情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ > 8.7 セキュリティポリシー

(1)情報セキュリティポリシ
 情報セキュリティポリシとは,セキュリティ対策の基本方針であり,今や多くの企業で策定されています。
 基本方針を策定することで,社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。加えて,コストを抑えたセキュリティ対策が行えるのです。
情報セキュリティポリシー
 例えば、家庭での泥棒対策で考えます。玄関の鍵の強化,監視カメラ,赤外線のセンサー,外部機関による警備の依頼など,対策はたくさんあります。すべてを実施してはお金がいくらあっても足りません。そこで、大切なものは金庫に入れて保管するという方針(セキュリティポリシを作って運用する)にすれば,金庫を購入し,常に金庫に保管するだけである程度の対策ができます。きちんと金庫に入れるという運用ルールさえ守られれば、対策コストが下がるのです。

(2)情報セキュリティポリシの3階層
 情報セキュリティポリシは3階層からなります。「憲法」の下に「法律」があり,「法律」の下に「政令や条例」があるのと同様です。
5c0cc400.gif
 
①基本方針・・・憲法にあたる部分
 情報セキュリティ対策の「考え方」が述べられており,通常は3~4ページ程度です。セキュリティポリシの目的,対象範囲,対策,社員の義務などがさらりと書かれています。「うちの会社が守るべき情報資産は××で,物理的対策や人的対策などをして,情報保護をしなさい」という簡単な記載です。
 基本方針は、内部向けだけでなく、対外的に「セキュリティを守ります!」という宣言することを目的とする場合もあります。
②対策基準・・・法律にあたる部分
 具体的な対策です。例えば,「情報資産をI~IIIの3つにランク分けしましょう」「メールでIIとIIIの情報を送る場合は暗号化しましょう」「I~IIIの情報が入っているパソコンにはセキュリティワイヤーで固定し,パスワードをつけましょう」などと、基本方針に比べて具体的な記載があります。
③実施手順,規定類・・・条例にあたる部分
 対策基準より,更に具体的な内容です。上記のパスワードを例にすると,「パスワードは英数含む8文字以上とする」「パスワードは3ヶ月に1回変更する」「パスワードを忘れた場合は,上長に申請をし,上長から××課を通じて発行する」などの記載があります。

この中で、1)基本方針と2)対策基準を合わせたものが、「セキュリティポリシ」と呼ばれる。 
 セキュリティポリシの例が過去問にあるので引用する。 
情報セキュリティポリシ
                                   社長
Ⅰ.基本方針
 V社は,ホテルとスポーツクラブの運営を通じて,お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。
Ⅱ.対策基準
1. 適用範囲
(1) 本基準は,役員,管理職及び従業員に適用する。
(2) 本基準は,V社で利用するすべての情報資産(ハードウェア,ソフトウェア,ネットワーク,データベース,記録媒体及び書類)に適用する。
2. 情報セキュリティ委員会
 (省略)
(3) 情報セキュリティ委員会は,必要に応じて情報アクセス管理者を任命する。
 (省略)
3. 情報の管理
(1) V社が守るべき情報には,その重要度に応じてA(きわめて重要)~D(重要でない)のランクを付ける。
  なお,個人情報は,Aランクとする。
(2) Aランクの情報をパソコンで取り扱う場合には,業務終了時に消去する。
(3) Aランクの情報の印刷,コピー及び破棄は上司の許可を得てから行い,管理記録を残す。
4. アクセス管理
(1) Aランクの情報を保存する機器は,物理的に隔離する。
(2) 情報資産への適切なアクセス権限を設定する。
(3) 従業員が個人データにアクセスする場合には,その都度,情報アクセス管理者の許可を得る。
(4) 利用者IDとパスワードの発行,停止は,本社で迅速に行う。
(5) 利用者IDは,共用しない。
(6) 本社サーバと各スポーツクラブのローカルサーバへのアクセス記録は,すべてログに残し,その内容を定期的にチェックする。
5. インターネットアクセス
 (省略)
6. 事故対応
 (省略)
7. Webベースシステムによる教育
 (省略)
8. 情報セキュリティ監査
 (省略)
9. 罰則規定
(以下,省略)
図5 V社の情報セキュリティポリシー(改定後) (H16SU午後Ⅱ問1より引用)
この例で言うと、「1)基本方針」は「ポーツクラブの運営を通じて、お客様に満足していただけるサービスを提供する企業である。お客様サービスにとって重要な個人情報に関する情報セキュリティの確保を最優先に行動する。」の部分だけだ。 
「2)対策基準」に関しては、例えば4(2)にて「情報資産への適切なアクセス権限を設定する。」とあり、個別の方針が作成されている。しかし、「適切なアクセス権限」が何かが具体的にされておらず、詳細な手順に関しては、「3)ィ実施手順、規定類」にて記載されることになる。 

「3)実施手順、規定類」は、企業ごとに内容が異なるが、過去問にその例があるので引用する。
1.アルファベットの大文字と小文字,数字,記号をランダムに並べ,当該本人情報から推測できるような情報を含めない。 2.一般に使用される単語,及びテレビ,ラジオなどのメディアで使用されている流行語や時事用語などは使用しない。 3.8文字以上の文字列とする。図1 PINの設定に関するガイドライン(H18SV午後Ⅰ問3より引用)

参考URL
http://www.ipa.go.jp/security/manager/protect/pdca/policy.html
・政府による情報セキュティ対策推進会議にて決定された「情報セキュリティポリシーに関するガイドライン(政府)」
http://www.kantei.go.jp/jp/it/security/taisaku/pdfs/ISP_Guideline.pdf

15863853
あっても形だけだから意味がないのでは?





確かに、形だけで運用している会社はあります。たとえば、他社のセキュリティポリシをそのまま流用しているとか。
 私は必要と考えます。当然、きちんとしたものを作成し、社員に浸透させたうえでの問題ですが。情報セキュリティポリシを策定することで、セキュリティを強化する。セキュリティポリシによって、セキュリティの基本方針が明確になり、情報資産の運用方法が具体的にわかる。人的セキュリティ対策の基本である。
例えば、基本方針を策定することで、社員の中でセキュリティに関する統一した意識が醸成されてセキュリティが強化されます。また、コストを抑えたセキュリティ対策が行えます。
 家庭での泥棒対策を例にすると、玄関の鍵の強化、監視カメラ、赤外線のセンサー、外部機関による警備の依頼など、たくさんの対策があります。すべてを実施してはお金がいくらあっても足りません。
 そこで、大切なものは金庫に入れて保管するという方針にすれば、金庫を購入し、常に金庫に保管するだけで済む場合があります。
それと、絶対に守らなくてはいけないものと、守った方がいいものを明確にすべきです。たとえば、お客様情報は絶対に守るべきものですが、会社の資料は守った方がいいですが、漏えいしても大きな問題にならない資料も山ほどあります。それらを同じレベルで管理すると大変です。はっきりいって、無駄。だから、ポリシーで何をどのレベルで守るかを決めるとよいでしょう。

過去問(H25秋高度午前1問14)を解いてみよう
問14 ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち,適切なものはどれか。
ア 重要な基本方針を定めた機密文書であり,社内の関係者以外の目に触れないようにする。
イ 情報セキュリティの基本方針を述べたものであり,ビジネス環境や技術が変化しても変更してはならない。
ウ 情報セキュリティのための経営陣の方向性及び支持を規定する。
工 特定のシステムについてリスク分析を行い,そのセキュリティ対策とシステム運用の詳細を記述する。

順に見ていこう
ア:社員に意識づけるため、広く見てもらう必要がある。
イ:PDCAサイクルで回していくもので、環境の変化に応じて変更する必要がある。
ウ:正解 以下にも「5.1 情報セキュリティのための経営陣の方向性」として、「目的  情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項並びに関連する法令及び規制に従って提示するため。」との記述がある。
 http://kikakurui.com/q/Q27002-2014-01.html
エ:詳細については、実施手順などに記載する。

dcf52feb
3階層って面倒です。
対策基準と実施手順を分ける必要があるのでしょうか。
一緒にしてしまっては?



部分的にほぼ同じような内容になることもある。
では、なぜ法律と条例が分かれているかを考えよう。条例は各地方自治体で策定するもの。それは、地方によって置かれている環境が異なるからです。例えば滋賀県は琵琶湖に関する条例があり、ゴミや花火などの取り決めがある。パスワードのルールにしても、外部からのリモートアクセスと内部のシステムでは、パスワードの条件が変わる。つまり、組織やシステムによって異なるものであるから、各システムや組織ごとに分けざるをえない。
15863853
いやいや、
全システム、全組織の内容を
一つの対策基準に書いたらいいじゃないですか。



はい。それでも良い。でも組織やシステムが例えば100個あったら、100パターンが掲載される。
見にくい。
セキュリティポリシーと呼ばれる基本方針と対策基準、そして自部署に関係のある実施手順があれば分かりやすい。全国全ての条例が載った法律なんて、見にくいとしか考えられない。
8412ebbb
では、全組織で共通のことであれば、対策基準に全て書いても良いですか?先ほどのパスワードのルールなど。




別に構わないし、企業で判断すれば良い。
ただ、実施手順のレベルの細かい内容を対策基準に書くのはお勧めしない。運用しにくいからだ。定められた法律は守らなくてはいけない。同じように「対策基準」も守らなくてはいけない。例えばある部署で最新型の指紋認証システムを入れたとし、その時入力するパスワードは6桁までしか入力できないとする。パスワードの桁数は少なくなっても、指紋認証するからセキュリティレベルは上がっている。ところが「対策基準」に「パスワードを設定すること」だけでなく「英数8文字以上のパスワードにすること」などと細かく定められた場合、これに違反する。ということは、全国の全てのシステム管理者を集めて、「対策基準」を改訂しないといけない。また改訂内容も「ただし指紋認証と併用する場合は6文字以上で良い」などの細かな内容を付け加えることになり、グチャグチャになります。
ということで、対策基準と実施手順は分けた方が良いだろう。

このページのトップヘ