PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員

Slides:



Advertisements
Similar presentations
情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
Advertisements

身の回りの IT 情報科教育法 後期 10 回 2004/12/18 太田 剛. 目次 1. 最終提出の確認 2. ルータの説明 ( 先週の続き ) 3. 身の回りの IT 1/8 の授業は情報科教員の試験対策です。
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
テスト環境の見直しで貴社の開発が劇的に変わる!! 納期や品質の向上の決め手は、テスト環境の最適化にあります。
情報セキュリティ 第13回:2007年7月13日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度, ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るため の方針や基準を明文化したものである.
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
労働安全衛生マネジメントシステム OHSAS18001:2007
佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部
《Ⅴ 解説》 35.監査調書様式体系の全体像 【監査の基本的な方針】 【詳細な監査計画】 【リスク評価手続】 【リスク対応手続の立案】
Anthony and Govindarajan Management Control Systems
セキュリティ・アーキテクチャに基づく IT 設計
情報セキュリティ 西村 和夫 オープンキャンパス/模擬授業 2008年7月21日 駒澤大学 経営学部 教授 1
Novell ZENworks Desktop Management Starter Campaign
SMART/InSightのセキュリティ機能と設計
Microsoft® UC&C向けデル導入計画
OJT研修 「テスト実施、テスト設計の技術習得」 日時: 8月22日(月)  場所: 本社5階.
電子社会設計論 第11回 Electronic social design theory
IT投資がうまくいかなかった理由 企業が悩んでいるのは、システム開発より「何をつくるか」と「どうやって効果を上げるか」ということ
OpenOffice.org日本ユーザー会/鎌滝雅久
研修の目的(教材の狙い) 現場の負担軽減を図る 放射線の専門家になる必要はない 気持ちの負担に配慮
大谷経営労務管理事務所のISO9001認証取得について
スウェーデンの多国籍企業による 環境経営 総合政策学部四年 井上まゆ.
ビジネスパターンに基づく クラウドシステムのサービスレベル設計
グループ研究1班 第一章 経営戦略とは何か 雨森 彩 大嶋 健夫 小沢 博之.
ソフトウェア工学 知能情報学部 新田直也.
(別紙1)プロフェッショナルサービスの概要
ISOとドラッカーマネジメントの 良いとこ取りセミナー
“顧客様に向かう真実な心” 내진랙… 耐震ラック 고객을 향한… “顧客様に向かう真実な心”
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
Borderless Networks 4 How to Sell: SBA
ライフエンディングサポートシステム 提案先:CSI葬儀社
パッケージソフトウェア利用コンピュータシステム構築委託契約書 パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約
顧客 「ISO9001」と「ISO22000」の違い ISO22000 ISO9001 リスクをなくす 顧客満足 食の安全性 品質の差別化
構成管理 構成管理とは、ソフトウェア開発に於ける成果物をある時点で凍結し、 以降の変更を管理する事をいう
COBIT 5 エグゼクティブ・サマリー.
トラック 医薬品品質システム(PQS).
情報セキュリティ - IT時代の危機管理入門 -
要約 きりん、まぐろ、PB.
ご提案資料 xxxxx株式会社 作成日:2016.xx.xx.
ご提案資料 xxxxx株式会社 作成日:2016.xx.xx.
経営情報論B ⑬ 情報技術と社会(第11章).
02w074 川東 裕也 1.開業するにあたって 2.どういった会社にするか 3.企業経営に必要な人材
株式公開成功事例002 1.経緯 ベンチャー立上から十数年経過し業績順調、もう一段上のステージを求めてIPOチャレンジ 2.結果
ISO 9001:2015 The process approach
Cisco? 最先端の研究活動を支える オープンかつセキュアな ICT 基盤を構築 Why 課題 ソリューション 結果~今後 ユーザ事例
FPT Information System 概要
6. ポリシー Policies.
品質実施作業部会(Q-IWG) 現状と最新情報
付属書Ⅰ.5 ハザード分析と 重要管理点 (HACCP).
実行時情報に基づく OSカーネルのコンフィグ最小化
タイトル ○○株式会社 ~ サブタイトル ~ 社長の困りごと きっかけは? こうして解決した トップの一言
データサイエンティスト 人材像(1/2) (2014/6/9)
付属書Ⅰ.7 予備危険源分析 (PHA).
心理科学・保健医療行動科学の視点に基づく
ネットバンキングについて 環境情報学部2年 堀田貴之.
会社名 ビジネス プラン プレゼンテーション.
ネットワークをシンプルにする エンタープライズ NFV
第11回 内部統制.
第一回 情報セキュリティ 05A1027 後藤航太.
~求められる新しい経営観~ 経済学部 渡辺史門
エコアクション21で企業価値を高めることができます
資料10-1 エコアクション21  事業概要.
ISO23950による分散検索の課題と その解決案に関する検討
上位構造共通マネジメントシステム規格 May 6,2012 YONETO QM OFFICE.
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
2013 品質 誠実 信頼性.
資格取得スキルⅠb (ITパスポート試験対策講座)
ご提案資料 xxxxx株式会社 作成日:2016.xx.xx.
内部統制とは何か.
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
Presentation transcript:

PacSec Nov 6,7 2003 ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員 Kenneth Inkster CISSP, MCSE, BS7799 主任監査員 Richardは17年の経験、Kenは18年のIT経験を持つ。 6年間は情報セキュリティーの分野。

ISMS 情報セキュリティ管理システム ISO/IEC17799に基づいた国内標準 内容はBS7799とほぼ同じ セキュリティにおける10の分野 http://www.isms.jipdec.jp/ これが基本的にはBS7799とどう同じなのかを説明。 ここ日本での歴史を述べる。

ISO/IEC 17799 情報セキュリティフレームワーク セキュリティ組織 セキュリティ ポリシー 適合(コンプライアンス) 物理的および環境的セキュリティ システムの開発および保守 資産分類および管理 人的 セキュリティ 通信および運用管理 事業継続管理 アクセス制御 10の領域について復習し、それらの目的を詳しく述べる。 ここでは実際の例を挙げる。 セキュリティ組織 セキュリティ ポリシー Copyright SIDC KK 2000/2002 適合(コンプライアンス)

取り組み方法 情報セキュリティグループを設置 様々な部署からの代表による構成 資産の識別 それら資産に対するリスクを明確化 セキュリティコントロールによる危機管理 紙の上では見栄えが良いが、何から始めるのか? 大規模なセキュリティポリシーなどの実際の難しさの例を挙げる。  トレーニングの欠如、責任の所在が不明、上部管理職の言質がない、効果的セキュリティの目安が分からない、資産分類がされていない。

Privacy Mark ISO/IEC 17799 ISMS 顧客 内部監査 適合化への 圧力 将来の状況 ビジネス & IT 戦略 危機管理 セキュリティ ポリシー セキュリティ組織 資産分類および管理 人的セキュリティ 物理的および環境的 セキュリティ 通信および運用管理 アクセス制御 システムの開発および保守 事業継続管理 適合(コンプライアンス) Privacy Mark ISO/IEC 17799 ISMS 顧客 内部監査 Privacy markなどの圧力があるかもしれない。 そのような場合、大規模な計画を立てる前にリスク管理の視点からすべてを評価する必要がある。

危機管理 ISMS をガイドラインとした管理策 最も費用対効果の高い管理法を選ぶ ポリシーの策定 指針にすぎず、貴社の組織には不要かもしれない。 認証を得るには多くの手間がかかる。 ISO9001, ISO14001などの他のISO標準規格。

技術管理 経営管理 Core(中核) 最適の管理法を見つける。 三つの分野の組み合わせである。 運用管理

どこに費用をかけるか? 500 1000 貴社の情報セキュリティのリスク査定に、ふさわしいビジネス実務を適用する。

ISMSに基づく ポリシー戦略を作成 標準規格 ガイドライン (最低/最高の必要条件) 統合化されたセキュリティ インフラ 企業 ポリシー Main Frame AS/400 Client Server Solaris Windows ISMSに基づく ポリシー戦略を作成 文書を管理するためのポリシーと文書構造を作成する。

インフラのテスト インフラの評価 利点 サポートの確立 プロジェクト計画の作成 セキュリティ委員会の設置 セキュリティへの認識が高まる セキュリティについての対話を改善 参加を奨励 インフラのテストには多くの利点がある。

ISO/IEC 17799 情報セキュリティの枠組み セキュリティ組織 セキュリティ ポリシー 適合(コンプライアンス) 物理的および環境的セキュリティ 通信および運用管理 資産の分類および管理 システム開発および保守 人的セキュリティ 事業継続管理 アクセス制御 これはほとんどの組織の典型である。 なぜ弱点なのかを例を挙げる。 異なるグループ間から始まる法人について説明。 セキュリティ組織 セキュリティ ポリシー Copyright TMS KK 2000/2002 適合(コンプライアンス)

アプローチ 標準規格 ガイドライン (最低/最高の必要条件) 統合化されたセキュリティ インフラ 企業 ポリシー AS/400 Client 適合(コンプライアンス) セキュリティ ポリシー セキュリティ組織 ISO/IEC 17799 情報セキュリティの枠組み 資産分類および管理 人的セキュリティ 物理的および環境的セキュリティ 通信および運用管理 アクセス制御 システム開発および保守 事業継続管理 Copyright TMS KK 2002 アプローチ 企業 ポリシー 標準規格 ガイドライン (最低/最高の必要条件) 統合化されたセキュリティ インフラ Main Frame AS/400 Client Server Solaris Windows 貴社のポリシーをインフラに適用する。

プロジェクト計画 リスクを低減するための計画を作成 より大きな変更を必要とする分野とそうでない分野がある 管理は技術、運用、及び経営のバランス 計画を実用に移して監視 管理には評価尺度を含めるべき インフラの評価から、リスク低減のためのプロジェクト計画を作成できる。

解決法はひとつでない 多層にわたって実現 ハードウェア ソフトウェア ポリシー プロセス 人及びトレーニング

認証を受けているのは? 2002年10月 http://www.xisec.com/Register.htm

認証を受けているのは? 2003年10月 http://www.xisec.com/Register.htm

認証を受けた国内企業 富士ゼロックス株式会社 株式会社 日立製作所 NTT コミュニケーションズ株式会社 シャープ株式会社 株式会社 日立製作所 NTT コミュニケーションズ株式会社 シャープ株式会社 東芝  IS 株式会社  (東京)

質問