セキュリティのことを第1に考える訓練をしてみる。
何らかの事象(事態、状況、事件、事故、現象など)を捉えて、セキュリティ上の問題課題とその対応をクリアにする訓練。
事象を捉える視点、問題を捉える目線は、基本的にはISMS規格をベースにする。事象におけるセキュリティ問題を明らかにするために発するクエスチョンは規格項目番号を念頭において行わなければならない。
そのクエスチョンに対する回答はどのようなものが期待されるかも合わせて示さなければ役に立たないだろうが、審査員とコンサルタントでは踏み込みの度合いあるいはスタンスは変わってくるが、組織オーナーとして有用なものを示すことが必要。
◆1.プロセスの理解
事象の顛末、事業概要、業務概要をプロセスとして捉え理解する。この場合、プロセスモデルはIDEF0の手法が分かり易い。ICOMの4要素、プロセスオーナー~問題の所有者、目的~視点~問題の2要素。全部で6要素を理解する。時系列で、人、物、金、情報の流れを把握する。
◆2.セキュリティリスクの想定
プロセス理解の過程で、全てのセキュリティリスクの想定する。具体的には、プロセス概要の説明を受けながら、懸念されること、押さえで確認すべきことをリストする。
◆Q&A
当該プロセスで適切なセキュリティ上の管理策がとられているかどうかを質問する。ここは高等技術が要求される。セキュリティリスクの仮説に基づいてプロセスの詳細を聞きただす作業になるからだ。大きな塊のプロセスに漠然とリスク懸念をぶつけても、管理策の課題は拾えない。第1段階審査になってしまいます。
管理策のサンプリングチェックです。ここでは、全体(各セッション合計)としてカバーできていれば良いが、規格の大項目は全て網羅させて置きたい。
◆ベストプラクティスの用意
質問をして相手が正解を答えてくれれば良いが、規格を理解できていない場合は、或いは問題は理解していても方法論、解法を知らない場合は、適切な指針が必要。業界事例としてのベストプラクティスの提示が求められる。
登録:
投稿 (Atom)
過去 1 年間
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
経営者インタビューが審査の1項目に入るが、取って付けたような時間で馴染めない。 審査員A: 規格「5 経営陣の責任」の項目を、約1ページの内容を忠実に聞いてくる。事前にここを聞くと言っているから構わないけど、型どおりでつまらないし、事務局に聞いてよ言いたい。 チェックリ...
-
6.1 内部組織 6.1.1 情報セキュリティに対する経営陣の責任
-
「管理策」 試験データを管理しなさいと。 「解説」 情報漏えい事件が発生する可能性の大きいところです。サンプリング、マスキング、速やかな削除、アクセス管理など。 開発者からすると後ろ向きに見えるので手を抜くのもこの辺です。加えて試験作業はよく外注する部分でもあります。それがまた事...
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴... -
「管理策」 暗号利用の方針を決めろ。と。 「解説」 これ単に方針を決めればいいのかな。方針自体の妥当性・合理性・必然性なども必要ですか。”我が方では暗号は使いません”って宣言するだけでもいいの? 一方で、使う気も無いのに(方針に関係なく)、外部サービスとか、購入したツールが使っ...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
「目的」 情報の機密性、真正性、完全性を保護する。 「解説」 重要な情報は暗号を使え。
人気の投稿
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
帰る時はパソコンを仕舞う。とか? サーバー室のコンソール端末。サーバー室って結構いろいろな人が出入りするし。
-
管理策の審査は項目数が多いために工数がかかる。網羅性の確保と工数制約の狭間で扱いが難しい。 審査員A: 網羅性を重視し特別に時間を割りあてて審査する。現場でないと確認できないもののみ現場。 審査員B: 工数重視。現場/部門審査の中で管理策の幾つかを潰す。 A,Bの是非は難しい。初...
-
リスク評価の基本が案外出来ていない。何故だろう。無理解な審査員、コンサルタントが普通の思考を阻害しているとしか思えない。 情報セキュリティにおけるリスクとは、情報セキュリティを喪失した時に発生する被害額の期待値。 情報が全く入っていないインストール前のパソコンなら、被害額はパソコ...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
「目的」 法律違反回避でしょっ?