ページ

3 規格の構成

3.1 箇条の構成

全部で11か条。セキュリティカテゴリーって何かな。目的に相当するものかな。
  1. 基本方針(1)
  2. 組織(2)
  3. 資産(2)
  4. 人的セキュリティ(3)
  5. 物理的環境的セキュリティ(2)
  6. 通信及び運用の管理(10)
  7. アクセス制御(7)
  8. 情報システムの取得・開発・保守(6)
  9. インシデント管理(2)
  10. 事業継続管理(1)
  11. 遵守(順法?)(3)
全部で(39)カテゴリ。

3.2 セキュリティカテゴリ

以下を含む。
  1. 管理目的
  2. 管理策

過去 30 日間

  • A.12.4.2 システム試験データの保護
    「管理策」 試験データを管理しなさいと。 「解説」 情報漏えい事件が発生する可能性の大きいところです。サンプリング、マスキング、速やかな削除、アクセス管理など。 開発者からすると後ろ向きに見えるので手を抜くのもこの辺です。加えて試験作業はよく外注する部分でもあります。それがまた事...
  • 外出時の重要情報
    外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
  • 審査比較:経営者インタビュー
    経営者インタビューが審査の1項目に入るが、取って付けたような時間で馴染めない。 審査員A: 規格「5 経営陣の責任」の項目を、約1ページの内容を忠実に聞いてくる。事前にここを聞くと言っているから構わないけど、型どおりでつまらないし、事務局に聞いてよ言いたい。 チェックリ...
  • 6 情報セキュリティのための組織
    6.1 内部組織 6.1.1 情報セキュリティに対する経営陣の責任
  • 管理策の審査
    管理策は133項目もある。その殆どがリスク対応として採用されている。この審査をどのように行うか。 方法A: 管理策項目をカテゴリー分けして、カテゴリー毎に担当主管部門の審査を行う。管理策項目に対する網羅性を確保できる。 現場審査は部門に対する網羅性の観点で計画を組む。 長所-網羅...
  • 自己矛盾
    ISMSの規格を久し振りに手にしたが、毎回思うことは、この規格は自己矛盾していないかと言う事。 ISMSの運用とISMSの監視が別項目になっている。運用には監視も含むので、運用を別立てにされると論理エンジンがエラーを起こしてしまう。ISMSの見直しも同様だ。 運用には狭義の運用と...
  • 4.3.2d)と4.3.2f)の違い
    可用性の観点で違いがいまいち理解できない。
  • プロセスベース審査
    管理策の当て方: ・主プレイヤー(主)はルールを作る。機能別管理をする。 ・客プレイヤー(客)はルールを受け入れて実施する。 A.5:(主) 経営者、 事務局 。(客)一般従業員。取引先。 A.6:(主)経営者、 事務局 。(客)部門の長。 A.7:(主) 事務局 。(客)一般従...
  • A.05.1.2 情報セキュリティ基本方針のレビュー
  • 基本方針は何故一枚ものか
    基本方針は何故一枚ものか不思議に思う。 周知するには何ページもあったら無理でしょうと悪魔がささやいたから。悪魔が誰かは誰でも知っている。だから中途半端な舌足らずの、はっきり言って出来損ないの方針書が出来上がってしまう。周知する工夫と、明確な方針を作ることは全く別問題。言うべきこと...

過去 1 年間

  • A.12.4.2 システム試験データの保護
    「管理策」 試験データを管理しなさいと。 「解説」 情報漏えい事件が発生する可能性の大きいところです。サンプリング、マスキング、速やかな削除、アクセス管理など。 開発者からすると後ろ向きに見えるので手を抜くのもこの辺です。加えて試験作業はよく外注する部分でもあります。それがまた事...
  • リプラン@20210726
    > 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
  • |適用範囲に変更はありましたか
    初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
  • 外出時の重要情報
    外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
  • A.12.3.1 暗号による管理策の利用方針
    「管理策」 暗号利用の方針を決めろ。と。 「解説」 これ単に方針を決めればいいのかな。方針自体の妥当性・合理性・必然性なども必要ですか。”我が方では暗号は使いません”って宣言するだけでもいいの?  一方で、使う気も無いのに(方針に関係なく)、外部サービスとか、購入したツールが使っ...
  • A.12.4 システムファイルのセキュリティ
    「目的」 システムファイルのセキュリティ確保 つまらないね。
  • A.12.3 暗号による管理策
    「目的」 情報の機密性、真正性、完全性を保護する。 「解説」 重要な情報は暗号を使え。
  • 4.2.1a) 適用範囲
    4.2.1a) 適用範囲 適用範囲を少なくとも5つの観点から情報セキュリティとの関連で特徴を明らかにすること; ①事業、②組織、③ロケーション、④資産、⑤技術 ①顧客やパートナー企業との関連、ビジネスプロセス、商品・サービスの観点から、ISMSの適用範囲を定義すること。 ②...
  • A.11.3.2 無人状態にある利用者装置
    帰る時はパソコンを仕舞う。とか? サーバー室のコンソール端末。サーバー室って結構いろいろな人が出入りするし。
  • A.15.1 法的要求事項の順守
    「目的」 法律違反回避でしょっ?

人気の投稿

  • 17799 2 用語及び定義
    規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
  • 情報の廃棄
    情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
  • 外出時の重要情報
    外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
  • リプラン@20210726
    > 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
  • |適用範囲に変更はありましたか
    初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
  • 審査比較:管理策
    管理策の審査は項目数が多いために工数がかかる。網羅性の確保と工数制約の狭間で扱いが難しい。 審査員A: 網羅性を重視し特別に時間を割りあてて審査する。現場でないと確認できないもののみ現場。 審査員B: 工数重視。現場/部門審査の中で管理策の幾つかを潰す。 A,Bの是非は難しい。初...
  • A.11.3.2 無人状態にある利用者装置
    帰る時はパソコンを仕舞う。とか? サーバー室のコンソール端末。サーバー室って結構いろいろな人が出入りするし。
  • リスク評価の基本
    リスク評価の基本が案外出来ていない。何故だろう。無理解な審査員、コンサルタントが普通の思考を阻害しているとしか思えない。 情報セキュリティにおけるリスクとは、情報セキュリティを喪失した時に発生する被害額の期待値。 情報が全く入っていないインストール前のパソコンなら、被害額はパソコ...
  • A.12.4 システムファイルのセキュリティ
    「目的」 システムファイルのセキュリティ確保 つまらないね。
  • A.15.1 法的要求事項の順守
    「目的」 法律違反回避でしょっ?