情報セキュリティ活動を開始する時、最初の手がかりとなる有効な管理策は何かと考えなさい。と言うことのようだ。
法的要求事項から来る管理策が分かり易い。
a)個人情報及びデータの保護:
社員、取引先、顧客などの個人情報として何があって、どのような管理になっているか。
b)組織の記録の保護。
記録はもっと広範だから定義「組織の記録とは」で間違えると大変。
c)知的財産
有形のものは分かりやすい。
トップダウンで落とし込まれてくる管理策も出発点として分かりやすい。
a)基本方針
b)役割
c)行動規範・教育事項
d)業務ソフト開発要件
e)技術的脆弱性管理:これは対応する役割部門の設定が難しいが強いて言えば検査部門・監査部門になるか。そこの業務標準に収まるものだ。
f)事業継続管理:これも部門役割との対応が難しい。特に日本の企業には意識が根付いていない。だから情報部門だけでの事業継続管理になりがちだが機能しない。
g)事件事故の管理:各部門がばらばらに取り組んでいる。取り敢えずはそれを集めてみるか。
過去 1 年間
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴... -
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
-
今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
「目的」 法律違反回避でしょっ?
人気の投稿
-
「目的」 法律違反回避でしょっ?
-
セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
-
不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
-
今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
-
各部署の部員が受ける教育の概要を問われる。 部員の構成を確認する。 指導的立場の人、内部監査担当、機密情報に触る人、一般部員、出入りする人・常駐する適用範囲外の人。 それぞれに求められる力量を確認する。 求める力量に対応した教育計画の存在を確認する。 実施状況を確認する。使ったテ...