書籍名「見るみる ISMS ISO/IEC27001:2002」
著者 深田博史
日本規格協会
前回の続きです。
印象に残った部分
p50 監視、測定、分析、評価対象
リスクを最小化する仕組み(活動、管理策)が計画通りに進んでいるかをモニタリング(状況確認)するために、「監視、測定、分析、評価対象項目」を決定するための助言を行うことが多い。
p51 9.2内部監査の狙い
「適合性評価」
・ISMSはISO/IEC 27001を満たしているか
・自社が決めた要求事項が適切に実施されているか
「有効性評価」
ISMSが有効に実施されているか、維持されているか。
p82 情報セキュリティ管理策の概要
情報セキュリティに関わるリスク(情報の紛失、漏洩、不正アクセス、破壊、改ざん、不正利用関連法令違反など)に対する対策は4つに分類されます。
組織的管理策、人的管理策、物理的管理策、技術的管理策
人的管理策
p86 6.4懲戒手続き
情報セキュリティに関する懲戒手続き(情報セキュリティ方針に違反した要素や、関連する利害関係者に対する処置)を正式に(就業規則、宣誓書)に定め、関連する要因、利害、
、そしてこれらの法令などおよび契約事項を満たすための組織の取り組みを特定し、文書化し、最新に保ちます。
技術的管理策
p107 8.Aアクセス制御
・8.3 情報へのアクセス制御
アクセス制御の個別のセキュリティポリシーに基づき、情報や情報関連資産へのアクセスを制限します。
・8.4 ソースコードへのアクセス
ソースコード、開発用ツール、ソフトウェアライブラリに対するアクセスを管理する。
p104 8B.ICT運用監視
8.6 容量、能力の管理
揚力、能力に関する現在および予測される要求事項に基づいて、資源の利用を重監視し、調査します。
例:サーバーの記憶媒体の空き容量やCPUの負荷状況を監視し計画内に収まるように調整し監視します。
p111 8.10情報の削除
・ICTハード、ソフト(情報システムを含む)、サービスに保存している情報を不要な時点で削除します。
※情報の削除は、社内のICTはもちろん社外のICT(例:外部のデータセンター、クラウドサービス、委託先などの情報提供先など)
に保存された情報についても対象になります。
p112 8C 事業継続マネジメント
8.15ログ取得
ICTに関わる事象[例外処理(ログイン認証,ハード、サービスの異常故障、過失など)]を記録したログを取得し、保存、保護し、分析します。
p116 8F 開発プロセスのセキュリティ
8.27 セキュリティに配慮したシステムアーキテクチャおよびシステム構築の原則
セキュリティに考慮したシステムアーキテクチャ(例:システムの構築要素、ロジック、ライフサイクル等)を構築する場合や、】システムを構築する場合原則(例:開発標準)を決めて、文書化し維持し、すべての
すべてのすべての情報システム開発作業に適用する。
p116 8.29 開発及び受け入れにおけるセキュリティテスト
開発サイクルにセキュリティ面のテスト工程(プロセス)を定め運用します。
p116 8.30 外部委託による開発
システム開発を外部委託する場合、活動を指揮し、監視し、レビューする。
[ブラックボックス化のリスク]
少なくとも、要件定義書、設計書、仕様書、テスト仕様書、記録、構成管理情報は自社側で把握しておかないと変更管理作業がスムーズに変更できないリスクがある。
p119 8.31開発環境、テスト環境及び本番環境の分離
セキュリティを保つために、開発環境、テスト環境本番環境を分離します。
p119 8.33 テスト用情報
開発工程で用いるテスト用の情報を選定し、保護し、管理します。
例:テストで用いる個人情報をデータマスキングします。
感想
・ISMSという制度を導入することで、従業員のセキュリティ意識を高めることが狙いだと感じました。
セキュリティを通じて、経営的な要素(SWOT分析)やICT的な要素(Zabbixを用いた監視)も盛り込まれており、幅広い視点からの取り組みになっていると感じます。
・ただし、制度を健全に機能させるためには工夫が必要であり、担当者のやる気がなければISMSのポテンシャルを活かすことは難しいと思いました。
・現場の感覚としては、ISMSを積極的に推進する理由が少ないのが現状であり、その課題をどう解消するかが重要だと考えます。せっかく導入した制度なので、攻めの姿勢でISMSを活用していきたいものです