#情報セキュリティマネジメント
組織のセキュリティ確保のため体系的に取り組むこと
##情報セキュリティ管理
なにをどのように守るのか企業や組織として明確にしておく
そのために情報セキュリティポリシとして明文化する
##情報の洗い出し
情報資産です
・物理的資産・・・装置
・ソフトウェア資産・・・開発ツールなど
・人的資産・・・経験や技能
・無形資産・・・組織のイメージや評判
・サービス資産・・・通信や計算処理サービスなど
・直接的情報資産・・・DBやメールなど
これは情報資産台帳にまとめておく
##情報セキュリティインシデント
情報セキュリティを脅かす事件や事故
インシデントとだけいうこともある
発生したときの報告・管理体制が明確で、インシデント対応方法が文書化されていて
関係者に周知徹底されていることが求められる
##情報セキュリティ事象
インシデントの他に、発生するかもしれない状況のこと
要はヒヤリハットかな
ウイルス対策ソフト入れてないとかね
そういうの見つけたら管理者に報告する義務があるらしい
##セキュリティマネジメントの監視とレビュー
放置してもダメなので日常的に監視する
#情報セキュリティ諸規定
情報セキュリティポリシに関する文書は方針、対策基準、実施手順、手続き、規定など
##構成
###情報セキュリティ方針(基本方針)
組織の基本的な考え方と方針を示す
経営陣によって承認される
秘密にせず、全従業員や関係者に公表する
###情報セキュリティ対策基準
リスクアセスメントの結果に基づいて対策基準を決める
(※リスク特定、分析、評価を網羅するプロセス全体のこと)
####規定
代表的な規定は如何の通り
- 情報管理規定
- 秘密情報管理規定
- 情報セキュリティインシデント対応規定
- 情報セキュリティ教育の規定
- プライバシーポリシ1
- 雇用契約、職務規定、罰則の規定
- 対外説明の規定
- 例外の規定
- 規則更新の規定
- 規定の承認手続き
- ソーシャルメディアガイドライン
##個人情報とプライバシーポリシ
個人情報とは、氏名、住所、メルアドなど
それ単体、もしくは組み合わせるコトで個人を特定できる情報のコト
プライバシーポリシは収集した個人情報をどう扱うかを定義したもので
個人情報保護方針ともいう
-
プライバシポリシじゃないの?一貫性が・・・ ↩