PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員

Slides:

Advertisements

Similar presentations

情報セキュリティ第１３回：２００５年７月８日（金）   . 2 本日学ぶこと組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.

Advertisements

身の回りの IT 情報科教育法後期 10 回 2004/12/18 太田剛. 目次 1. 最終提出の確認 2. ルータの説明 ( 先週の続き ) 3. 身の回りの IT 1/8 の授業は情報科教員の試験対策です。

1 会社名：氏名：日付：会社名：氏名：日付：. 2 内容企業のセキュリティ対策状況ユーザー管理の重要性ユーザー管理製品市場状況 Active Directory とは Active Directory 利用に最低限必要な準備ユーザー管理のご提案内容最初の取り組み：ユーザー情報の統合管理.

テスト環境の見直しで貴社の開発が劇的に変わる!! 納期や品質の向上の決め手は、テスト環境の最適化にあります。

情報セキュリティ第１３回：２００７年７月１３日（金）   . 2 本日学ぶこと組織におけるセキュリティ  セキュリティポリシー  規格・制度， ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法セキュリティポリシーとは，組織の情報資産を守るための方針や基準を明文化したものである.

当社の「品質マネジメントシステム」（ＱＭＳ）の今後の運用について

労働安全衛生マネジメントシステム OHSAS１８００１：２００７

佐藤周行（情報基盤センター/ 基盤情報学専攻）日本ベリサイン・コンサルティング部

《Ⅴ 解説》 35．監査調書様式体系の全体像【監査の基本的な方針】【詳細な監査計画】【リスク評価手続】【リスク対応手続の立案】

Anthony and Govindarajan Management Control Systems

セキュリティ・アーキテクチャに基づくＩＴ設計

情報セキュリティ西村和夫オープンキャンパス／模擬授業 2008年7月21日駒澤大学経営学部教授 1

Novell ZENworks Desktop Management Starter Campaign

SMART/InSightのセキュリティ機能と設計

Microsoft® UC&C向けデル導入計画

OJT研修「テスト実施、テスト設計の技術習得」日時：　８月２２日（月）　場所：　本社５階.

電子社会設計論第１１回 Electronic social design theory

ＩＴ投資がうまくいかなかった理由企業が悩んでいるのは、システム開発より「何をつくるか」と「どうやって効果を上げるか」ということ

OpenOffice.org日本ユーザー会/鎌滝雅久

研修の目的（教材の狙い）現場の負担軽減を図る放射線の専門家になる必要はない気持ちの負担に配慮

大谷経営労務管理事務所のＩＳＯ９００１認証取得について

スウェーデンの多国籍企業による環境経営総合政策学部四年井上まゆ.

ビジネスパターンに基づくクラウドシステムのサービスレベル設計

グループ研究１班第一章　経営戦略とは何か雨森彩大嶋健夫小沢博之.

ソフトウェア工学知能情報学部新田直也.

（別紙1）プロフェッショナルサービスの概要

ＩＳＯとドラッカーマネジメントの良いとこ取りセミナー

“顧客様に向かう真実な心” 내진랙… 耐震ラック 고객을 향한… “顧客様に向かう真実な心”

ネット時代のセキュリティ１（概要） 2SK　情報機器工学.

Borderless Networks 4 How to Sell: SBA

ライフエンディングサポートシステム提案先：ＣＳＩ葬儀社

パッケージソフトウェア利用コンピュータシステム構築委託契約書パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約

顧客「ISO9001」と「ISO22000」の違い ISO22000 ISO9001 リスクをなくす顧客満足食の安全性品質の差別化

構成管理構成管理とは､ソフトウェア開発に於ける成果物をある時点で凍結し、以降の変更を管理する事をいう

COBIT 5 エグゼクティブ・サマリー.

トラック医薬品品質システム（PQS）.

情報セキュリティ - IT時代の危機管理入門 -

要約きりん、まぐろ、ＰＢ.

ご提案資料ｘｘｘｘｘ株式会社作成日:2016.xx.xx.

ご提案資料ｘｘｘｘｘ株式会社作成日:2016.xx.xx.

経営情報論B　⑬ 情報技術と社会（第1１章）.

０２ｗ０７４川東裕也１．開業するにあたって２．どういった会社にするか３．企業経営に必要な人材

株式公開成功事例００２１．経緯ベンチャー立上から十数年経過し業績順調、もう一段上のステージを求めてIPOチャレンジ２．結果

ISO 9001:2015 The process approach

Cisco? 最先端の研究活動を支えるオープンかつセキュアな ICT 基盤を構築 Why 課題ソリューション結果～今後ユーザ事例

FPT Information System 概要

6. ポリシー Policies.

品質実施作業部会（Q-IWG）現状と最新情報

付属書Ⅰ.5 ハザード分析と重要管理点（HACCP）.

実行時情報に基づく OSカーネルのコンフィグ最小化

タイトル ○○株式会社～サブタイトル～社長の困りごときっかけは？こうして解決したトップの一言

データサイエンティスト人材像（1/2）（2014/6/9）

付属書Ⅰ.7 予備危険源分析（PHA）.

心理科学・保健医療行動科学の視点に基づく

ネットバンキングについて環境情報学部２年堀田貴之.

会社名ビジネスプランプレゼンテーション.

ネットワークをシンプルにするエンタープライズ NFV

第11回　内部統制.

第一回情報セキュリティ０５A1027 後藤航太.

～求められる新しい経営観～経済学部渡辺史門

エコアクション21で企業価値を高めることができます

資料10-1 エコアクション２１　事業概要.

ISO23950による分散検索の課題とその解決案に関する検討

上位構造共通マネジメントシステム規格 May 6,2012 YONETO QM OFFICE.

サイバー攻撃シミュレーションサービス Cisco Cyber Range （シスコサイバーレンジ）サービス

2013 品質誠実信頼性.

資格取得スキルⅠb (ITパスポート試験対策講座）

ご提案資料ｘｘｘｘｘ株式会社作成日:2016.xx.xx.

内部統制とは何か.

ベイジアンネットワークとクラスタリング手法を用いたWeb障害検知システムの開発

Presentation transcript:

PacSec Nov 6,7 2003 ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員 Kenneth Inkster CISSP, MCSE, BS7799 主任監査員 Richardは17年の経験、Kenは18年のIT経験を持つ。　6年間は情報セキュリティーの分野。

ISMS 情報セキュリティ管理システム ISO/IEC17799に基づいた国内標準内容はBS7799とほぼ同じセキュリティにおける10の分野 http://www.isms.jipdec.jp/ これが基本的にはBS7799とどう同じなのかを説明。　ここ日本での歴史を述べる。

ISO/IEC 17799 情報セキュリティフレームワークセキュリティ組織セキュリティポリシー適合（コンプライアンス）物理的および環境的セキュリティシステムの開発および保守資産分類および管理人的セキュリティ通信および運用管理事業継続管理アクセス制御 10の領域について復習し、それらの目的を詳しく述べる。　ここでは実際の例を挙げる。セキュリティ組織セキュリティポリシー Copyright SIDC KK 2000/2002 適合（コンプライアンス）

取り組み方法情報セキュリティグループを設置様々な部署からの代表による構成資産の識別それら資産に対するリスクを明確化セキュリティコントロールによる危機管理紙の上では見栄えが良いが、何から始めるのか? 大規模なセキュリティポリシーなどの実際の難しさの例を挙げる。　トレーニングの欠如、責任の所在が不明、上部管理職の言質がない、効果的セキュリティの目安が分からない、資産分類がされていない。

Privacy Mark ISO/IEC 17799 ISMS 顧客内部監査適合化への圧力将来の状況ビジネス & IT 戦略危機管理セキュリティポリシーセキュリティ組織資産分類および管理人的セキュリティ物理的および環境的セキュリティ通信および運用管理アクセス制御システムの開発および保守事業継続管理適合（コンプライアンス） Privacy Mark ISO/IEC 17799 ISMS 顧客内部監査 Privacy markなどの圧力があるかもしれない。そのような場合、大規模な計画を立てる前にリスク管理の視点からすべてを評価する必要がある。

危機管理 ISMS をガイドラインとした管理策最も費用対効果の高い管理法を選ぶポリシーの策定指針にすぎず、貴社の組織には不要かもしれない。　認証を得るには多くの手間がかかる。 ISO9001, ISO14001などの他のISO標準規格。

技術管理経営管理 Core（中核）最適の管理法を見つける。　三つの分野の組み合わせである。運用管理

どこに費用をかけるか? 500 1000 貴社の情報セキュリティのリスク査定に、ふさわしいビジネス実務を適用する。

ISMSに基づくポリシー戦略を作成標準規格ガイドライン (最低/最高の必要条件) 統合化されたセキュリティインフラ企業ポリシー Main Frame AS/400 Client Server Solaris Windows ISMSに基づくポリシー戦略を作成文書を管理するためのポリシーと文書構造を作成する。

インフラのテストインフラの評価利点サポートの確立プロジェクト計画の作成セキュリティ委員会の設置セキュリティへの認識が高まるセキュリティについての対話を改善参加を奨励インフラのテストには多くの利点がある。

ISO/IEC 17799 情報セキュリティの枠組みセキュリティ組織セキュリティポリシー適合（コンプライアンス）物理的および環境的セキュリティ通信および運用管理資産の分類および管理システム開発および保守人的セキュリティ事業継続管理アクセス制御これはほとんどの組織の典型である。　なぜ弱点なのかを例を挙げる。異なるグループ間から始まる法人について説明。セキュリティ組織セキュリティポリシー Copyright TMS KK 2000/2002 適合（コンプライアンス）

アプローチ標準規格ガイドライン (最低/最高の必要条件) 統合化されたセキュリティインフラ企業ポリシー AS/400 Client 適合（コンプライアンス）セキュリティポリシーセキュリティ組織 ISO/IEC 17799 情報セキュリティの枠組み資産分類および管理人的セキュリティ物理的および環境的セキュリティ通信および運用管理アクセス制御システム開発および保守事業継続管理 Copyright TMS KK 2002 アプローチ企業ポリシー標準規格ガイドライン (最低/最高の必要条件) 統合化されたセキュリティインフラ Main Frame AS/400 Client Server Solaris Windows 貴社のポリシーをインフラに適用する。

プロジェクト計画リスクを低減するための計画を作成より大きな変更を必要とする分野とそうでない分野がある管理は技術、運用、及び経営のバランス計画を実用に移して監視管理には評価尺度を含めるべきインフラの評価から、リスク低減のためのプロジェクト計画を作成できる。

解決法はひとつでない多層にわたって実現ハードウェアソフトウェアポリシープロセス人及びトレーニング

認証を受けているのは? 2002年10月 http://www.xisec.com/Register.htm

認証を受けているのは? 2003年10月 http://www.xisec.com/Register.htm

認証を受けた国内企業富士ゼロックス株式会社株式会社日立製作所 NTT コミュニケーションズ株式会社シャープ株式会社株式会社　日立製作所 NTT コミュニケーションズ株式会社シャープ株式会社東芝　IS　株式会社　（東京）

質問