PacSec Nov 6,7 2003 ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員 Kenneth Inkster CISSP, MCSE, BS7799 主任監査員 Richardは17年の経験、Kenは18年のIT経験を持つ。 6年間は情報セキュリティーの分野。
ISMS 情報セキュリティ管理システム ISO/IEC17799に基づいた国内標準 内容はBS7799とほぼ同じ セキュリティにおける10の分野 http://www.isms.jipdec.jp/ これが基本的にはBS7799とどう同じなのかを説明。 ここ日本での歴史を述べる。
ISO/IEC 17799 情報セキュリティフレームワーク セキュリティ組織 セキュリティ ポリシー 適合(コンプライアンス) 物理的および環境的セキュリティ システムの開発および保守 資産分類および管理 人的 セキュリティ 通信および運用管理 事業継続管理 アクセス制御 10の領域について復習し、それらの目的を詳しく述べる。 ここでは実際の例を挙げる。 セキュリティ組織 セキュリティ ポリシー Copyright SIDC KK 2000/2002 適合(コンプライアンス)
取り組み方法 情報セキュリティグループを設置 様々な部署からの代表による構成 資産の識別 それら資産に対するリスクを明確化 セキュリティコントロールによる危機管理 紙の上では見栄えが良いが、何から始めるのか? 大規模なセキュリティポリシーなどの実際の難しさの例を挙げる。 トレーニングの欠如、責任の所在が不明、上部管理職の言質がない、効果的セキュリティの目安が分からない、資産分類がされていない。
Privacy Mark ISO/IEC 17799 ISMS 顧客 内部監査 適合化への 圧力 将来の状況 ビジネス & IT 戦略 危機管理 セキュリティ ポリシー セキュリティ組織 資産分類および管理 人的セキュリティ 物理的および環境的 セキュリティ 通信および運用管理 アクセス制御 システムの開発および保守 事業継続管理 適合(コンプライアンス) Privacy Mark ISO/IEC 17799 ISMS 顧客 内部監査 Privacy markなどの圧力があるかもしれない。 そのような場合、大規模な計画を立てる前にリスク管理の視点からすべてを評価する必要がある。
危機管理 ISMS をガイドラインとした管理策 最も費用対効果の高い管理法を選ぶ ポリシーの策定 指針にすぎず、貴社の組織には不要かもしれない。 認証を得るには多くの手間がかかる。 ISO9001, ISO14001などの他のISO標準規格。
技術管理 経営管理 Core(中核) 最適の管理法を見つける。 三つの分野の組み合わせである。 運用管理
どこに費用をかけるか? 500 1000 貴社の情報セキュリティのリスク査定に、ふさわしいビジネス実務を適用する。
ISMSに基づく ポリシー戦略を作成 標準規格 ガイドライン (最低/最高の必要条件) 統合化されたセキュリティ インフラ 企業 ポリシー Main Frame AS/400 Client Server Solaris Windows ISMSに基づく ポリシー戦略を作成 文書を管理するためのポリシーと文書構造を作成する。
インフラのテスト インフラの評価 利点 サポートの確立 プロジェクト計画の作成 セキュリティ委員会の設置 セキュリティへの認識が高まる セキュリティについての対話を改善 参加を奨励 インフラのテストには多くの利点がある。
ISO/IEC 17799 情報セキュリティの枠組み セキュリティ組織 セキュリティ ポリシー 適合(コンプライアンス) 物理的および環境的セキュリティ 通信および運用管理 資産の分類および管理 システム開発および保守 人的セキュリティ 事業継続管理 アクセス制御 これはほとんどの組織の典型である。 なぜ弱点なのかを例を挙げる。 異なるグループ間から始まる法人について説明。 セキュリティ組織 セキュリティ ポリシー Copyright TMS KK 2000/2002 適合(コンプライアンス)
アプローチ 標準規格 ガイドライン (最低/最高の必要条件) 統合化されたセキュリティ インフラ 企業 ポリシー AS/400 Client 適合(コンプライアンス) セキュリティ ポリシー セキュリティ組織 ISO/IEC 17799 情報セキュリティの枠組み 資産分類および管理 人的セキュリティ 物理的および環境的セキュリティ 通信および運用管理 アクセス制御 システム開発および保守 事業継続管理 Copyright TMS KK 2002 アプローチ 企業 ポリシー 標準規格 ガイドライン (最低/最高の必要条件) 統合化されたセキュリティ インフラ Main Frame AS/400 Client Server Solaris Windows 貴社のポリシーをインフラに適用する。
プロジェクト計画 リスクを低減するための計画を作成 より大きな変更を必要とする分野とそうでない分野がある 管理は技術、運用、及び経営のバランス 計画を実用に移して監視 管理には評価尺度を含めるべき インフラの評価から、リスク低減のためのプロジェクト計画を作成できる。
解決法はひとつでない 多層にわたって実現 ハードウェア ソフトウェア ポリシー プロセス 人及びトレーニング
認証を受けているのは? 2002年10月 http://www.xisec.com/Register.htm
認証を受けているのは? 2003年10月 http://www.xisec.com/Register.htm
認証を受けた国内企業 富士ゼロックス株式会社 株式会社 日立製作所 NTT コミュニケーションズ株式会社 シャープ株式会社 株式会社 日立製作所 NTT コミュニケーションズ株式会社 シャープ株式会社 東芝 IS 株式会社 (東京)
質問