- 1.ISMSとは ~ISMSとPDCAサイクル
- 2.ISMSとセキュリティポリシー
- 3.ISMSの取得(規格とISMS適合性評価制度)
- 4.クラウドサービス利用のための情報セキュリティマネジメントガイドライン
1.ISMSとは ~ISMSとPDCAサイクル
(1)ISMSとは
ISMS(Information Security Management System)とは、言葉の通り、情報セキュリティのマネジメントシステムである。セキュリティ対策というのは単にFirewallを導入すれば良いという単純なものではない。PDCAサイクルでマネジメントし、効果的かつ継続的なセキュリティ対策を運用することが求められる。
別途述べるISO/IEC15408が技術面のセキュリティを考慮しているのに対し、ISMSでは運用面も含んだ組織的な対策の枠組みである。
◆参考URL
第2回 認証取得のためのISMSガイド
http://www.atmarkit.co.jp/fsecurity/rensai/guide02/guide01a.html
日本情報処理開発協会(JIPDEC) ジップデックと読む
ISMS適合性評価制度
http://www.isms.jipdec.jp/isms.html
認定基準も参考になる。
(2)ISMSのプロセス
ISMSのプロセスはPDCAのマネジメントサイクルで考える。
以下のURLも参照いただきたい。
http://www.ipa.go.jp/security/manager/protect/pdca/index.html
①Plan:ISMSの確立
セキュリティ対策として、どんな人的、物理的、技術的対策を実施するかを確立する。
⇩⇩
②Do:ISMSの導入及び運用
上記の対策を実行に移す。暗号化や認証システムを導入したり、運用ルールを策定したり、教育をしたりする。
⇩⇩
③Check:ISMSの監視及びレビュー
日々または定期的な監査などによるセキュリティチェックを行い、セキュリティが守られているかを確認する。
⇩⇩
④Act:ISMSの維持及び改善
万が一、セキュリティ事故が発生するような場合は、社員の再教育をするなり、別の対策を検討し、セキュリティが適切に保たれるよう改善する。
以下の問題を解いてみよう。
問38 ISMSプロセスのPDCAモデルにおいて、PLANで実施するものはどれか。 ア 運用状況の管理 イ 改善策の実施 ウ 実施状況に対するレビュー エ 情報資産のリスクアセスメント (H19SU 午前問題 問38より) |
こういう問題は、すべての選択肢を理解することが勉強になりますね。
その通り。
PDCAの順に並べると以下になる。
・Plan:情報資産のリスクアセスメント(エ)
・Do:運用状況の管理(ア)
・Check:実施状況に対するレビュー(ウ)
・Act:改善策の実施(イ)
2.ISMSとセキュリティポリシー
ISMSにおいて、セキュリティポリシーは必須であり、重要な位置づけである。
ISMSを取得するにあたり、
どのタイミングでセキュリティポリシーを作成するのですか?
・一つの考え方ではあるが、以下の記述がある。
「ISMSを確立するための計画段階にあたるのがPlan(計画)であり、その代表が情報セキュリティポリシー(情報セキュリティに関するその組織の考え方、対策や規約をまとめた文書)の策定です。」
http://www.ipa.go.jp/security/manager/protect/pdca/index.html
・セキュリティポリシーは必須ではあるが、プロシージャ(実施手順)までは求められていない。
・セキュリティポリシーは全社などで広く作ることが多いと思うが、ISMSの認証は対象組織と小さくすることが多い。(そうでないと大変)
・実際にISMSを取得する際には、セキュリティポリシーはできあがっていることが多い。
・ISMSの基本方針作成時は、セキュリティポリシーが活用される。
以下の問題を解いてみよう。
問40 ISMS適合性評価制度における情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。 ア 重要な基本方針を定めた機密文書であり、社内の関係者以外の目に触れないようにする。 イ 情報セキュリティのための経営陣の方向性及び支持を規定する。 ウ セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。 エ 特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。 」(H21AP春午前問40) |
正解はイである。
3.ISMSの取得(規格とISMS適合性評価制度)
ISMSを取得している企業は信用してよい?
ISMSやPマークを取得していれば、
その企業のセキュリティは大丈夫なんでしょうか?
ISMS適合評価制度があって、その企業のセキュリティ対策が、JIS Q 27001に適合している必要がある。そういう意味では、セキュリティ対策がしっかりしている。
しかし、以前にISMS取得企業が情報流出をして問題になった。認定後に取消になった企業もある。
ここでは、ISMSのISMS適合性評価制度と規格について紹介する。
■■ISMS適合性評価制度
企業のセキュリティマネジメントのプロセスがISMS認証基準を満たしているかを評価し、合格すればISMS認証を取得できる制度である。過去問(H27秋FE午前問40)では、「ISMS適合性評価制度の説明」として、「JIS Q 27001に基づき,組織が構築した情報セキュリティマネジメントシステムの適合性を評価する」と述べられています。審査をするのはJIPDECではなく、JIPDECが認定した第三者機関である。審査基準は上記で述べたJIS Q 27001に適合しているかどうかである。
■■ISO/IEC 27001
ISMSの認証基準の国際規格である。日本では、ISO/IEC 27001をベースとした規格である日本工業規格のJIS Q 27001に適合しているかでISMSの認定がされる。
過去問ではISO/IEC 27001に関して、以下のように述べられている。
情報セキュリティマネジメントシステムの要求事項であり、情報セキュリティマネジメントシステムを確立、導入、運用、監視及び改善するためのモデルを提供する(H20NW午前 問53参照) |
最新版の「JIS Q 27001:2014」の主な内容は、「リーダシップリーダシップ」,「計画」,「運用」,「パフォーマンス評価(内部監査,マネジメントレビュー ほか)」,「改善(不適合及び是正処置,継続的改善)」です。(キーワードは情報セキュリティマネジメント試験のシラバスより)
また、過去問(H29秋SG午前問10)では、是正処置に関して、「JIS Q 27000:2014 (情報セキュリテイマネジメントシステムー用語)において,不適合が発生した場合にその原因を除去し,再発を防止するためのものとして定義されているもの」と述べられています。
■■ISO/IEC 27002
こちらも国際規格であり、日本では、JIS Q 27002。「情報セキュリティマネジメントのための実践規範」である。
過去問ではJIS Q 27002(またはJIS Q 27002:2006) に関して、以下のように述べられている。
「情報セキュリティマネジメントの実践のための規範であり、組織における情報セキュリティマネジメントの導入、実施、維持と改善のための指針及び一般的原則について規定する(H20NW午前問53参照)」 |
両者の違いがさっぱり分かりません。
帰っていいですか?
確かにこういう規格は分かりにくい。
ポイントは、
・要求事項が27001
・実践規範が27002
ISO/IEC 27001は認証基準として作成されてあるので、「~の対策を実施すること」のように枠組みしか書かれていない。それに対しISO/IEC 27002では、実際にどのように実施するのかが記載されてある。情報セキュリティ管理のベストプラクティス集と考えも良い。
■過去問
ISO/IEC 27001に関する問題を解いてみましょう。
問5 JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。 ア 脅威とは、脆弱性が顕在化する確率のことであり、情報システムに埋め込まれた技術的管理簿によって決まる。 イ 脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、人為的過失及び不正行為に大別される。 ウ リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。 エ リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して対策を決める。 (H22SC秋午前Ⅱ問5) |
規格類は覚えるのが大変。
ISO/IEC 27001はISMSの認証基準である。一方、ISO/IEC 27002は、ISMSを運用するにあたり、情報セキュリティ管理のベストプラクティス集が記載されている。正解はウ
違う過去問(H17春SW午前)を見てみましょう。
問78 ISMS適合性評価制度における詳細管理策の基となった国際規格はどれか。 ア ISO 9001 イ ISO 14001 ウ ISO/IEC 15408 エ ISO/IEC 17799 |
正解は、エです。
4.クラウドサービス利用のための情報セキュリティマネジメントガイドライン
過去問(H24年SC秋午前2問4)では、「2011年に経済産業省が公表しだ"クラウトサービス利用のための情報セキュリティマネジメントガイドライン”が策定された目的」として、「JIS Q 27002の管理策を拡張し,クラウトサービス利用者が情報セキュリティ対策を円滑に行えるようにする」とある