情報セキュリティマネジメント
組織のセキュリティ確保のため体系的に取り組むこと
情報セキュリティ管理
なにをどのように守るのか企業や組織として明確にしておく
そのために情報セキュリティポリシとして明文化する
情報の洗い出し
情報資産です
・物理的資産・・・装置
・ソフトウェア資産・・・開発ツールなど
・人的資産・・・経験や技能
・無形資産・・・組織のイメージや評判
・サービス資産・・・通信や計算処理サービスなど
・直接的情報資産・・・DBやメールなど
これは情報資産台帳にまとめておく
情報セキュリティインシデント
情報セキュリティを脅かす事件や事故
インシデントとだけいうこともある
発生したときの報告・管理体制が明確で、インシデント対応方法が文書化されていて
関係者に周知徹底されていることが求められる
情報セキュリティ事象
インシデントの他に、発生するかもしれない状況のこと
要はヒヤリハットかな
ウイルス対策ソフト入れてないとかね
そういうの見つけたら管理者に報告する義務があるらしい
セキュリティマネジメントの監視とレビュー
放置してもダメなので日常的に監視する
情報セキュリティ諸規定
情報セキュリティポリシに関する文書は方針、対策基準、実施手順、手続き、規定など
構成
情報セキュリティ方針(基本方針)
組織の基本的な考え方と方針を示す
経営陣によって承認される
秘密にせず、全従業員や関係者に公表する
情報セキュリティ対策基準
リスクアセスメントの結果に基づいて対策基準を決める
(※リスク特定、分析、評価を網羅するプロセス全体のこと)
規定
代表的な規定は如何の通り
* 情報管理規定
* 秘密情報管理規定
* 情報セキュリティインシデント対応規定
* 情報セキュリティ教育の規定
* プライバシーポリシ1
* 雇用契約、職務規定、罰則の規定
* 対外説明の規定
* 例外の規定
* 規則更新の規定
* 規定の承認手続き
* ソーシャルメディアガイドライン
個人情報とプライバシーポリシ
個人情報とは、氏名、住所、メルアドなど
それ単体、もしくは組み合わせるコトで個人を特定できる情報のコト
プライバシーポリシは収集した個人情報をどう扱うかを定義したもので
個人情報保護方針ともいう
-
プライバシポリシじゃないの?一貫性が・・・ ↩