情報セキュリティ体制の確立
問 題 《情報セキュリティアドミニストレータ午後対策》
図.情報セキュリティ対策基準の策定にかかわる業務手順 ┌─────────┐ ┌─────────────────────┐ │プロジェクト体制 │ │(省略) │ │の確立 │ │ │ └─────────┘ └─────────────────────┘ ↓ ┌─────────┐ ┌─────────────────────┐ │リスク分析 │ │(1)情報資産に対する脆弱性を洗い出す。 │ │ │ │(2)洗い出された脆弱性に対し、セキュリティ │ └─────────┘ │ 脅威が与える影響度、損失の大きさ及びその│ | │ 発生頻度を分析する。 │ | │(3)情報セキュリティ対策基準を決定するため │ | │ の判断材料とする。 │ ↓ └─────────────────────┘ ┌─────────┐ ┌─────────────────────┐ │情報セキュリティ │ │(1)リスク分析の結果に基づき、どのような対 │ │対策基準の策定 │ │ 策を講じるかを決定する。 │ └─────────┘ │(2)情報資産ごとに目標とするセキュリティレ │ | │ ベルを明確にする。 │ | │(3)情報セキュリティ対策基準に反映する項目 │ | │ を決定する。 │ | │(4)情報セキュリティ対策のための予算を確保 │ | │ する。 │ ↓ └─────────────────────┘ ┌─────────┐ ┌─────────────────────┐ │正式決定と社内通知│ │(1)社長の承認を得る。 │ │ │ │(2)情報セキュリティ管理者で社内に周知する │ └─────────┘ │(3)セキュリティ教育を実施する。 │ └─────────────────────┘
図中の"プロジェクト体制の確立"では、情報セキュリティ対策基準策定の準備段階として、
どのようなことをすべきか。(注:解答は複数考えられます。)
(1)(省略)の部分を答えよ。
(2)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)(省略)の部分を答えよ。
>・委員会の設置
> 組織横断的なメンバーで構成した委員を選出する。
>・構築基本方針書の作成
> 適用範囲や構築のための全社的な方針を明らかにする。
>・(社長への提案書)
> 組織横断的なメンバーで構成した委員を選出する。
>・構築基本方針書の作成
> 適用範囲や構築のための全社的な方針を明らかにする。
>・(社長への提案書)
>・情報セキュリティ委員会の設立
>・タスクフォースの設立
>・タスクフォースの設立
CISOの任命も入れておきましょう。
◇CISO とは。。。
Chief Information Security Officer
情報セキュリティに関する最高責任者のことをいいます。
CISOの責任を明確にし、CISOが経営の観点から率先して
情報セキュリティを組織的に推進することにより、
従業員の情報セキュリティ意識の向上が図れます。
(2)感想・調べたこと
>情報セキュリティ対策基準の設置は会社TOPの支持を得られれば、
>委員会活動において他部署への依頼等の作業もしやすくなるので、
>会社TOPからの支持をきちんと得るために、会社TOPへの提案書では
>必要性等をきちんと明記し、理解してもらう必要があると思います。
>委員会活動において他部署への依頼等の作業もしやすくなるので、
>会社TOPからの支持をきちんと得るために、会社TOPへの提案書では
>必要性等をきちんと明記し、理解してもらう必要があると思います。
情報セキュリティに対する取り組みは全社一丸となって遂行していかなければなりません。
経営者層を巻き込むことが重要になってきます。
経営者層を巻き込むことが重要になってきます。
>私は情報セキュリティ委員会とタスクフォースの関係が限りなく
>=に近い、≒だと思っていたが、ここら辺のところがすっきりしないのでちょっと調べてみました。
>●情報セキュリティ委員会
> 当社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、
> 全社的なマネジメント体制を整えるものとする。
>●タスクフォース
> 情報セキュリティ委員会は、各作業を実施するにあたってタスクフォースを設けることができる。
> このタスクフォースの責任者は、いずれかの委員とする。
> タスクフォースには、『情報セキュリティポリシー』策定、監査、
> 緊急時対応等の作業を実施する。
> (JNSA-情報セキュリティ方針:0.92版 より)
> 以上のような事が書かれていました。
> という事はタスクフォースは情報セキュリティ委員会に含まれるもので
> 絶対存在する訳ではなく、適宜、情報セキュリティ委員会が設立するもので
> 要は実行部隊みたいですね。
>=に近い、≒だと思っていたが、ここら辺のところがすっきりしないのでちょっと調べてみました。
>●情報セキュリティ委員会
> 当社の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、
> 全社的なマネジメント体制を整えるものとする。
>●タスクフォース
> 情報セキュリティ委員会は、各作業を実施するにあたってタスクフォースを設けることができる。
> このタスクフォースの責任者は、いずれかの委員とする。
> タスクフォースには、『情報セキュリティポリシー』策定、監査、
> 緊急時対応等の作業を実施する。
> (JNSA-情報セキュリティ方針:0.92版 より)
> 以上のような事が書かれていました。
> という事はタスクフォースは情報セキュリティ委員会に含まれるもので
> 絶対存在する訳ではなく、適宜、情報セキュリティ委員会が設立するもので
> 要は実行部隊みたいですね。
実際、情報セキュリティを管理していく場合、タスクフォースは必要になりますね。
小さい会社とかでしたら、情報セキュリティ委員会がタスクフォースになることもあります。
小さい会社とかでしたら、情報セキュリティ委員会がタスクフォースになることもあります。
sponsored link
このページ
のTOPへ注意事項
サイト内の内容は一部、もしくは全文の無断転載を禁止します。また、サイト内の内容を参考にする場合は各自の良識と責任のもとでお願いします。サイト内の内容を利用する上で生じたトラブルは、当方では一切の責任を負いません。
