「JIS Q 27001」は、国際標準規格「ISO 27001」に準拠した日本工業規格であり、ハードやソフト、個人情報など、適用範囲内の全ての情報資産全般が対象になります。事業所や部門、事業の単位でも、「JIS Q 27001」の認証取得が可能です。
「JIS Q 27001」要求事項が求めるのは、情報の「機密性」、「完全性」、「可用性」の維持です。
「機密性」とは、許可された者のみが情報にアクセスできるようにすることであり、個人情報などのあらゆる情報を見られないようにすることです。この機密性が侵害された事例が情報漏洩に当たるわけです。機密性を高めるための対策としては、IDとパスワードなどによる個人認証法があります。
「完全性」とは、データ入力などの作業や情報の処理方法が意図したとおりに正しく完全に行われることを意味します。データの入力ミスなどが発生すれば、「完全性」は損なわれることになります。また、情報が改ざんされていないことを保護することも「完全性」と言え、デジタル署名などが完全性を高める対策となっています。
「可用性」とは、利用したいときに利用できることを意味します。例えば、見ようと思ったウェブサイトを開こうとした際に、「ただいまアクセスが混み合って接続できません」、「ページを表示できません」といった表示がなされ、ウェブサイトの閲覧ができない事態は、可用性が損なわれている事態と言えるでしょう。可用性を高めるための対策としては、回線に二重化を施したり、バックアップシステムを導入したりすることが挙げられます。
また、個人情報に関しては、個人情報保護法ならびに契約上の要求事項の遵守が必要とされています。
スポンサード リンク
2009/02/25
2009/02/23
JIS Q 27001によるISMSの構築方法
「情報セキュリティマネジメントシステム(ISMS)」とは、情報に関するセキュリティを管理するための仕組みであり、その構築の方法と認定の基準は国際規格ISO/IEC 27001や日本工業規格(JIS)JIS Q 27001によって定められています。
取扱者の資格・技能・経験などの人的資産、組織のイメージをはじめとする無形資産、データベース・データファイル・監査証跡・手順書などの情報資産、開発用ツール・業務用ソフトウェア・システムソフトウェアなどのソフトウェア資産、通信装置・コンピュータ装置・記録媒体などの物理的資産、空調設備・電源設備、照明設備などのサービス資産。
ISMSは、これらの情報資産を明確化し、そうした資産のリスクを洗い出した後に、リスクを軽減する対策を実施することにより、セキュリティの向上を目指します。
ISMSの構築は、その適用範囲を決定することから始まります。ISMSの適用範囲は、複数の部門を網羅しているため、境界線を明確化し、合理的に説明できることが求められます。
次に、ISMS適用範囲に含まれる組織の人員構成や、規定類の整備状況、情報システムの利用状況などを考慮して基本方針を策定することになります。続いて、リスクアセスメント(識別された情報資産に対するリスクを識別し、手順に従ってそれらの大きさを決定すること)の体系的な取り組み方法を策定します。
その後、情報資産のリスクを識別し、分析・評価し、明確になったリスクへの対応を実施します。リスク対応の内容は、「適切な管理策の採用」、「リスクの保有」、「リスクの回避」、「リスクの移転」のいずれかになります。続いて、JIS Q 27001の付属書A内の「管理目的及び管理策」により、リスク対応に関する管理目的や管理策を選択し、その有効性や妥当性を示すとともに、残留リスクを経営陣が確認し、ISMSの実施を許可します。
そして、最後に「適用宣言書」を作成することになります。
取扱者の資格・技能・経験などの人的資産、組織のイメージをはじめとする無形資産、データベース・データファイル・監査証跡・手順書などの情報資産、開発用ツール・業務用ソフトウェア・システムソフトウェアなどのソフトウェア資産、通信装置・コンピュータ装置・記録媒体などの物理的資産、空調設備・電源設備、照明設備などのサービス資産。
ISMSは、これらの情報資産を明確化し、そうした資産のリスクを洗い出した後に、リスクを軽減する対策を実施することにより、セキュリティの向上を目指します。
ISMSの構築は、その適用範囲を決定することから始まります。ISMSの適用範囲は、複数の部門を網羅しているため、境界線を明確化し、合理的に説明できることが求められます。
次に、ISMS適用範囲に含まれる組織の人員構成や、規定類の整備状況、情報システムの利用状況などを考慮して基本方針を策定することになります。続いて、リスクアセスメント(識別された情報資産に対するリスクを識別し、手順に従ってそれらの大きさを決定すること)の体系的な取り組み方法を策定します。
その後、情報資産のリスクを識別し、分析・評価し、明確になったリスクへの対応を実施します。リスク対応の内容は、「適切な管理策の採用」、「リスクの保有」、「リスクの回避」、「リスクの移転」のいずれかになります。続いて、JIS Q 27001の付属書A内の「管理目的及び管理策」により、リスク対応に関する管理目的や管理策を選択し、その有効性や妥当性を示すとともに、残留リスクを経営陣が確認し、ISMSの実施を許可します。
そして、最後に「適用宣言書」を作成することになります。
2009/02/20
JIS Q 27001の購入方法とJIS Q 27002について
「JIS Q 27001」の付属書Aに記載される「JIS Q 27002」(情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントの実践のための規範)は、情報セキュリティマネジメントであるISO/IEC 27002の日本規格です。情報セキュリティマネージメントシステムに関連してよく耳にする「27001の133の管理策」とは、JIS Q 27001 の附属書Aに収められているサマライズされたJIS Q 27002 の表を指しています。
「JIS Q 27001: 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項」は、日本規格協会(JSA)のサイト(http://www.jsa.or.jp)から購入できます。PDFファイルによるダウンロード版と書籍版がありますが、どちらも54ページで3,045円です。ダウンロードされたPDFファイルには、全ページにライセンス情報をあらわすウィーターマークが入ります。(http://www.webstore.jsa.or.jp/webstore/Com/FlowControl.jsp?lang=jp&bunsyoId=JIS+Q+27001%3A2006&dantaiCd=JIS&status=1&pageNo=0)
「JIS Q 27002:情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範」も、日本規格協会のサイトから購入できます。こちらは書籍版、PDFファイル版ともに5,355円です。(http://www.webstore.jsa.or.jp/webstore/Com/FlowControl.jsp?lang=jp&bunsyoId=JIS+Q+27002%3A2006&dantaiCd=JIS&status=1&pageNo=0)支払いは、日本規格協会の会員以外はクレジットカード払いになります。
JIS規格票を扱っている国内の書店は、東京都千代田区の「霞ヶ関政府刊行物サービスセンター」、東京都千代田区の「ジュンク堂書店池袋本店」、東京都中央区の「八重洲ブックセンター本店」、大阪氏北区の「ジュンク堂書店大阪本店」、神戸市中央区の「ジュンク堂書店三宮駅前店」、福岡市中央区の「ジュンク堂書店福岡店」になります。
「JIS Q 27001: 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項」は、日本規格協会(JSA)のサイト(http://www.jsa.or.jp)から購入できます。PDFファイルによるダウンロード版と書籍版がありますが、どちらも54ページで3,045円です。ダウンロードされたPDFファイルには、全ページにライセンス情報をあらわすウィーターマークが入ります。(http://www.webstore.jsa.or.jp/webstore/Com/FlowControl.jsp?lang=jp&bunsyoId=JIS+Q+27001%3A2006&dantaiCd=JIS&status=1&pageNo=0)
「JIS Q 27002:情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範」も、日本規格協会のサイトから購入できます。こちらは書籍版、PDFファイル版ともに5,355円です。(http://www.webstore.jsa.or.jp/webstore/Com/FlowControl.jsp?lang=jp&bunsyoId=JIS+Q+27002%3A2006&dantaiCd=JIS&status=1&pageNo=0)支払いは、日本規格協会の会員以外はクレジットカード払いになります。
JIS規格票を扱っている国内の書店は、東京都千代田区の「霞ヶ関政府刊行物サービスセンター」、東京都千代田区の「ジュンク堂書店池袋本店」、東京都中央区の「八重洲ブックセンター本店」、大阪氏北区の「ジュンク堂書店大阪本店」、神戸市中央区の「ジュンク堂書店三宮駅前店」、福岡市中央区の「ジュンク堂書店福岡店」になります。
2009/01/31
当サイトについて&プライバシーポリシー
当サイトについて
当サイトのすべての掲載内容は、特に明記されている場合を除き、著作権法によって保護されていますので、許可なくコピー利用することはできません。
当サイトは、正確な最新情報を掲載するよう最善の努力を払っておりますが、サイトの利用と閲覧は、サイト訪問者様ご自身の責任において行ってください。
また、当サイトは、サイト訪問者様によるサイトへのアクセスおよびサイトの利用によって生じた直接的/間接的損害に責任を負うことはありません。
当サイトのプライバシーポリシーに関する概要
当サイトでは、第三者配信による広告サービスを利用しています。
このような広告配信事業者は、ユーザーの興味に応じた商品やサービスの広告を表示するため、当サイトや他サイトへのアクセスに関する情報 (氏名、住所、メール アドレス、電話番号は含まれません) を使用することがあります。
このプロセスの詳細やこのような情報が広告配信事業者に使用されないようにする方法については、以下の項目、及び参考リンクを参照して頂きます様、宜しくお願い申し上げます。
当サイトのプライバシーポリシー
・当サイト JIS Q 27001要求事項に基づくISMS認証取得とは?ではGoogleの広告配信をおこなっております。
・広告配信事業者としてのGoogleはユーザー様のcookieを使用して広告を配信しております。
・Googleがcookieを使用することにより、インターネットにおけるサイトへのアクセス情報に基づき、ユーザー様にとっての興味/関心に基づく広告を配信します。
当サイトをご利用されるユーザー様はGoogleの広告およびコンテンツネットワークに関するプライバシー ポリシーにアクセスする事で、cookieオプションを使用しないように設定することができます。
Googleプライバシーポリシーの詳細につきましては以下をご参照下さい。
Googleプライバシーセンター Googleプライバシーの概要
Google Privacy Center Advertising and Privacy
サイトのユーザーのプライバシー保護はどのように行われていますか?
Google 広告 Cookie とプライバシーに関するポリシー
当サイトのすべての掲載内容は、特に明記されている場合を除き、著作権法によって保護されていますので、許可なくコピー利用することはできません。
当サイトは、正確な最新情報を掲載するよう最善の努力を払っておりますが、サイトの利用と閲覧は、サイト訪問者様ご自身の責任において行ってください。
また、当サイトは、サイト訪問者様によるサイトへのアクセスおよびサイトの利用によって生じた直接的/間接的損害に責任を負うことはありません。
当サイトのプライバシーポリシーに関する概要
当サイトでは、第三者配信による広告サービスを利用しています。
このような広告配信事業者は、ユーザーの興味に応じた商品やサービスの広告を表示するため、当サイトや他サイトへのアクセスに関する情報 (氏名、住所、メール アドレス、電話番号は含まれません) を使用することがあります。
このプロセスの詳細やこのような情報が広告配信事業者に使用されないようにする方法については、以下の項目、及び参考リンクを参照して頂きます様、宜しくお願い申し上げます。
当サイトのプライバシーポリシー
・当サイト JIS Q 27001要求事項に基づくISMS認証取得とは?ではGoogleの広告配信をおこなっております。
・広告配信事業者としてのGoogleはユーザー様のcookieを使用して広告を配信しております。
・Googleがcookieを使用することにより、インターネットにおけるサイトへのアクセス情報に基づき、ユーザー様にとっての興味/関心に基づく広告を配信します。
当サイトをご利用されるユーザー様はGoogleの広告およびコンテンツネットワークに関するプライバシー ポリシーにアクセスする事で、cookieオプションを使用しないように設定することができます。
Googleプライバシーポリシーの詳細につきましては以下をご参照下さい。
Googleプライバシーセンター Googleプライバシーの概要
Google Privacy Center Advertising and Privacy
サイトのユーザーのプライバシー保護はどのように行われていますか?
Google 広告 Cookie とプライバシーに関するポリシー
登録:
投稿 (Atom)
プロフィール
- 科学情報総研
- 実用的な科学情報の収集・分析をおこなっています。