初めに
この度、自分のスキルアップのために情報処理安全確保支援士の資格を取ることになりました。セキュリティに関する知識が乏しいため、勉強をしていくなかで普段の業務のセキュリティに関する知識を吸収することも目的としています。
本ブログの目的
このブログは、僕が情報処理安全確保支援士の勉強に使っている参考書「うかる!情報処理安全確保支援士2018年版」の内容を自分で振り返るためのアウトプットの場にしようと思います。
1.3情報セキュリティマネジメントの基礎
情報セキュリティマネジメントとは、「明確な方針や規定に基づいて、組織の情報資産の機密性、完全性、可用性などの特性を適切に維持・管理すること」と定義できる。
情報セキュリティマネジメントは、PDCAサイクルを繰り返すことが望ましい姿と言える。PDCAサイクルとは、計画・策定(Plan)、導入・運用(Do)、評価・点検(Check)、見直し(Act)の四つのステップのサイクルのこと。
ISMSに関する国際規格は、ISO/IEC2700ファミリーと呼ばれており、これらの規格文書群に基づいた認証制度がISMS適合性評価制度である。
用語解説
「用語解説」で出てきた用語をまとめます。
トップマネジメント
最高位で組織を指揮・管理し、組織内で権限を委譲し、資源を提供する力を持っている個人又は人々の集まり。
リスクの需要
リスクの存在を認識しながらも、それを受け入れること。
リスクコントロール
リスクに対応し、発声を抑制したり、損失を低減したりすること。
リスクの回避
リスクの根本原因を排除すること。
リスクの移転
契約等を通じてリスクを第三者へ移転すること。
リスク所有者
リスクを運用管理することについて責任と権限を持つ人。
マネジメントレビュー
経営陣がISMSの効果を把握し、改善するための意思決定を行う一連のプロセス。
理解度チェックテスト
Q1.ISMSの管理策は全部で何項目あるか。
Q2.ISMS確立までの流れの概要を示せ。
Q3.ISMSの浸透を図るためにはどのようなことを行うべきか。
前記事の理解度チェックテストの答え
前記事はこちら
A1.「機密性」「完全性」「可用性」
A2.情報資源にアクセスする人間、プロセス、プログラム等に対して、常に必要最小限の権限のみを付与するように徹底すること。
A3.業務ごとに担当を適切に分離すること。