情報セキュリティポリシ
問 題 《情報セキュリティアドミニストレータ午後対策》
「情報セキュリティポリシー・サンプル解説書」
情報セキュリティポリシー・サンプル(0.92a版)
http://www.jnsa.org/policy/guidance/index.html
NPO日本ネットワークセキュリティ協会(JNSA) http://www.jnsa.org/
http://www.jnsa.org/policy/kihon_housin.pdf
を読んで基本ポリシー(基本方針)について考えてみよう!
(1)この情報セキュリティ基本方針では情報システム(情報資産)を
第4の資産と位置付けているが、3つの資産とは何か答えよ。
(2)「セキュア」なブランドイメージを構築するために、認証取得も
アピールの手段となりうる。この認証制度名と概略を答えよ。
(3)感想・調べたこと
スポンサードリンク
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)この情報セキュリティ基本方針では情報システム(情報資産)を
第4の資産と位置付けているが、3つの資産とは何か答えよ。
>・人(社員やアルバイトなど)
>・物(設備や不動産など)
>・金(有価証券など)
>・物(設備や不動産など)
>・金(有価証券など)
>・物理資産
> PC等の端末機器、ネットワーク機器類、メディア類等
>・ソフトウェア資産
> システムソフトウェア、業務用ソフトウェア、ツール等
>・サービス
> 通信サービス、暖房、照明等
>or
>・人・物・金?
> PC等の端末機器、ネットワーク機器類、メディア類等
>・ソフトウェア資産
> システムソフトウェア、業務用ソフトウェア、ツール等
>・サービス
> 通信サービス、暖房、照明等
>or
>・人・物・金?
>・人,物,金
ありがとうございます。人・物・金で良いでしょう。
(2)「セキュア」なブランドイメージを構築するために、認証取得も
アピールの手段となりうる。この認証制度名と概略を答えよ。
>認証制度名:ISMS(情報セキュリティマネジメントシステム)
>概略:日本における情報セキュリティの第三者認定制度
>概略:日本における情報セキュリティの第三者認定制度
>[認証制度]
> 情報セキュリティマネジメントシステム(ISMS)適合性評価制度
>[概略]
>・個別の問題毎の技術対策の他に、組織のマネジメントとして、
> 自らのリスク評価により必要なセキュリティレベルを決め、
> プランを持ち、資源配分して、システムを運用することである。
>・組織が保護すべき情報資産について、機密性、完全性、可用性
> をバランス良く維持し改善することがISMSの要求する主要な > コンセプトである。
> 情報セキュリティマネジメントシステム(ISMS)適合性評価制度
>[概略]
>・個別の問題毎の技術対策の他に、組織のマネジメントとして、
> 自らのリスク評価により必要なセキュリティレベルを決め、
> プランを持ち、資源配分して、システムを運用することである。
>・組織が保護すべき情報資産について、機密性、完全性、可用性
> をバランス良く維持し改善することがISMSの要求する主要な > コンセプトである。
日本におけるというのがいいですね。
ISMS適合性評価制度は日本でのみ有効です。
ISMS適合性評価制度は日本でのみ有効です。
>・ISMS
> 第3者機関が組織の情報セキュリティマネジメントシステムを評価し、
> 基準をクリアした組織に認証を与える制度。評価の基準は、JIS X
> 5080:2002(ISO/IEC 17799:2000)およびstrongS7799-2:2002。
>
>・プライバシーマーク制度
> 個人情報を適切に行っている事業者に対して、第3者機関が評価、認定を行う制度。
> 第3者機関が組織の情報セキュリティマネジメントシステムを評価し、
> 基準をクリアした組織に認証を与える制度。評価の基準は、JIS X
> 5080:2002(ISO/IEC 17799:2000)およびstrongS7799-2:2002。
>
>・プライバシーマーク制度
> 個人情報を適切に行っている事業者に対して、第3者機関が評価、認定を行う制度。
プライバシーマーク制度は、個人情報を適切に管理している、保護していると
言った方が具体的で良いと思います。
(財)日本情報処理開発協会(JIPDEC)により、プライバシーマークが付与されます。
言った方が具体的で良いと思います。
(財)日本情報処理開発協会(JIPDEC)により、プライバシーマークが付与されます。
(3)感想・調べたこと
>(財)日本情報処理開発協会[JIPDEC]がstrongSI(英国規格協会)が制定
>したstrongS7799を参照して制定したISMS認証基準(Ver.1.0)を用いる
>国内認証制度です。
>ISMS(Ver1.0)では、認証基準となるstrongS7799-2は10の管理項目が
>あり、それらに36の管理目的が示され、更に127の管理策が規定されています。
>セキュリティポリシーを定めて、適用範囲を決定し、リスクア
>セスメントを行い、管理すべきリスクを決め、管理目的と管理
>策を選択して、実行し、レビューし是正し、維持・改善するPDCA
>のサイクルが基本的な枠組みです。
>ISMS(Ver2.0)がH15年4月21日に制定された為、Ver1.0はH16年
>9月30日に廃止されます。
>したstrongS7799を参照して制定したISMS認証基準(Ver.1.0)を用いる
>国内認証制度です。
>ISMS(Ver1.0)では、認証基準となるstrongS7799-2は10の管理項目が
>あり、それらに36の管理目的が示され、更に127の管理策が規定されています。
>セキュリティポリシーを定めて、適用範囲を決定し、リスクア
>セスメントを行い、管理すべきリスクを決め、管理目的と管理
>策を選択して、実行し、レビューし是正し、維持・改善するPDCA
>のサイクルが基本的な枠組みです。
>ISMS(Ver2.0)がH15年4月21日に制定された為、Ver1.0はH16年
>9月30日に廃止されます。
ISMS適合性評価制度Ver.2.0を一読しておきましょう。
http://www.isms.jipdec.jp/doc/v2ismspanf.pdf
http://www.isms.jipdec.jp/doc/v2ismspanf.pdf
>変更点までは調べれなかったため、どうVer1.0と2.0では違うの
>か知っていらっしゃれば、教えて欲しいです。
>か知っていらっしゃれば、教えて欲しいです。
Ver.1.0とVer.2.0の違いについては下記URLを参考にしてみて下さい。
http://www.isms.jipdec.or.jp/v2/v2ch.html
試験では細かいところまで問われることはないと思います。
ISMS適合性評価制度のマネジメント部分についてしっかりと理解しておきましょう。
(PDCAサイクルの流れやセキュアドとしての役割など)
>最近では、企業のイメージアップや他社との差別化を図るために
>様々な認証資格を取得する企業が増えている。
>他社との取引において、上記のような認証制度をクリアしているかは、
>一つの基準となっていくと思うので、SSを目指す人はそういったことも
>意識しておく必要があると思います。
>様々な認証資格を取得する企業が増えている。
>他社との取引において、上記のような認証制度をクリアしているかは、
>一つの基準となっていくと思うので、SSを目指す人はそういったことも
>意識しておく必要があると思います。
そうですね。官公庁の入札条件になったりしています。
こういった評価制度が形骸化せずに、本質を伴ったものに発展していくといいですね。
こういった評価制度が形骸化せずに、本質を伴ったものに発展していくといいですね。
sponsored link
このページ
のTOPへ注意事項
サイト内の内容は一部、もしくは全文の無断転載を禁止します。また、サイト内の内容を参考にする場合は各自の良識と責任のもとでお願いします。サイト内の内容を利用する上で生じたトラブルは、当方では一切の責任を負いません。
