ページ

外出時の重要情報

外出時・出張時の重要情報

「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。

カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。

複数のサイトを回る出張もあれば、複数の客先を回る出張も有る。

(1)注意して、携行する。
(2)セキュリティパックを使って会社に送ってしまう。
(3)在宅勤務の場合は、とりあえず自宅に送るのだろうね。

出張時の情報管理は重要なテーマになりうる。ホテルのセキュリティ問題と同様。→これは別途考察。

過去 30 日間

  • 17799 4 リスクアセスメント及びリスク対応
    4.1 セキュリティリスクアセスメント これは規格本文(27001)のサマリーになっている感じ。 4.2.1c)以降。 4.2 セキュリティリスク対応 ここも同じだね。
  • 認証書の記載事項の確認
    [finding] 社名、住所、適用規格、対象人員 [cover] 4.2.1a)適用範囲
  • 17799 0.4 セキュリティリスクアセスメント
    体系的に行う。結果(主力)は識別されたセキュリティ要求事項となる。
  • プロセスベース審査
    プロセスベース審査の再考。 プロセスは相対的なものですが、今、相手にしている審査対象を1つのプロセスと見て審査することが出来る。プロセスのスーパーセット(上位概念)とサブセット(下位概念)の理解も必要。IDEF0?の発想で捕らえれば全部共通になる。 ISMSの観点でIDEF0を見...
  • A.13.2.3 証拠の収集
    「管理策」 インシデント後の法的処置がある場合は、証拠の収集、保全、提出を行う。 「解説」 インシデント毎に何を証拠として収集・保全するのか、予め決めておかないと対応できない。
  • 17799 0.7 重要な成功要因
    a)事業目的と基本方針の整合性 b)組織の文化に見合った取り組みと枠組み:これは難しい。所謂さじ加減だから、結果論でしか判断できない。 c)管理者層からの指示・関与 d)情報セキュリティへの理解 e)全員への普及 f)手引きの配布 g)資金 h)教育 i)インシデント管理プロセス...
  • 審査ノウハウ:現場審査
    審査ノウハウというほどのものではない。監査とか審査とか、あるいは現場診断とかを実施した場合に、「普通じゃないな」と感じる場面に遭遇する。そこでのやり方が他の現場で見てきたのとは多少違う場合です。 他の現場が、他部門であることもあれば、他社の場合もあります。多少違うのは当然ですが、...
  • 17799 0.8 組織固有の方針の開発
    規格の個々の箇条に対する組織の取り組みを対応表として用意することは有用。除外したもの、追加したもの。 適応宣言書の一歩前の資料になるかな。
  • |部署ではどのようなISMS教育が行われているか?
    各部署の部員が受ける教育の概要を問われる。 部員の構成を確認する。 指導的立場の人、内部監査担当、機密情報に触る人、一般部員、出入りする人・常駐する適用範囲外の人。 それぞれに求められる力量を確認する。 求める力量に対応した教育計画の存在を確認する。 実施状況を確認する。使ったテ...
  • A.08.1.1 役割及び責任
    「管理策」 ISMS上の役割を文書化しておくことって言って、これは社内規定でいいのかな? この管理策は手順の管理策だな。まず要件を明確にしておけと言っているだけ。要件は変わるものだから当然見直しの要素も含まれるでしょう。

過去 1 年間

  • 外出時の重要情報
    外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
  • 審査比較:経営者インタビュー
    経営者インタビューが審査の1項目に入るが、取って付けたような時間で馴染めない。 審査員A: 規格「5 経営陣の責任」の項目を、約1ページの内容を忠実に聞いてくる。事前にここを聞くと言っているから構わないけど、型どおりでつまらないし、事務局に聞いてよ言いたい。 チェックリ...
  • 6 情報セキュリティのための組織
    6.1 内部組織 6.1.1 情報セキュリティに対する経営陣の責任
  • A.12.4.2 システム試験データの保護
    「管理策」 試験データを管理しなさいと。 「解説」 情報漏えい事件が発生する可能性の大きいところです。サンプリング、マスキング、速やかな削除、アクセス管理など。 開発者からすると後ろ向きに見えるので手を抜くのもこの辺です。加えて試験作業はよく外注する部分でもあります。それがまた事...
  • リプラン@20210726
    > 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
  • A.12.3.1 暗号による管理策の利用方針
    「管理策」 暗号利用の方針を決めろ。と。 「解説」 これ単に方針を決めればいいのかな。方針自体の妥当性・合理性・必然性なども必要ですか。”我が方では暗号は使いません”って宣言するだけでもいいの?  一方で、使う気も無いのに(方針に関係なく)、外部サービスとか、購入したツールが使っ...
  • |適用範囲に変更はありましたか
    初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
  • A.12.4 システムファイルのセキュリティ
    「目的」 システムファイルのセキュリティ確保 つまらないね。
  • 情報の廃棄
    情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
  • A.12.3 暗号による管理策
    「目的」 情報の機密性、真正性、完全性を保護する。 「解説」 重要な情報は暗号を使え。

人気の投稿

  • 外出時の重要情報
    外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
  • 17799 2 用語及び定義
    規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
  • 情報の廃棄
    情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
  • リプラン@20210726
    > 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
  • |適用範囲に変更はありましたか
    初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
  • 審査比較:管理策
    管理策の審査は項目数が多いために工数がかかる。網羅性の確保と工数制約の狭間で扱いが難しい。 審査員A: 網羅性を重視し特別に時間を割りあてて審査する。現場でないと確認できないもののみ現場。 審査員B: 工数重視。現場/部門審査の中で管理策の幾つかを潰す。 A,Bの是非は難しい。初...
  • A.11.3.2 無人状態にある利用者装置
    帰る時はパソコンを仕舞う。とか? サーバー室のコンソール端末。サーバー室って結構いろいろな人が出入りするし。
  • リスク評価の基本
    リスク評価の基本が案外出来ていない。何故だろう。無理解な審査員、コンサルタントが普通の思考を阻害しているとしか思えない。 情報セキュリティにおけるリスクとは、情報セキュリティを喪失した時に発生する被害額の期待値。 情報が全く入っていないインストール前のパソコンなら、被害額はパソコ...
  • A.12.4 システムファイルのセキュリティ
    「目的」 システムファイルのセキュリティ確保 つまらないね。
  • A.15.1 法的要求事項の順守
    「目的」 法律違反回避でしょっ?