情報セキュリテイマネージメントシステムのスッテプ

Size: px

Start display at page:

Download "情報セキュリテイマネージメントシステムのスッテプ"

あゆみたけすえ
5 years ago
Views:

1 IO/IEC 27001(IM) 構築支援ヒアリング診断用 20XX 年 X 月 NPO 東京 ITC Copyright NPO 東京 ITC 1

2 IM の構築についてのヒアリング IM 構築の準備 ( 現状確認 ) IM 構築の準備 ( 社内業務の仕組み調査 ) IM 構築の基本的な考え方 IM 構築のための組織と役割 IM 構築のスケジュール IM 構築の手順 Copyright NPO 東京 ITC 2

3 IM 構築の準備 ( 現状確認 ) 1. 経営トップによるIM 構築の宣言 2. 構築プロジェクトの目標設定適用範囲概略期間運営方針責任と権限成果物 3. 構築プロジェクトの編成 4. 業種企業規模拠点配置の現状把握とセキュリティニーズ業界ガイドライン調査 5.ITの活用状況情報システムインフラの運用状況の現状把握 6. 情報セキュリティ対策の現状把握 7. 予算措置の検討審査機関の検討 Copyright NPO 東京 ITC 3

4 IM 構築の準備 ( 社内業務の仕組み調査 ) 1. 社内組織図と社内委員会制度の概要 2. 業務分掌職務規定権限規定稟議規定意思決定プロセス 3. 業務記述書業務マニュアル業務フロー図 4. 就業規則誓約書入退出管理規則 5. 委託先契約書守秘契約書覚書委託先選定基準 6. 委託元との契約書守秘契約書覚書 7. IT 戦略 IT 方針 IT 計画情報セキュリティポリシー ( 別途 ) 8. IT 部門規定 IT 開発規定 IT 利用規定 IT 運用規定 9. 全社システム体系図ネットワーク図導入システム機器ソフト台帳 10. ユーザマニュアル操作マニュアル 11. システム概要説明書システム仕様書プログラム仕様書運用マニュアル 12. システム運用記録各種申請書伺い承認記録帳票 13. システム各種変更記録 ( 申請承認 ) 14. その他システム関係書類 ( 業務委託契約書 LA 仕様書等 ) Copyright NPO 東京 ITC 4

5 IM が求めていること経営者の役割 Policy 情報セキュリティ方針の作成経営資源投入配分 Act 体制整備責任者選任受容可能なリスク水準設定見直し実施改善指示違反事件事故の予防違反事件事故の再発防止 ACT Plan リスク分析評価 ( リスクアセスメント ) 改善意図説明と目標達成 Check 違反事件事故の監視管理策の有効性測定内部監査実施マネジメントレビューセキュリティ計画更新内部監査レビュー改善 CHECK 情報セキュリティ統括管理者 CIO Do リスク対応計画管理策の実施 DO PLAN IM の運用状況の記録と管理情報資産の価値評価情報資産のリスク分析評価リスク対応管理策などの選定適用宣言書の作成リスク対応計画作成 IM 運用マニュアル作成文書記録管理ルール教育計画要員の確保 Copyright NPO 東京 ITC 5

6 情報セキュリティリスクへの体系的対応何を何からどう守るか? 情報資産の運用と管理企業情報営業技術個人情報顧客従事者情報資産脆弱性ビジネスプロセス人組織アプリケーション建物設備ネットワーク IT 機器リスク発生 ( 損失発生 ) 情報資産漏洩破壊信用崩壊人材流出経営体制弱体化技術資産流出設備資産破壊脅威 1 故意による人為的脅威不正アクセス紛失破壊改竄漏洩悪用著作権侵害プライバシー侵害コンピュータウィルス中傷スパムメール情報セキュリティ管理システムの確立方針責任権限の明確化経営全般のリスクマネジメントの確立文書管理 / 記録管理の徹底等総合的なセキュリティ対策安全管理措置マネジメント対策経営者関与組織的対応人的対応物理的対応技術対策 L FireWall ウィルスソフト VPN 2 事故過失による偶発的脅威ハード障害ネットワーク障害ソフトバグ運用に関わる問題 3 災害等による環境的脅威地震雷火事水害停電等によるシステム停止 Copyright NPO 東京 ITC 6

7 Copyright NPO 東京 ITC 7 IM の標準構築プロセストップの関与 IM 確立フェーズ 2~3 ヶ月スタート適用範囲境界定義 IM 導入運用フェーズ 1~2 ヶ月認証取得予備審査登録審査 IM 監視見直しフェーズ 1~2 ヶ月現状の情報資産 HW/W など 1 適用範囲定義書 2 情報セキュリティ基本方針情報セキュリティ基本規定 4 情報資産目録 ( 台帳 ) 5 リスク評価シート 6 リスクアセスメント報告書 7 リスク対応シート情報セキュリティ対策規程 8 残留リスク一覧 10 適用宣言書成果物例審査登録機関決定 I M 基本方針策定リスクアセスメント方針策定リスクの識別リスクの分析評価リスク対応選択肢評価リスク対応管理策選択導入運用の経営陣の許可残留リスク等の承認 9 リスク対応計画策定リスク対応計画の実施運用状況の管理経営資源の管理セキュリティ事件事故対応管理目的管理策の実施教育訓練の実施 1 監視手順確立と実施 I M の有効性見直しマネジメントレビュー実施セキュリティ計画更新残留リスク等の見直し I M 内部監査の実施 1 I M 改善策実施是正予防処置の実施実施処置の伝達合意改善目標の達成 IM 維持改善フェーズ 2~3 ヶ月情報資産管理手順書リスクマネジメント手順書情報セキュリティ対策基準 1 リスク対応計画書情報セキュリティ運営体制案事業継続計画書 5 情報セキュリティ教育訓練計画書情報セキュリティ教育訓練報告書 6 情報セキュリティ運用状況報告書 8 情報セキュリティ事件事故報告書情報セキュリティ教育訓練手順書 IM 文書管理手順書その他手順書手順書例 5 内部監査計画書内部監査実施報告書 6 マネジメントレビュー議事録 7 セキュリティ計画改訂版 8IM 実施報告書内部監査手順書内部監査チェックリスト運営委員会実施手順 1 改善計画 / 実施報告書 2 是正予防処置報告書 P J 準備 IO27001 ベース ( 改 1) A P D C 維持審査更新審査適用宣言書の作成 10 有効性測定方法規定 8 3 管理策の有効性測定 8 I M 実施状況の記録

8 IM 導入作業スケジュール例 P IM 確立フェーズ 11 1 適用範囲定義 2IM 基本方針策定 3リスクアセスメント方針策定 4リスクの識別 5リスクの分析評価 6リスク対策選択肢評価 7リスク対応管理策選択手順書作成 8 残留リスク等の承認 9IM 導入運用の経営陣の許可 10 適用宣言書の作成 D IM 導入運用フェーズ 3 1リスク対応計画策定 2リスク対応計画の実施 3 管理目的管理策の実施 4 有効性測定方法の規定 5 教育訓練の実施 6 運用状況の管理 7 経営資源の管理 8セキュリティ事件事故対応 C IM 監視見直しフェーズ 3 1 監視手順確立と実施 2IMの有効性見直し 3 管理策の有効性測定 4 残留リスク等の見直し 5IM 内部監査の実施 6マネジメントレビューの実施 7セキュリティ計画更新 8IM 実施状況の記録 A IM 維持改善フェーズ 2 1IM 改善策実施 2 是正予防措置の実施 3 実施処置の伝達 4 改善目標の達成申請予備審査本審査 IM 認証取得 20 Copyright NPO 東京 ITC 8

9 IM 文書体系ポリシー IM 文書実施記録等関連規程マニュアルにおけるセキュリティ関連事項実施記録情報セキュリティ方針 IM 構築稟議書 IM 構築社内通達情報セキュリティ基本方針情報セキュリティ方針書情報システム関連規程情報セキュリティ基本規程 IM 適用範囲規程書情報システム構築規程情報システム取得開発規程各種申請書基本方針文書規程 IM 適用宣言書物理環境的セキュリティ管理規程入退出管理記録外部サービス規程契約書 LA スタンダード情報システム運用規程基幹システム運用規程情報システム運用記録情報セキュリティ対策規程リスク対応計画書アクセスログ管理策別目標有効性評価表利用者 ID 管理基準利用者 ID 申請書ユーザ認証基準特権パスワード管理台帳情報セキュリティ委員会規程委員辞令ウィルス対策基準委員会議事録バックアップ基準バックアップ記録マネジメントレビュー規程レビュー議事録暗号化管理規程セキュリティ事象対応規程セキュリティ事象事故報告書情報システム利用規程情報資産調達規程情報資産購入申請書緊急時異常時対応規程基幹システム利用規程基幹システム利用申請書 OAシステム利用規程事業継続計画規程グループウェア等利用規程グループウェア等利用申請書安全管理規程適用法令規程情報システム維持規程変更管理規程 IM 教育規程教育計画書情報システム保守規程保守報告書教育実施報告書ネットワーク管理規程社内ネットワーク管理規程ネットワーク監視報告書 IM 内部監査規程監査計画書外部ネットワーク利用規程監査実施報告書是正処置報告書業務関連規程 IM 文書記録管理規程規程文書一覧就業規則罰則規程誓約書 ( 社員 ) 記録帳票一覧人的セキュリティ対策規程誓約書 ( 外部 ) 職務規程職務定義書情報セキュリティ対策実施手順プロシジャー各種業務マニュアル個別業務別マニュアル各種手順書情報資産管理手順書情報資産調査票 / 台帳外注購買管理規程外部委託規程外部委託契約書情報資産目録外部委託先選定基準秘密保持契約書リスクマネジメント手順書リスク管理票残留リスク一覧個人情報保護関連規程各種規程細則その他社内規定社内稟議規程稟議書 Copyright NPO 東京 ITC 9

10 IM 構築の推進体制 ( 例 ) 1 代表者による役員クラスの任命代表者統括管理者事務局を支援する情報セキュリテイ統括管理者東京 ITC 2 情報セキュリティ統括管理者が委員会を立上げ 3 各部門の代表者をセキュリティ管理者として委員に任命情報セキュリティ委員会 4 セキュリティ実務を担当するメンバーを任命構築と運用を担当情報セキュリティ委員会事務局 ( 情報セキュリティ推進 G) 情報システム部営業部門生産部門経理部総務部 Copyright NPO 東京 ITC 10

11 付 IM 認証基準 ver.2 から IO27001 への変更ポイント項目 IO27001 における要求事項影響適用宣言書の見直し j)2) 現在実施されている管理目的と管理策を明らかにすること適用宣言書の選択管理策に実施状況を追記未実施の理由と予定の追記リスクマネジメントの見直し c)2) 管理策の有効性評価 d c d)5) g) 7.2.f) 7.3.e) リスクアセスメントの方法は比較可能で再現可能であること管理策を実施するだけでなく管理策の有効性の評価とその監視測定が加わったリスクマネジメント手順の明文化手順書の版管理作業結果との紐付け管理策の有効性についての評価基準評価方法管理目標監視測定方法の設定運用有効性評価を容易にする管理策のグルーピング Copyright NPO 東京 ITC 11

12 項目 IO27001 における要求事項影響セキュリティ事象の監視 a)4) A 第三者が提供するサービスの管理手順見直し A10.2 全般セキュリティ事故事件の予兆としてのセキュリティ事象を検出し予防すること外注委託先の管理の強化要請によりアウトソーシング等のサービスレベル監視レビュー変更管理の手順を明確化すること上記の変更に伴う整合性追加記録体制の確立予防措置体制の確立セキュリティ事象の定義当該事象の監視方法明確化当該事象の判定基準値設定当該事象の監視記録提供サービスについてサービスのセキュリティ管理策サービスの定義 LA 明確化監視監査変更管理規定の見直し追加記録帳票の準備 Copyright NPO 東京 ITC 12

情報セキュリテイマネージメントシステム

情報セキュリテイマネージメントシステム IM 適合性評価認証取得支援コンサルティングのご提案平成 2x 年 xx 月 xx 日特定非営利活動法人東京 IT コーディネータ Copyright 2005-2014 NPO 東京 ITC 1 企業の社会的な責任の遂行とリスク対応 ( CR:Coporate ocial Responsibility ) 情報の共有適切な情報開示行政効果的な安全管理措置株主取引先法令社会的規範の遵守