情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -

Slides:



Advertisements
Similar presentations
情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
Advertisements

情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
私情協 授業情報技術講習会 個人情報の取扱い 慶應義塾大学理工学部 山本 喜一 授業情報技術講習会 2 個人情報の定義 JIS Q : 1999 個人情報とは、個人に関する情報であって、 当該情報に含まれる氏名、生年月日その他の 記述、または個人別に付けられた番号、記号.
個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
1 個人情報保護について 弁護士法人龍馬 弁護士 舟木 諒,板橋俊幸. 情報化社会 □ 個人情報保護法の概要 2003 年(平成 15 年) 5 月 23 日成立, 2005 年(平成 17 年) 4 月 1 日全面施行。 ◆成立の背景 プライバシー侵害 国際上の問題 住民基本台帳問題 個人情報漏洩問題.
1 1.制度の理解と住民説明 平成 28 年 1 月 個人番号の利用開始(申請者等に対し、各種申請書類へ個人番号の記入を求め る等) このため、窓口担当者を含め関係業務に関わる職員は、住民等からの問合せに対応できるよう、 番号制度への理解を深める必要がある。 ※ マイナンバーホームページ(内閣官房 HP.
東北大学全学教育科目 情報基礎 A 担当:大学院 情報科学研究科 塩浦 昭義 1セメスター 木曜1,3講時 経済学部・法学部 第 1 回 オリエンテーション.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
情報モラルと著作権 道徳・特別活動・総合的な学習の時間. 目次  情報モラル 情報モラル  著作権 著作権  関連する Web ページの紹介 関連する Web ページの紹介.
情報セキュリティ 第13回:2007年7月13日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度, ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るため の方針や基準を明文化したものである.
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
第6章 インターネットと法律(後編) [近代科学社刊]
  IronKey セキュアデバイスWEBサイト 
情報セキュリティ読本 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
電子署名及び認証業務に関する法律 (概要)
今からでも間に合う! マイナンバー対策を最短で実現する方法 -奉行シリーズによるマイナンバー対応-
2016年度秋期 情報セキュリティマネジメント試験 対策講座のご案内
マイナンバー対策 実演セミナー 1 2 第一部 13:30~14:30 2015年7月21日(火) 第二部 14:40~15:40
Q q 情報セキュリティ 第13回:2006年7月14日(金) q q.
■「理工系学生向けの知的財産権制度講座」集中講義用カリキュラム(90分×6コマ)
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
【資料5】 条例の基本的な方向性について 平成28年8月30日 福岡市障がい者在宅支援課.
著作権.
情報セキュリティ読本 - IT時代の危機管理入門 -
IronKey セキュアデバイスWEBサイト
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
セキュリティ・チェックリスト解説 【5~10分】
パッケージソフトウェア利用コンピュータシステム構築委託契約書 パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約
情報セキュリティ読本 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
第6章 インターネットと法律(後編) [近代科学社刊]
ご提案資料 xxxxx株式会社 作成日:2016.xx.xx.
GDPRの適用開始に向けて 個人情報保護委員会事務局.
ニッセン WEB広告での個人情報取り扱い審査内容について
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
情報セキュリティ - IT時代の危機管理入門 -
情報セキュリティ - IT時代の危機管理入門 -
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
国際的な情報セキュリティへの取り組み 各国の対応とサイバー犯罪条約 インターネット時代のセキュリティ管理.
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
第1章 日本の統計制度 ー 経済統計 ー.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
2001.12.4 エルティ総合法律事務所所長弁護士 システム監査技術者 藤 谷 護 人
平成24年4月から 業務管理体制整備の届出が必要となります。 休止・廃止届を事前届出制にするなどの制度改正が併せて行われました。
サイバーセキュリティと法律.
情報セキュリティ - IT時代の危機管理入門 -
総合講義B:インターネット社会の安全性 第12回 権利の保護
コミュニケーションと ネットワークを探索する
地方公共団体オープンデータ推進ガイドラインの概要
パッケージソフトウェア利用コンピュータシステム構築委託契約書 パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
必要事項をご記入のうえ FAX:011-231-1078 宛にお送りください。
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報社会の安全と情報技術.
ご提案資料 xxxxx株式会社 作成日:2016.xx.xx.
情報スキル入門 第8週 情報倫理.
資料2 2 政府標準利用規約(1.0版)の見直し.
情報モラル06 情報 セキュリティ.
○ 大阪府におけるHACCP普及について S 大阪版 評価制度を設ける 大阪府の現状 大阪府の今後の方向性 《従来型基準》
個人情報に関する基本方針 基本方針 具体的な取り組み 相談体制
Presentation transcript:

情報セキュリティ読本 三訂版 - IT時代の危機管理入門 - (第6章 情報セキュリティ関連の法規と制度)

第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 情報セキュリティ関連制度

1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準ISO/IEC 27000シリーズ 第6章 1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準ISO/IEC 27000シリーズ 2) セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408 3) OECD情報セキュリティガイドライン

1) ISO/IEC 27000 シリーズ 情報セキュリティマネジメントの国際標準 ISO/IEC 27000:2009 概要と用語 第6章 > 1. 情報セキュリティの国際標準 1) ISO/IEC 27000 シリーズ 情報セキュリティマネジメントの国際標準 ISO/IEC 27000:2009 概要と用語 ISO/IEC 27001:2005 要求事項 ISO/IEC 27002:2005 実践のための規範 ISO/IEC 27003 導入と実施の手引き(策定中) ISO/IEC 27004 測定(策定中) ISO/IEC 27005:2005 リスクマネジメント :のあとの数字は、規格が発効した年を示しています。

BS7799からJIS Q 27001/27002 まで BS7799:1995 BS7799-1:1998 BS7799-2:1998 第6章 > 1. 情報セキュリティの国際標準 BS7799からJIS Q 27001/27002 まで BS7799:1995 1995年英国規格 1998年に2部構成化 (第1部:規範、第2部:仕様) BS7799-1:1998 BS7799-2:1998 BS7799-2:2002 ISO/IEC 17799:2000 ISO/IECの規格として 標準化 ISMS認証基準 JIS X 5080:2002 ISO/IEC 27001:2005 2002年JIPDECにより制定ISMS適合性評価制度発足 ISO/IEC 17799:2005 2005年10月発効 認証基準は ISO/IEC27001に移行 2005年6月発効 JIS Q 27001 としてJIS規格化 JIS Q 27002 としてJIS規格化 2006年5月発効 2006年5月発効 要確認

2) ISO/IEC15408 セキュリティ製品の評価認証のための国際標準 機能要件と保証要件の集大成 第6章 > 1. 情報セキュリティの国際標準 2) ISO/IEC15408 セキュリティ製品の評価認証のための国際標準 機能要件と保証要件の集大成 7段階の評価保証レベル(EAL)を定義 ISO/IEC15408→(JIS化)→JIS X 5070 ISO/IEC15408(CC)に基づいて「ITセキュリティ評価及び認証制度」が運用される 2008年4月以降に用いる基準は、CC V3.1 CC: Common Criteria ISO/IEC 15408を制定するもとになった共通基準

1992年、OECD(経済協力開発機構)により制定 OECD加盟国が尊重すべき情報セキュリティの基本方針 5年ごとに見直し 第6章 > 1. 情報セキュリティの国際標準 3) OECD情報セキュリティガイドライン 1992年、OECD(経済協力開発機構)により制定 OECD加盟国が尊重すべき情報セキュリティの基本方針 5年ごとに見直し 2002年には、米国同時多発テロの影響を受け、全面的に改正 参考)OECD 情報セキュリティガイドライン見直しに関する調査 http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html

2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 第6章 2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律  (不正アクセス禁止法) 3) 電子署名及び認証業務に関する法律  (電子署名法) 4) 個人情報の保護に関する法律  (個人情報保護法)

1) 刑法 1987年の改正で、コンピュータ犯罪を防止するための3法が追加 電子計算機損壊等業務妨害罪 電磁的記録不正作出及び供用罪 第6章 > 2. 情報セキュリティに関する法律 1) 刑法 1987年の改正で、コンピュータ犯罪を防止するための3法が追加 電子計算機損壊等業務妨害罪 電磁的記録不正作出及び供用罪 電子計算機使用詐欺罪  ・ コンピュータやデータの破壊や改ざんには  刑事罰が科せられる

2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 第6章 > 2. 情報セキュリティに関する法律 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 電気通信回線を通じて行われる不正アクセス犯罪を防止することが目的 不正アクセス行為と不正アクセスを助長する行為を処罰   【不正アクセス行為】 他人のIDやパスワードを無断使用し不正アクセスする 直接侵入攻撃 間接侵入攻撃 【不正アクセスを助長する行為】 他人のパスワードを許可無く他人に教える 参考)不正アクセス行為の禁止等に関する法律    http://www.ipa.go.jp/security/ciadr/law199908.html 

3) 電子署名及び認証業務に関する法律(電子署名法) 第6章 > 2. 情報セキュリティに関する法律 3) 電子署名及び認証業務に関する法律(電子署名法) 電子署名(ディジタル署名)に署名や押印と同じ効力を持たせることが目的 電子署名により、電子政府や電子商取引における情報の真正性を証明 電子署名と電子証明書を規定し、さらに、認証業務や認証事業者についても規定 参考)電子署名、認証関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm 

4) 個人情報の保護に関する法律(個人情報保護法) (1) 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (1) 個人情報を取り扱う事業者の遵守すべき義務を規定 個人情報 氏名、生年月日その他の記述により特定の個人の識別が可能な情報 本人の了解なしに個人情報の流用、売買、譲渡することを規制

4) 個人情報の保護に関する法律(個人情報保護法) (2) 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (2) 個人情報保護の基本原則を規定 適正な方法による取得 収集目的の範囲内での利用 漏えいを防ぐためのセキュリティ対策を実施する 等 2005年4月より本格施行 参考) 内閣府個人情報保護に関する法律のページ      http://www.5.cao.go.jp/seikatsu/kojin/index.html       分野別ガイドライン:経済産業分野      http://www.meti.go.jp/policy/it_policy/press/0005321/      

4) 個人情報の保護に関する法律(個人情報保護法) (3) 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (3) 個人情報保護の基本原則 利用目的による制限 適正な方法による取得 内容の正確性確保 安全管理措置の実施 透明性の確保

第6章 3. 知的財産を守る法律 1) 著作権法 2) 不正競争防止法

1) 著作権法 創造性のある思想や表現などの著作物や著作者を保護することが目的 著作者人格権と著作財産権に分けられる 第6章 > 3. 知的財産を守る法律 1) 著作権法 創造性のある思想や表現などの著作物や著作者を保護することが目的 著作者人格権と著作財産権に分けられる 著作者人格権  公表権、氏名表示権、同一性保持権 著作財産権  複製権、上演権、公衆送信権、口述権など

2) 不正競争防止法 トレードシークレットを保護することが目的 第6章 > 3. 知的財産を守る法律 2) 不正競争防止法 トレードシークレットを保護することが目的 トレードシークレット 著作権や商標権では保護されない、企業の重要な情報であるノウハウや営業秘密等 第三者がトレードシークレットを不正入手したり、不正使用することに対し、差止請求権、損害賠償請求権が認められる

4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連法という 迷惑メール(スパムメール)の規制が目的 第6章 4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連法という 特定商取引に関する法律(改正法) 特定電子メールの送信の適正化等に関する法律 迷惑メール(スパムメール)の規制が目的 2005年の改正→特定電子メールの範囲が拡大され、架空アドレス宛の送信が禁止 2008年の改正→あらかじめ同意したものに対してのみ送信が認められる「オプトイン方式」が導入 規定違反のメールを受信した際の連絡先 (財)日本データ通信協会(http://www.dekyo.or.jp) (財)日本産業協会 (http://www.nissankyo.or.jp)

5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 2) ITセキュリティ評価及び認証制度 3) 暗号モジュール試験及び認証制度 第6章 5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 2) ITセキュリティ評価及び認証制度 3) 暗号モジュール試験及び認証制度 4) プライバシーマーク制度 5) 情報セキュリティ監査制度 6) コンピュータウイルス及び不正アクセスに関する届出制度 7) 脆弱性関連情報に関する届出制度

第6章 > 5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 組織の情報セキュリティマネジメントシステム(ISMS)が基準に適合しているかどうかを第三者機関が客観的に評価する制度  認証基準は、JIS Q 27001(ISO/IEC 27001) (第6章 p.106参照) 参考) ISMS適合性評価制度      http://www.isms.jipdec.jp/

2) ITセキュリティ評価及び認証制度 ISO/IEC 15408 に基づき、セキュリティ製品やシステムを 第6章 > 5. 情報セキュリティ関連制度 2) ITセキュリティ評価及び認証制度 ISO/IEC 15408 に基づき、セキュリティ製品やシステムを 評価・認証する制度。認証機関はIPA http://www.ipa.go.jp/security/jisec

第6章 > 5. 情報セキュリティ関連制度 3) 暗号モジュール試験及び認証制度 暗号モジュールが、JIS X 19790 に示されたセキュリティ要求事項に適合しているかどうかを第三者機関が客観的に試験・認証する制度  参考) CRYPTREC      http://cryptrec.go.jp/

4) プライバシーマーク制度 個人情報保護の取り組みが適切であると認められた事業者に、それを認定するプライバシーマークの使用を許可する制度 第6章 > 5. 情報セキュリティ関連制度 4) プライバシーマーク制度 個人情報保護の取り組みが適切であると認められた事業者に、それを認定するプライバシーマークの使用を許可する制度 「 JIS Q 15001 個人情報保護に関するマネジメントシステムー要求事項 」に適合しているかどうかを検証  参考) プライバシーマーク制度      http://privacymark.jp/

5) 情報セキュリティ監査制度 監査人が、組織の情報セキュリティ対策の状況を客観的に検証・評価し、保証及び助言を行う制度 第6章 > 5. 情報セキュリティ関連制度 5) 情報セキュリティ監査制度 監査人が、組織の情報セキュリティ対策の状況を客観的に検証・評価し、保証及び助言を行う制度 情報セキュリティ管理基準と情報セキュリティ監査基準が策定されている 情報セキュリティ監査サービスを行う企業等を登録する情報セキュリティ監査企業台帳がある 参考)情報セキュリティ監査制度     http://www.meti.go.jp/policy/netsecurity/audit.htm 

6) コンピュータウイルス及び不正アクセスに関する届出制度 第6章 > 5. 情報セキュリティ関連制度 6) コンピュータウイルス及び不正アクセスに関する届出制度 コンピュータや不正アクセスの届出を受け付ける制度 コンピュータウイルス対策基準およびコンピュータ不正アクセス対策基準に基づく(経済産業省制定) 届出の受付機関としてIPAが指定されている 参考)コンピュータウイルスの届出     http://www.ipa.go.jp/security/outline/todokede-j.html      不正アクセスの届出     http://www.ipa.go.jp/security/ciadr/

7) 脆弱性関連情報に関する届出制度 ソフトウェア製品やWebアプリケーションの脆弱性に関する情報の届出を受け付ける制度 第6章 > 5. 情報セキュリティ関連制度 7) 脆弱性関連情報に関する届出制度 ソフトウェア製品やWebアプリケーションの脆弱性に関する情報の届出を受け付ける制度 ソフトウェア等脆弱性関連情報取扱基準に基づく(経済産業省制定) 届出の受付機関としてIPAが指定されている 調整機関としてJPCERT/CCが指定されている 参考)脆弱性関連情報の届出     http://www.ipa.go.jp/security/vuln/report/ 

本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。   上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。   ・使用する方もしくは組織の名称   ・使用目的   ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。