情報セキュリティポリシ(情報セキュリティ方針)
情報セキュリティポリシ(情報セキュリティ方針)とは、企業等の組織において情報セキュリティの基本的な考え方や取り組みを明文化したものです。
この情報セキュリティポリシ(情報セキュリティ方針)は、経営層が承認し、組織全体へ周知・推進します。
また、情報セキュリティポリシは(情報セキュリティ方針)は、基本方針、対策基準、実施手順の3つの文書から構成されています。
https://www.ipa.go.jp/security/manager/protect/pdca/policy.html
| 説明 | |
|---|---|
| 基本方針 | 情報セキュリティに対する組織の意図を示し、方向付けをするもの 経営層が承認し、組織全体に公表される |
| 対策基準 | 守るべき情報資産や情報セキュリティ対策の規則を記述 |
| 実施手順 | 情報セキュリティ対策に必要な具体的な手順を規定 |
基本方針、対策基準、実施手順の順番で、情報セキュリティの取り組みがより具体的に定まっていきます。
情報セキュリティの要素
情報セキュリティの要素とは、情報セキュリティの対策を実施する際に注意すべき観点です。
ITパスポート試験で出題される情報セキュリティの要素には、機密性、完全性、可用性、真正性、責任追跡性、否認防止、信頼性の7つがあります。
| 説明 | 対策例 | |
|---|---|---|
| 機密性 | 情報やシステムに、許可された者以外がアクセスできないこと | アクセス管理 アクセス制御 |
| 完全性 | 情報やシステムの処理が正確であること | ディジタル署名 |
| 可用性 | 情報やシステムを利用したいときに利用できること | バックアップ システム二重化 RAID |
| 真正性 | 利用者、情報、システムが本物であることの保証 | 利用者認証 生体認証 ディジタル署名 |
| 責任追跡性 | 利用者やシステムの動作をのちに確認でき、責任を明らかにできる | アクセスログ |
| 否認防止 | 真実(事実)をのちに否認・否定されないこと | 時刻認証 ディジタル署名 |
| 信頼性 | 情報やシステムに矛盾なく、一貫した結果が得られること | 定期点検 バグ改修 |
機密性、完全性、可用性の三つの要素のことを特に、情報セキュリティの三大要素と呼びます。
まずは、情報セキュリティの三大要素(機密性、完全性、可用性)の意味を覚え、残り4つ(真正性、責任追跡性、否認防止、信頼性)の要素については過去問題を解く都度確認し、覚えていきましょう。
情報セキュリティマネジメントシステム(ISMS)
情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、情報セキュリティを確保するための仕組みです。
情報セキュリティマネジメントシステム(ISMS)では、PDCA と呼ばれるサイクルにより、情報セキュリティの継続的改善が行われます。
PDCAとは、計画(Plan)→実行(Do)→評価(Check)→改善(Action)→計画(Plan)→・・・を継続的に実施することです。それぞれの頭文字を取りPDCAと呼ばれます。
情報セキュリティマネジメントシステム(ISMS)では、次のようにPDCAを実行します。
| 説明 | |
|---|---|
| P(Plan:計画) | ISMSの確立 |
| D(Do:実行) | ISMSの導入および運用 |
| C(Check:評価) | ISMSの監査・レビュー |
| A(Action:改善) | ISMSの維持・改善 |
また、この改善(Action)で得た内容に応じて、 計画(Plan)に戻り、計画を立て直し継続的な改善が行われます。
この情報セキュリティマネジメントシステム(ISMS) は、PDCAと合わせて覚えておきましょう。
【まとめ】情報セキュリティ管理
それでは最後におさらいをしておきましょう!
| 用語 | 説明 |
|---|---|
| 情報セキュリティポリシ (情報セキュリティ方針) | 情報セキュリティの基本的な考え方(意図)や取り組みを明文化したもの 経営者(トップマネジメント)が確立し、組織全体へ周知・推進 |
| 基本方針 | 情報セキュリティに対する組織の意図を示し、方向付けをするもの 経営層が承認し、組織全体に公表される |
| 対策基準 | 守るべき情報資産や情報セキュリティ対策の規則を記述 |
| 実施手順 | 情報セキュリティ対策に必要な具体的な手順を規定 |
| 機密性 | 情報やシステムに、許可された者以外がアクセスできないこと |
| 完全性 | 情報やシステムの処理が正確であること |
| 可用性 | 情報やシステムを利用したいときに利用できること |
| 真正性 | 利用者、情報、システムが本物であることの保証 |
| 責任追跡性 | 利用者やシステムの動作をのちに確認でき、責任を明らかにできる |
| 否認防止 | 真実(事実)をのちに否認・否定されないこと |
| 信頼性 | 情報やシステムに矛盾なく、一貫した結果がえられること |
| 情報セキュリティマネジメントシステム (ISMS) | 情報セキュリティの要素を確保する仕組み PDCAのサイクルで継続的改善がされる ※Information Security Management System |
| P(Plan:計画) | ISMSの確立 |
| D(Do:実行) | ISMSの導入および運用(計画の実施) |
| C(Check:評価) | ISMSの監査・レビュー |
| A(Action:改善) | ISMSの維持・改善 |
コメント