカ、ベンダはセキュリティの継続性を(無償では)保証しない。
(2)対策の考え方の特性
一番重要なのは漏洩があった時どうするかの危機管理
(3)市場のセキュリティ事故の特性
主原因はヒューマンエラー(技術のみの対策の限界)

4.情報セキュリティポリシー構築失敗の要因
(1)構築に時間がかかりすぎて途中で断念してしまう
(2)情報セキュリティポリシー自体の運用が出来ていない

5.情報セキュリティポリシー構築手法
(1)守るべきポリシーの効果(メリット)と負荷(デメリット)を明確にするため、
複数案(3案程度)洗い出し、その中の折衷案で決定とするのが良い。
(2)リスクアセスメントは、その調査対象毎に手段を使い分ける。
①自ら足を運んで目で見て確認(現場観察)
②自ら足を運んで耳で聞いて確認(現場インタビュー)
③専門家に依頼(ネットワーク脆弱性診断などの外部委託)
④現場に書いてもらい確認(調査表、アンケートなど)
(3)リスク対策法決定までの最適プロセス
機密性・完全性・可用性だけでなく、
①利便性②実現性③有効性④コストとのバランスを考慮する。

Remove all ads