「JIS Q 27001」は、国際標準規格「ISO 27001」に準拠した日本工業規格であり、ハードやソフト、個人情報など、適用範囲内の全ての情報資産全般が対象になります。事業所や部門、事業の単位でも、「JIS Q 27001」の認証取得が可能です。
「JIS Q 27001」要求事項が求めるのは、情報の「機密性」、「完全性」、「可用性」の維持です。
「機密性」とは、許可された者のみが情報にアクセスできるようにすることであり、個人情報などのあらゆる情報を見られないようにすることです。この機密性が侵害された事例が情報漏洩に当たるわけです。機密性を高めるための対策としては、IDとパスワードなどによる個人認証法があります。
「完全性」とは、データ入力などの作業や情報の処理方法が意図したとおりに正しく完全に行われることを意味します。データの入力ミスなどが発生すれば、「完全性」は損なわれることになります。また、情報が改ざんされていないことを保護することも「完全性」と言え、デジタル署名などが完全性を高める対策となっています。
「可用性」とは、利用したいときに利用できることを意味します。例えば、見ようと思ったウェブサイトを開こうとした際に、「ただいまアクセスが混み合って接続できません」、「ページを表示できません」といった表示がなされ、ウェブサイトの閲覧ができない事態は、可用性が損なわれている事態と言えるでしょう。可用性を高めるための対策としては、回線に二重化を施したり、バックアップシステムを導入したりすることが挙げられます。
また、個人情報に関しては、個人情報保護法ならびに契約上の要求事項の遵守が必要とされています。
スポンサード リンク
2009/02/25
2009/02/23
JIS Q 27001によるISMSの構築方法
「情報セキュリティマネジメントシステム(ISMS)」とは、情報に関するセキュリティを管理するための仕組みであり、その構築の方法と認定の基準は国際規格ISO/IEC 27001や日本工業規格(JIS)JIS Q 27001によって定められています。
取扱者の資格・技能・経験などの人的資産、組織のイメージをはじめとする無形資産、データベース・データファイル・監査証跡・手順書などの情報資産、開発用ツール・業務用ソフトウェア・システムソフトウェアなどのソフトウェア資産、通信装置・コンピュータ装置・記録媒体などの物理的資産、空調設備・電源設備、照明設備などのサービス資産。
ISMSは、これらの情報資産を明確化し、そうした資産のリスクを洗い出した後に、リスクを軽減する対策を実施することにより、セキュリティの向上を目指します。
ISMSの構築は、その適用範囲を決定することから始まります。ISMSの適用範囲は、複数の部門を網羅しているため、境界線を明確化し、合理的に説明できることが求められます。
次に、ISMS適用範囲に含まれる組織の人員構成や、規定類の整備状況、情報システムの利用状況などを考慮して基本方針を策定することになります。続いて、リスクアセスメント(識別された情報資産に対するリスクを識別し、手順に従ってそれらの大きさを決定すること)の体系的な取り組み方法を策定します。
その後、情報資産のリスクを識別し、分析・評価し、明確になったリスクへの対応を実施します。リスク対応の内容は、「適切な管理策の採用」、「リスクの保有」、「リスクの回避」、「リスクの移転」のいずれかになります。続いて、JIS Q 27001の付属書A内の「管理目的及び管理策」により、リスク対応に関する管理目的や管理策を選択し、その有効性や妥当性を示すとともに、残留リスクを経営陣が確認し、ISMSの実施を許可します。
そして、最後に「適用宣言書」を作成することになります。
取扱者の資格・技能・経験などの人的資産、組織のイメージをはじめとする無形資産、データベース・データファイル・監査証跡・手順書などの情報資産、開発用ツール・業務用ソフトウェア・システムソフトウェアなどのソフトウェア資産、通信装置・コンピュータ装置・記録媒体などの物理的資産、空調設備・電源設備、照明設備などのサービス資産。
ISMSは、これらの情報資産を明確化し、そうした資産のリスクを洗い出した後に、リスクを軽減する対策を実施することにより、セキュリティの向上を目指します。
ISMSの構築は、その適用範囲を決定することから始まります。ISMSの適用範囲は、複数の部門を網羅しているため、境界線を明確化し、合理的に説明できることが求められます。
次に、ISMS適用範囲に含まれる組織の人員構成や、規定類の整備状況、情報システムの利用状況などを考慮して基本方針を策定することになります。続いて、リスクアセスメント(識別された情報資産に対するリスクを識別し、手順に従ってそれらの大きさを決定すること)の体系的な取り組み方法を策定します。
その後、情報資産のリスクを識別し、分析・評価し、明確になったリスクへの対応を実施します。リスク対応の内容は、「適切な管理策の採用」、「リスクの保有」、「リスクの回避」、「リスクの移転」のいずれかになります。続いて、JIS Q 27001の付属書A内の「管理目的及び管理策」により、リスク対応に関する管理目的や管理策を選択し、その有効性や妥当性を示すとともに、残留リスクを経営陣が確認し、ISMSの実施を許可します。
そして、最後に「適用宣言書」を作成することになります。
登録:
投稿 (Atom)
プロフィール
- 科学情報総研
- 実用的な科学情報の収集・分析をおこなっています。