Download presentation
Presentation is loading. Please wait.
Published byせい さかど Modified 約 8 年前
1
情報セキュリティ 第13回:2005年7月8日(金)
2
2 本日学ぶこと 組織におけるセキュリティ セキュリティポリシー 規格・制度 コンピュータ犯罪を取り締まる法律 個人情報保護法
3
3 セキュリティポリシー セキュリティポリシーとは? 組織の情報資産を守るための方針や基準を明文化したもの あるとどうなる? 情報セキュリティレベルの向上 セキュリティ対策の費用対効果の向上 対外的な信頼性の向上 何を書く? 情報セキュリティに関する組織の長の方針・考え 適切な情報セキュリティを確保・維持するために遵守すべ きルール
4
4 セキュリティポリシーの基本構成 情報 セキュリティ 基本方針 情報セキュリティ 対策基準 情報セキュリティ 対策実施手続き,規定類 詳細 概要 Procedure Standard Policy
5
5 セキュリティポリシーをだれが作る?どう書く? セキュリティポリシー策定担当者の例 情報システム部門の責任者 総理部門・法務部門・監査部門の責任者 人事部門・人材育成部門の責任者 組織内システム管理者,組織内ネットワーク管理者 セキュリティポリシー策定の注意点 ポリシーを策定する範囲を明確にする 適用対象者を明確にする 目的や罰則を明確にする 運用を意識して,実現可能な内容にする
6
6 情報セキュリティに関する規格・制度:背景 なぜ規格や制度が必要? 一体どこまでコストをかけて,セキュリティ対策を実施す ればいいのか? 自分の組織の情報セキュリティの水準は,同業者や世間一 般と比較してどの程度なのだろうか? 情報セキュリティの水準を客観的に評価するための基準や 制度があればいい!
7
7 規格・制度の例 ISO/IEC 15408 (JIS X 5070) IT関連製品のセキュリティ品質を評価・認証 プライバシーマーク制度 (JIS Q 15001) 企業における個人情報保護措置の適切性を評価・認定 ISO/IEC 17799 (BS7799, JIS X 5080, ISMS) 情報セキュリティマネジメントの適切性を評価・認定 ISO 9000 (ISO 9001:2000, JIS Q 9001:2000) 品質マネジメントシステム ISO 14001 (JIS Q 14001:1996) 環境マネジメントシステム
8
8 ISMS ( Information Security Management System ) 組織の情報マネジメント体制を維持管理していくための 管理文書・管理体制・実施記録等からなる一連の仕組み 国内の情報セキュリティマネジメントのデファクトスタ ンダード Plan-Do-Check-Act のサイクル Plan: 情報セキュリティ対策の計画・ 方針・目標などを策定 Do: 計画に基づいて対策を実施 Check: 対策の実施・運用状況を 点検・監視 Act: 対策の適切性について評価・ 是正処置 P D C A やりっぱなしではいけな い
9
9 ISMS 適合性評価制度 評価希望事業者の申請により,日本情報処理開発協会 ( JIPDEC )が指定した審査登録機関が審査・認証する 予備審査(任意),文書審査,実地審査を受け,合格す れば認証される 認証後も,半年~1年ごとの継続審査,3年ごとの更新 審査がある
10
10 コンピュータ犯罪を取り締まる法律 電子計算機損壊等業務妨害(刑法第234条の2) コンピュータや電子データの破壊 コンピュータの動作環境面での妨害 電子計算機使用詐欺(刑法第246条の2) 財産権に関する不実の電子データを作成 財産権に関する偽の電子データを使用 不正アクセス行為の禁止等に関する法律(不正アクセス 防止法) 権限を持たない者がアクセス そのようなアクセスを助長 他人のパスワードを勝手に公開,販売 具体的な被害を与えていなくても処罰の対象になる
11
11 個人情報保護法 目的(第1条) 個人の権利と利益の保護 個人情報は,データ化した企業・組織のものではなく, 個人情報の本人のもの 高度情報通信社会における個人情報の有用性の配慮 企業・組織が,個人情報を 適切に管理・使用するため の方針を定める 完全性 機密性 個人情報 可用性
12
12 個人情報の例 氏名 生年月日,住所,居所,電話番号,メールアドレス 会社における所属や職位 電話帳や刊行物などで公表されている個人情報 名刺 電子化するしないに関わらず対象 施行前に収集した情報も対象 個人情報でないもの 法人などの団体に関する情報(企業の財務情報など) 役員氏名などは個人情報になり得る 特定の個人を識別できない形にした統計情報
13
13 個人情報取扱事業者 事業活動を行っていれば,個人でも法人でも非営利団体 でも任意団体でも対象となる 個人情報取扱事業者に該当しないもの 国の機関,地方公共団体,独立行政法人,独立地方行政法 人 同じ役割の別の法律がすでに施行 個人情報の数が,過去6か月で5000件以下の事業者 「法」には基づかないが,社会的な信頼を考えると,対 応しておくべきである
14
14 運用上の義務① 利用目的をはっきりさせ,本人の同意を得る. 利用目的は具体的に 利用目的・利用者が変更する場合も,事前に告知と同意を 適切な方法で個人情報を取得する. 子供から親の情報を聞き出すのは違法 名簿業者から買うのはもってのほか 個人情報は安全に管理する. アクセス制限やデータの暗号化も 委託してもよいが,管理・監督の責任を負う ノート PC や USB メモリに入れて,紛失することのないよ うに
15
15 運用上の義務② 本人からの依頼には適切に対処 開示・訂正・利用停止など 問い合わせ窓口を設置 本人確認も忘れずに 個人情報の破棄も細心の注意を払う. 紙 … シュレッダー,溶解処理 コンピュータ … 抹消用ソフトウェア,物理的な破壊 個人情報保護への取り組み プライバシーポリシー・個人情報保護規定を制定し, PDCA のサイクルで運用 プライバシーマークの取得
16
16 オプトアウト 「あらかじめ同意を得る」という原則(オプトイン)の 例外規定 第三者提供におけるオプトアウト(第23条第2項) 第三者への提供にあたり,あらかじめ本人に通知するか, 本人が容易に知り得る状態にしておき,本人の求めに応じ て第三者への提供を停止すること 目的・手段・対象のほか,本人の求めに応じて第三者へ の提供を停止することを明記しておく.
17
17 まとめ 組織のセキュリティ セキュリティポリシー,個人情報保護 だれのために実施する? 組織のため? 社会(対外的アピール)のため? 情報の持ち主のため?
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.