情報セキュリテイマネージメントシステム

Size: px

Start display at page:

Download "情報セキュリテイマネージメントシステム"

しらんふじた
5 years ago
Views:

1 IM 適合性評価認証取得支援コンサルティングのご提案平成 2x 年 xx 月 xx 日特定非営利活動法人東京 IT コーディネータ Copyright NPO 東京 ITC 1

2 企業の社会的な責任の遂行とリスク対応 ( CR:Coporate ocial Responsibility ) 情報の共有適切な情報開示行政効果的な安全管理措置株主取引先法令社会的規範の遵守内部統制 J-OX 法収益の獲得と納税ステークホルダーとの関わりの中での活動事業継続委託先監督責任コンプライアンスリスクガバナンスリスク株主利益の保護有用な製品サービス提供情報リスク CR 企業の社会的責任遂行安全リスクブランド構築企業価値の向上誠実な顧客対応人材リスク環境リスク市民活動支援環境への配慮顧客個人情報漏洩防止機密情報流出防止キャリアプラン従業者監督責任仕事私生活両立への配慮地域社会従業員 Copyright NPO 東京 ITC 2

3 情報セキュリティリスクへの体系的対応何を何からどう守るか? 情報資産の運用と管理企業情報営業技術個人情報顧客従事者情報インフラ情報資産脆弱性ビジネスプロセス人組織アプリケーション建物設備ネットワーク IT 機器リスク発生 ( 損失発生 ) 情報資産漏洩破壊信用崩壊人材流出経営体制弱体化技術資産流出設備資産破壊脅威 1 故意による人為的脅威不正アクセス紛失破壊改竄漏洩悪用著作権侵害不正使用プライバシー侵害コンピュータウィルス中傷スパムメール情報セキュリティ管理システムの確立方針責任権限の明確化経営全般のリスクマネジメントの確立効果的な管理策の実施文書管理 / 記録管理の徹底等総合的なセキュリティ対策を実施するための継続的な仕組みマネジメント対策経営者関与リスク評価組織的対応人的対応物理的対応技術対策アクセスログ FireWall ウィルスソフト VPN L 2 事故過失による偶発的脅威ハード障害ネットワーク障害ソフトバグ運用に関わる問題 3 災害等による環境的脅威地震雷火事水害停電等によるシステム停止 Copyright NPO 東京 ITC 3

4 IM が求めていること経営者の役割 Policy 情報セキュリティ方針の作成経営資源投入配分 Act 体制整備責任者選任受容可能なリスク水準設定見直し実施改善指示違反事件事故の予防違反事件事故の再発防止 ACT Plan リスク分析評価 ( リスクアセスメント ) 改善意図説明と目標達成 Check 違反事件事故の監視管理策の有効性測定内部監査実施マネジメントレビューセキュリティ計画更新内部監査レビュー等 CHECK 情報セキュリティ統括管理者 CIO Do リスク対応計画管理策の実施 DO PLAN IM の運用状況の記録と管理情報資産の価値評価情報資産のリスク分析評価リスク対応管理策などの選定適用宣言書の作成リスク対応計画作成 IM 運用マニュアル作成文書記録管理ルール教育計画要員の確保 Copyright NPO 東京 ITC 4

5 IM 適合性評価制度とは何か 2.IM の認証基準 1.IM の目的 IM 適合性評価制度は国際的に整合性のとれた情報セキュリティマネジメントとしての第三者適合性評価制度であり本制度はわが国の情報セキュリティ全体の向上に貢献するとともに諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものです IM の認証基準 (Ver.2) は英国規格 B :2002 に基づき作成したもので本基準で使用する用語表現については JI X 5080:2002( 国際規格 IO/IEC 17799:2000) との互換性を確保しています 2005 年の IO/IEC27001 の発行に伴いこれに対応して国内規格の JI Q が発行され IM 認証基準 (Ver.2) は 2006 年 5 月 20 日より JI Q 27001:2006 へ移行しました 3.IM の適用範囲 IM の適用範囲は企業情報を大量にマネジメントする企業内の部署を限定して導入を図ることが可能ですこのため IM は P マークに比べ大企業や事業所の多い企業に向いています 4. 登録と維持および更新登録 Copyright NPO 東京 ITC 5

6 情報セキュリティの規格動向 2001/4 2002/4 2003/4 2004/4 2005/4 2006/4 2007/4 2008/4 英国規格 B IO 化国際規格 IO/IEC7799:2000 (2000/12) IO/IEC7799:2005 (2005/6/15) IO/IEC27002:2007 ( 予定 ) 1995 年国内規格 JI X 5080:2002 (2002/2) JI Q 27002:2006 (2006/5/20) 英国規格 B 年改訂 IM 認証基準 v0.8 IM 認証基準 v1.0 用語表現骨子 IM 認証基準 v2.0(2003/4) 初回審査終了 2006/11 廃棄 2007/11 JI Q 27001:2006 (2006/5/20) B7799-2:2002 (2002/9) 国際規格 IO/IEC27001:2005 (2005/10/15) プライバシー OECD8 原則 EU 指令 1995 経産省カイトライン 1997 マーク国内規格 JI Q 15001:1999 (1999/3) 部分施行 2003/5 個人情報保護法 (2005/4 全面施行 ) 経産省カイトライン 2004/10 JI Q 15001:2006 (2006/5/20) Copyright NPO 東京 ITC 6

7 IM とプライバシーマークの比較目的適用方法審査適用規格認証取得状況認証取得方法維持更新特色 IM 企業の情報資産全般のセキュリティマネジメントシステムの確立と運用維持情報資産をリスクから守るソフトハードを含む情報資産全般業種に関係なく適用組織の必要性に合わせて範囲を決定 IM 認証基準 ver.2.0(b7799) IO/IEC27001 発行に伴い JI Q が 5/20 に発行 2002 年スタート 2010/5 月現在 3523 事業者適用範囲を限定し逐次範囲拡大可能毎年サーベランス 3 年に 1 回更新情報の安全を守る管理策を決定する手順が明確 B2B B2C ビジネスに有効プライバシーマーク個人情報の取扱について適切に扱っている事業者を認定個人の権利利益を守る自ら保有する個人情報個人情報をある程度保有する業種全社単位の取り組みが前提現在は JI Q 15001:1999 JI Q 15001:2006 が 5/20 に発行 1998 年スタート 2010/5 月現在事業者事業者単位 ( 全社単位 ) に取得 2 年に 1 回更新管理策を決定する手順が明確でない B2C ビジネスに有効個人情報が多い企業で有効 Copyright NPO 東京 ITC 7

8 Copyright NPO 東京 ITC 8 IM の標準構築プロセストップの関与 IM 確立フェーズ 2~3 ヶ月スタート適用範囲境界定義 IM 導入運用フェーズ 1~2 ヶ月認証取得予備審査登録審査 IM 監視見直しフェーズ 1~2 ヶ月現状の情報資産 HW/W など 1 適用範囲定義書 2 情報セキュリティ基本方針情報セキュリティ基本規程 4 情報資産目録 ( 台帳 ) 5 リスク評価シート 6 リスクアセスメント報告書 7 リスク対応シート情報セキュリティ対策規程 8 残留リスク一覧 10 適用宣言書成果物例審査登録機関決定 I M 基本方針策定リスクアセスメント方針策定リスクの識別リスクの分析評価リスク対応選択肢評価リスク対応管理策選択導入運用の経営陣の許可残留リスク等の承認 9 リスク対応計画策定リスク対応計画の実施運用状況の管理経営資源の管理セキュリティ事件事故対応管理目的管理策の実施教育訓練の実施 1 監視手順確立と実施 I M の有効性見直しマネジメントレビュー実施セキュリティ計画更新残留リスク等の見直し I M 内部監査の実施 1 I M 改善策実施是正予防処置の実施実施処置の伝達合意改善目標の達成 IM 維持改善フェーズ 2~3 ヶ月情報資産管理手順書リスクマネジメント手順書情報セキュリティ対策基準 1 リスク対応計画書情報セキュリティ運営体制案事業継続計画書 5 情報セキュリティ教育訓練計画書情報セキュリティ教育訓練報告書 6 情報セキュリティ運用状況報告書 8 情報セキュリティ事件事故報告書情報セキュリティ教育訓練手順書 IM 文書管理手順書その他手順書手順書例 5 内部監査計画書内部監査実施報告書 6 マネジメントレビュー議事録 7 セキュリティ計画改訂版 8IM 実施報告書内部監査手順書内部監査チェックリスト運営委員会実施手順 1 改善計画 / 実施報告書 2 是正予防処置報告書 P J 準備 IO27001 ベース ( 改 1) A P D C 維持審査更新審査適用宣言書の作成 10 有効性測定方法規定 8 3 管理策の有効性測定 8 I M 実施状況の記録

9 作業スケジュール例作業項目 PJ 準備 IM 確立フェーズ導入運用監視見直し維持改善フェーズ回数フェーズ 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 I 準備フェーズ 1 1 概略ヒヤリングと全体計画作成 2IM 導入プロジェクトの編成 3PJキックオフ & 情報セキュリティセミナ P IM 確立フェーズ 11 1 適用範囲定義 2IM 基本方針策定 3リスクアセスメント方針策定 4リスクの識別 5リスクの分析評価 6リスク対策選択肢評価 7リスク対応管理策選択手順書作成 8 残留リスク等の承認 9IM 導入運用の経営陣の許可 10 適用宣言書の作成 D IM 導入運用フェーズ 3 1リスク対応計画策定 2リスク対応計画の実施 3 管理目的管理策の実施 4 有効性測定方法の規定 5 教育訓練の実施 6 運用状況の管理 7 経営資源の管理 8セキュリティ事件事故対応 C IM 監視見直しフェーズ 3 1 監視手順確立と実施 2IMの有効性見直し 3 管理策の有効性測定 4 残留リスク等の見直し 5IM 内部監査の実施 6マネジメントレビューの実施 7セキュリティ計画更新 8IM 実施状況の記録 A IM 維持改善フェーズ 2 1IM 改善策実施 2 是正予防措置の実施 3 実施処置の伝達 4 改善目標の達成申請予備審査本審査 IM 認証取得 Copyright NPO 東京 ITC 920

10 適用範囲の決定の考え方事業組織所在地資産技術本社ビル事業活動特色全社顧客情報システム技術業務上の要件特定の事業部データセンター個人情報システム構成法的規制特定の一部門工場社員情報ネットワーク構成契約上の要件特定のサービス技術情報情報機器などなどなどなどなど守るべき事業業務守るべき情報資産利害関係者に信頼を与えるように設計する 5つの要素を切り口に適用範囲を決める取得目的取得目標取得期間取得体制 Copyright NPO 東京 ITC 10

11 情報セキュリテイ管理システム構築の推進体制 ( 例 ) 1 代表者による役員クラスの任命 2 情報セキュリティ統括管理者が委員会を立上げ 3 各部門の代表者をセキュリティ管理者として委員に任命代表者情報セキュリテイ統括管理者 (CIO) 情報セキュリティ委員会外部コンサル ( 東京 ITC) 統括管理者事務局を支援する 4 セキュリティ実務を担当するメンバーを任命構築と運用を担当情報セキュリティ委員会事務局 ( 情報セキュリティ推進 G) 情報システム部営業部門生産部門経理部総務部 Copyright NPO 東京 ITC 11

12 情報セキュリティ文書体系情報セキュリティとは情報の機密性完全性可用性を保つことでありこのセキュリティに対する考え方 ( ポリシー ) を明文化し全社員で共有するセキュリティポリシースタンダードポリシー情報セキュリティ方針情報セキュリティ対策規程情報セキュリティへの基本的な考え方を宣言し情報セキュリティを考える上でのよりどころとする基本方針文書と基本規程で構成情報セキュリティ管理上で実施すべき基本的な対応策を指針として示す事業部門は事業推進上の固有の要求事項に応じて補完強化するプロシジャー情報セキュリティ実施手順ガイドライン情報セキュリティ管理を実施する上で参照すべき手順書ガイドライン社内関連規定事業部門は必要に応じて個別のガイドラインを作成し合わせて運用する全社共通事項部門補完強化 Copyright NPO 東京 ITC 12

13 IM 文書体系ポリシー IM 文書実施記録等関連規程マニュアルにおけるセキュリティ関連事項実施記録情報セキュリティ方針 IM 構築稟議書 IM 構築社内通達情報セキュリティ基本方針情報セキュリティ方針書情報システム関連規程情報セキュリティ基本規程 IM 適用範囲規程書情報システム構築規程情報システム取得開発規程各種申請書基本方針文書規程 IM 適用宣言書物理環境的セキュリティ管理規程入退出管理記録外部サービス規程契約書 LA スタンダード情報システム運用規程基幹システム運用規程情報システム運用記録情報セキュリティ対策規程リスク対応計画書アクセスログ管理策別目標有効性評価表利用者 ID 管理基準利用者 ID 申請書ユーザ認証基準特権パスワード管理台帳情報セキュリティ委員会規程委員辞令ウィルス対策基準委員会議事録バックアップ基準バックアップ記録マネジメントレビュー規程レビュー議事録暗号化管理規程セキュリティ事象対応規程セキュリティ事象事故報告書情報システム利用規程情報資産調達規程情報資産購入申請書緊急時異常時対応規程基幹システム利用規程基幹システム利用申請書 OAシステム利用規程事業継続計画規程グループウェア等利用規程グループウェア等利用申請書安全管理規程適用法令規程情報システム維持規程変更管理規程 IM 教育規程教育計画書情報システム保守規程保守報告書教育実施報告書ネットワーク管理規程社内ネットワーク管理規程ネットワーク監視報告書 IM 内部監査規程監査計画書外部ネットワーク利用規程監査実施報告書是正処置報告書業務関連規程 IM 文書記録管理規程規程文書一覧就業規則罰則規程誓約書 ( 社員 ) 記録帳票一覧人的セキュリティ対策規程誓約書 ( 外部 ) 職務規程職務定義書情報セキュリティ対策実施手順プロシジャー各種業務マニュアル個別業務別マニュアル各種手順書情報資産管理手順書情報資産調査票 / 台帳外注購買管理規程外部委託規程外部委託契約書情報資産目録外部委託先選定基準秘密保持契約書リスクマネジメント手順書リスク管理票残留リスク一覧個人情報保護関連規程各種規程細則その他社内規定社内稟議規程稟議書 Copyright NPO 東京 ITC 13

14 NPO 法人東京 ITC が提案する取得支援作業お客様の顧客満足度向上マネジメントを支援 ( コンプライアンス経営の確立 ) 標準コンサルティングテンプレート活用効率性原則複数名担当制信頼性最後まで徹底指導完全性プロジェクト管理確実性守秘契約堅持安全性コンサルティング ( オプション ) NPO 法人東京 ITC 実効性のある P マーク &IM 認証取得支援支援実績 P マーク : 約 20 社 IM:5 社個別支援作業 / アフターフォロー調査ヒヤリング教育監査研修 ( オプション ) 現場へのスムースな導入リスク最小化提案導入企業における人材育成組織定着みずほ銀行 BI など有力企業との提携 Copyright NPO 東京 ITC 14

情報セキュリテイマネージメントシステムのスッテプ

情報セキュリテイマネージメントシステムのスッテプ IO/IEC 27001(IM) 構築支援ヒアリング診断用 20XX 年 X 月 NPO 東京 ITC Copyright 2007-2014 NPO 東京 ITC 1 IM の構築についてのヒアリング IM 構築の準備 ( 現状確認 ) IM 構築の準備 ( 社内業務の仕組み調査 ) IM 構築の基本的な考え方 IM 構築のための組織と役割 IM 構築のスケジュール IM 構築の手順 Copyright