IM 適合性評価 認証取得支援コンサルティングのご提案 平成 2x 年 xx 月 xx 日 特定非営利活動法人東京 IT コーディネータ Copyright 2005-2014 NPO 東京 ITC 1
企業の社会的な責任の遂行とリスク対応 ( CR:Coporate ocial Responsibility ) 情報の共有適切な情報開示 行政 効果的な安全管理措置 株主 取引先 法令 社会的規範の遵守 内部統制 J-OX 法 収益の獲得と納税 ステークホルダーとの関わりの中での活動 事業継続 委託先監督責任 コンプライアンスリスク ガバナンスリスク 株主利益の保護 有用な製品サービス提供 情報リスク CR 企業の社会的責任遂行 安全リスク ブランド構築 企業価値 の向上 誠実な顧客対応 人材リスク 環境リスク 市民活動支援 環境への配慮 顧客 個人情報漏洩防止機密情報流出防止 キャリアプラン 従業者監督責任 仕事 私生活両立への配慮 地域社会 従業員 Copyright 2005-2014 NPO 東京 ITC 2
情報セキュリティ リスクへの体系的対応 何を 何から どう守るか? 情報資産の運用と管理 企業情報営業 技術個人情報顧客 従事者情報インフラ 情報資産 脆弱性 ビジネスプロセス人組織アプリケーション建物 設備ネットワーク IT 機器 リスク発生 ( 損失発生 ) 情報資産漏洩 破壊 信用崩壊 人材流出 経営体制弱体化 技術資産流出設備資産破壊 脅威 1 故意による人為的脅威不正アクセス紛失 破壊改竄 漏洩悪用著作権侵害 不正使用プライバシー侵害コンピュータウィルス中傷 スパムメール 情報セキュリティ管理システムの確立 方針 責任権限の明確化 経営全般のリスクマネジメントの確立 効果的な管理策の実施 文書管理 / 記録管理の徹底等 総合的なセキュリティ対策を実施するための継続的な仕組み マネジメント対策 経営者関与リスク評価組織的対応人的対応物理的対応 技術対策 アクセスログ FireWall ウィルスソフト VPN L 2 事故 過失による偶発的脅威ハード障害ネットワーク障害ソフトバグ運用に関わる問題 3 災害等による環境的脅威地震 雷 火事 水害 停電等によるシステム停止 Copyright 2005-2014 NPO 東京 ITC 3
IM が求めていること 経営者の役割 Policy 情報セキュリティ方針の作成 経営資源投入 配分 Act 体制整備責任者選任 受容可能なリスク水準設定 見直し実施改善指示 違反 事件 事故の予防 違反 事件 事故の再発防止 ACT Plan リスク分析 評価 ( リスクアセスメント ) 改善意図説明と目標達成 Check 違反 事件 事故の監視管理策の有効性測定内部監査実施マネジメントレビューセキュリティ計画更新 内部監査 レビュー等 CHECK 情報セキュリティ統括管理者 CIO Do リスク対応計画 管理策の実施 DO PLAN IM の運用状況の記録と管理 情報資産の価値評価情報資産のリスク分析 評価リスク対応管理策などの選定適用宣言書の作成リスク対応計画作成 IM 運用マニュアル作成 文書 記録管理ルール 教育計画 要員の確保 Copyright 2005-2014 NPO 東京 ITC 4
IM 適合性評価制度 とは何か 2.IM の認証基準 1.IM の目的 IM 適合性評価制度は 国際的に整合性のとれた情報セキュリティマネジメントとしての第三者適合性評価制度であり 本制度は わが国の情報セキュリティ全体の向上に貢献するとともに 諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものです IM の認証基準 (Ver.2) は 英国規格 B 7799-2:2002 に基づき作成したもので 本基準で使用する用語 表現については JI X 5080:2002( 国際規格 IO/IEC 17799:2000) との互換性を確保しています 2005 年の IO/IEC27001 の発行に伴い これに対応して国内規格の JI Q 27001 が発行され IM 認証基準 (Ver.2) は 2006 年 5 月 20 日より JI Q 27001:2006 へ移行しました 3.IM の適用範囲 IM の適用範囲は 企業情報を大量にマネジメントする企業内の部署を限定して導入を図ることが可能です このため IM は P マークに比べ大企業や事業所の多い企業に向いています 4. 登録と維持および更新登録 Copyright 2005-2014 NPO 東京 ITC 5
情報セキュリティの規格動向 2001/4 2002/4 2003/4 2004/4 2005/4 2006/4 2007/4 2008/4 英国規格 B 7799-1 IO 化 国際規格 IO/IEC7799:2000 (2000/12) IO/IEC7799:2005 (2005/6/15) IO/IEC27002:2007 ( 予定 ) 1995 年 国内規格 JI X 5080:2002 (2002/2) JI Q 27002:2006 (2006/5/20) 英国規格 B 7799-2 1998 年 改訂 IM 認証基準 v0.8 IM 認証基準 v1.0 用語 表現 骨子 IM 認証基準 v2.0(2003/4) 初回審査終了 2006/11 廃棄 2007/11 JI Q 27001:2006 (2006/5/20) B7799-2:2002 (2002/9) 国際規格 IO/IEC27001:2005 (2005/10/15) プライバシー OECD8 原則 EU 指令 1995 経産省カ イト ライン 1997 マーク国内規格 JI Q 15001:1999 (1999/3) 部分施行 2003/5 個人情報保護法 (2005/4 全面施行 ) 経産省カ イト ライン 2004/10 JI Q 15001:2006 (2006/5/20) Copyright 2005-2014 NPO 東京 ITC 6
IM とプライバシーマークの比較 目的 適用方法 審査適用規格 認証取得状況 認証取得方法 維持更新 特色 IM 企業の情報資産全般のセキュリティマネジメントシステムの確立と運用 維持 情報資産をリスクから守る ソフト ハードを含む情報資産全般 業種に関係なく適用 組織の必要性に合わせて範囲を決定 IM 認証基準 ver.2.0(b7799) IO/IEC27001 発行に伴い JI Q 27001 が 5/20 に発行 2002 年スタート 2010/5 月現在 3523 事業者 適用範囲を限定し逐次範囲拡大可能 毎年サーベランス 3 年に 1 回更新 情報の安全を守る管理策を決定する手順が明確 B2B B2C ビジネスに有効 プライバシーマーク 個人情報の取扱について適切に扱っている事業者を認定 個人の権利 利益を守る 自ら保有する個人情報 個人情報をある程度保有する業種 全社単位の取り組みが前提 現在は JI Q 15001:1999 JI Q 15001:2006 が 5/20 に発行 1998 年スタート 2010/5 月現在 11437 事業者 事業者単位 ( 全社単位 ) に取得 2 年に 1 回更新 管理策を決定する手順が明確でない B2C ビジネスに有効 個人情報が多い企業で有効 Copyright 2005-2014 NPO 東京 ITC 7
Copyright 2005-2014 NPO 東京 ITC 8 IM の標準構築プロセストップの関与 IM 確立フェーズ 2~3 ヶ月スタート適用範囲境界定義 IM 導入 運用フェーズ 1~2 ヶ月認証取得予備審査登録審査 IM 監視 見直しフェーズ 1~2 ヶ月現状の情報資産 HW/W など 1 適用範囲定義書 2 情報セキュリティ基本方針 情報セキュリティ基本規程 4 情報資産目録 ( 台帳 ) 5 リスク評価シート 6 リスクアセスメント報告書 7 リスク対応シート 情報セキュリティ対策規程 8 残留リスク一覧 10 適用宣言書成果物例審査登録機関決定 1 2 3 4 5 6 7 8 1 I M 基本方針策定リスクアセスメント方針策定リスクの識別リスクの分析評価リスク対応選択肢評価リスク対応管理策選択導入運用の経営陣の許可残留リスク等の承認 9 リスク対応計画策定 2 3 4 5 6 7 リスク対応計画の実施運用状況の管理経営資源の管理セキュリティ事件事故対応管理目的 管理策の実施教育訓練の実施 1 監視手順確立と実施 2 7 4 5 6 I M の有効性見直しマネジメントレビュー実施セキュリティ計画更新残留リスク等の見直し I M 内部監査の実施 1 I M 改善策実施 2 3 4 是正 予防処置の実施実施処置の伝達 合意改善目標の達成 IM 維持 改善フェーズ 2~3 ヶ月 情報資産管理手順書 リスクマネジメント手順書 情報セキュリティ対策基準 1 リスク対応計画書 情報セキュリティ運営体制案 事業継続計画書 5 情報セキュリティ教育 訓練計画書 情報セキュリティ教育 訓練報告書 6 情報セキュリティ運用状況報告書 8 情報セキュリティ事件 事故報告書 情報セキュリティ教育 訓練手順書 IM 文書管理手順書 その他手順書手順書例 5 内部監査計画書 内部監査実施報告書 6 マネジメントレビュー議事録 7 セキュリティ計画改訂版 8IM 実施報告書 内部監査手順書 内部監査チェックリスト 運営委員会実施手順 1 改善計画 / 実施報告書 2 是正 予防処置報告書 P J 準備 IO27001 ベース ( 改 1) A P D C 維持審査更新審査適用宣言書の作成 10 有効性測定方法規定 8 3 管理策の有効性測定 8 I M 実施状況の記録
作業スケジュール例 作業項目 PJ 準備 IM 確立フェーズ 導入運用 監視 見直し 維持改善フェーズ 回数 フェーズ 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 I 準備フェーズ 1 1 概略ヒヤリングと全体計画作成 2IM 導入プロジェクトの編成 3PJキックオフ & 情報セキュリティセミナ P IM 確立フェーズ 11 1 適用範囲定義 2IM 基本方針策定 3リスクアセスメント方針策定 4リスクの識別 5リスクの分析評価 6リスク対策選択肢評価 7リスク対応管理策選択 手順書作成 8 残留リスク等の承認 9IM 導入運用の経営陣の許可 10 適用宣言書の作成 D IM 導入 運用フェーズ 3 1リスク対応計画策定 2リスク対応計画の実施 3 管理目的 管理策の実施 4 有効性測定方法の規定 5 教育訓練の実施 6 運用状況の管理 7 経営資源の管理 8セキュリティ事件 事故対応 C IM 監視 見直しフェーズ 3 1 監視手順確立と実施 2IMの有効性見直し 3 管理策の有効性測定 4 残留リスク等の見直し 5IM 内部監査の実施 6マネジメントレビューの実施 7セキュリティ計画更新 8IM 実施状況の記録 A IM 維持 改善フェーズ 2 1IM 改善策実施 2 是正予防措置の実施 3 実施処置の伝達 4 改善目標の達成 申請 予備審査 本審査 IM 認証取得 Copyright 2005-2014 NPO 東京 ITC 920
適用範囲の決定の考え方 事業 組織 所在地 資産 技術 本社ビル 事業活動特色 全社 顧客情報 システム技術 業務上の要件 特定の事業部 データセンター 個人情報 システム構成 法的規制 特定の一部門 工場 社員情報 ネットワーク構成 契約上の要件 特定のサービス 技術情報 情報機器 など など など など など 守るべき事業 業務 守るべき情報資産 利害関係者に信頼を与えるように設計する 5つの要素を切り口に適用範囲を決める 取得目的 取得目標 取得期間 取得体制 Copyright 2005-2014 NPO 東京 ITC 10
情報セキュリテイ管理システム構築の推進体制 ( 例 ) 1 代表者による役員クラスの任命 2 情報セキュリティ統括管理者が委員会を立上げ 3 各部門の代表者をセキュリティ管理者として委員に任命 代表者 情報セキュリテイ統括管理者 (CIO) 情報セキュリティ委員会 外部コンサル ( 東京 ITC) 統括管理者 事務局を支援する 4 セキュリティ実務を担当するメンバーを任命 構築と運用を担当 情報セキュリティ委員会事務局 ( 情報セキュリティ推進 G) 情報システム部 営業部門 生産部門 経理部 総務部 Copyright 2005-2014 NPO 東京 ITC 11
情報セキュリティ文書体系 情報セキュリティ とは情報の機密性 完全性 可用性を保つことであり このセキュリティに対する考え方 ( ポリシー ) を明文化し 全社員で共有する セキュリティポリシー スタンダード ポリシー情報セキュリティ方針 情報セキュリティ対策規程 情報セキュリティへの基本的な考え方を宣言し 情報セキュリティを考える上でのよりどころとする 基本方針文書と基本規程で構成 情報セキュリティ管理上で実施すべき基本的な対応策を指針として示す 事業部門は 事業推進上の固有の要求事項に応じて 補完 強化する プロシジャー 情報セキュリティ実施手順ガイドライン 情報セキュリティ管理を実施する上で参照すべき手順書 ガイドライン 社内関連規定 事業部門は 必要に応じて個別のガイドラインを作成し 合わせて運用する 全社共通事項 部門補完 強化 Copyright 2005-2014 NPO 東京 ITC 12
IM 文書体系 ポリシー IM 文書実施記録等関連規程 マニュアルにおけるセキュリティ関連事項実施記録 情報セキュリティ方針 IM 構築稟議書 IM 構築社内通達 情報セキュリティ基本方針 情報セキュリティ方針書 情報システム関連規程 情報セキュリティ基本規程 IM 適用範囲規程書 情報システム構築規程 情報システム取得 開発規程 各種申請書 基本方針文書規程 IM 適用宣言書 物理 環境的セキュリティ管理規程 入退出管理記録 外部サービス規程 契約書 LA スタンダード情報システム運用規程基幹システム運用規程情報システム運用記録情報セキュリティ対策規程リスク対応計画書アクセスログ 管理策別目標 有効性評価表 利用者 ID 管理基準 利用者 ID 申請書 ユーザ認証基準 特権パスワード管理台帳 情報セキュリティ委員会規程 委員辞令 ウィルス対策基準 委員会議事録 バックアップ基準 バックアップ記録 マネジメントレビュー規程 レビュー議事録 暗号化管理規程 セキュリティ事象対応規程 セキュリティ事象事故報告書 情報システム利用規程 情報資産調達規程 情報資産購入申請書 緊急時 異常時対応規程 基幹システム利用規程 基幹システム利用申請書 OAシステム利用規程 事業継続計画規程 グループウェア等利用規程 グループウェア等利用申請書 安全管理規程 適用法令規程 情報システム維持規程 変更管理規程 IM 教育規程 教育計画書 情報システム保守規程 保守報告書 教育実施報告書 ネットワーク管理規程 社内ネットワーク管理規程 ネットワーク監視報告書 IM 内部監査規程 監査計画書 外部ネットワーク利用規程 監査実施報告書是正処置報告書 業務関連規程 IM 文書 記録管理規程 規程文書一覧 就業規則 罰則規程 誓約書 ( 社員 ) 記録帳票一覧 人的セキュリティ対策規程 誓約書 ( 外部 ) 職務規程職務定義書情報セキュリティ対策実施手順プロシジャー各種業務マニュアル個別業務別マニュアル各種手順書 情報資産管理手順書 情報資産調査票 / 台帳 外注 購買管理規程 外部委託規程 外部委託契約書 情報資産目録 外部委託先選定基準 秘密保持契約書 リスクマネジメント手順書 リスク管理票残留リスク一覧 個人情報保護関連規程 各種規程 細則 その他社内規定社内稟議規程稟議書 Copyright 2005-2014 NPO 東京 ITC 13
NPO 法人東京 ITC が提案する取得支援作業 お客様の 顧客満足度向上マネジメント を支援 ( コンプライアンス経営の確立 ) 標準コンサルティング テンプレート活用効率性 原則複数名担当制信頼性 最後まで徹底指導完全性 プロジェクト管理確実性 守秘契約堅持安全性 コンサルティング ( オプション ) NPO 法人東京 ITC 実効性のある P マーク &IM 認証 取得支援 支援実績 P マーク : 約 20 社 IM:5 社 個別支援作業 / アフターフォロー調査 ヒヤリング 教育 監査 研修 ( オプション ) 現場へのスムースな導入リスク最小化提案 導入企業における人材育成組織定着 みずほ銀行 BI など有力企業との提携 Copyright 2005-2014 NPO 東京 ITC 14