【情報処理安全確保支援士】頻出用語解説④情報セキュリティマネジメント(ISMS)

4. 情報セキュリティマネジメントの実践

4.1 概要

  • リスク≠損失
    • 正常な状態から脅威が生じた状態の差異が損失であり、差異が生じる不確実性がリスク
  • 規格:ISO/IEC 31030 : 2009 / JIS Q 31010 : 2012
    • リスクマネジメントーリスクアセスメント技法
  • リスク分析の種類
    • ベースラインアプローチ
    • 一般に公開されている基準やガイドラインに基づく質問事項に回答する事で分析
    • ISO/IEC 27001 ( JIS Q 27001 )
    • 非公式アプローチ
    • 分析者の知識と経験に基づいた分析
    • 詳細リスク分析
    • 情報資産、脅威、脆弱性の洗い出しと評価を行い、そこからリスクの大きさを評価する
    • 主な流れは、リスク分析範囲の決定→対象とする情報資産の種別の決定→情報資産の洗い出し→情報資産の分類→脅威の洗い出し→脆弱性の洗い出し→リスクの洗い出し→リスクの大きさの評価
    • 組み合わせアプローチ
    • ベースラインアプローチと詳細リスク分析を組み合わせる事で組織全体を簡易的に分析

4.2 リスクマネジメントとリスク対応

リスクマネジメント

以下のPDCAサイクルを回す。

  1. リスクアセスメント
  2. リスク対応方法の洗い出し
  3. リスク対応の実施
  4. リスクおよびリスク対応方法の見直し

リスク対応

  • リスクコントロール
    • 潜在的なリスクに対して、物理的・技術的・運用管理的対策によって発生を抑止したり、損失を低減させたりすること
  • リスクファイナンシング
    • リスクが顕在化して損失が発生した場合に備えて、損失の補填や対応費用などの確保をすること
  • 対応手法
    • リスク回避:原因の排除
    • リスク低減:損失予防、損失軽減、リスク分離、リスク集中
    • リスク移転:第三者へ管理を移転

4.3 情報セキュリティポリシの策定

  • 情報セキュリティ基本方針
    • 管理層が方針を決め、従業員に通知
    • 定期的・重大な変化が発生した場合にレビュー
  • 情報セキュリティ対策基準

→上記二つを合わせて情報セキュリティポリシと呼ぶ

4.4 情報セキュリティインシデント管理

インシデント管理は以下の一連の流れ。その中で2.〜5.をインシデントハンドリングと呼ぶ。

  1. インシデント発生に備えた対応
  2. インシデントの検知/連絡受付
    • システムやツールのよる検知のほか、人からの連絡による検知も含む
  3. インシデントのトリアージ/対応要否の決定
  4. 影響範囲の特定/応急処置
  5. 対応案(復旧措置・連絡・広報など)の決定/実施
  6. インシデント収束後の対応
  • サーバーレジリエンスとOODA
    • サーバレジリエンス:インシデント発生時に影響を最小限にし、元の状態に回復させる組織の能力
    • OODA:サーバレジリエンスを高めるための組織としての取り組み
    • Observe(観察):インシデントの発生状況や対応策実施後の状態を観察
    • Orient(状況判断):影響範囲や対応の優先度等を決定する
    • Decide(意思決定):組織としての方針や対応策を決定する
    • Act(実行):決定した方針に基づき、対応策を実行する

4.5 BCM・BCP

  • BCM(事業継続管理)
    • 最も重要度の高い事業やサービスを優先的に復旧・継続させることが前提
  • BCP(事業継続計画)
    • BIA(ビジネスインパクト分析)を行い、ボトルネックとなる業務プロセスやリスクを把握する
    • BIAにより認識された重要業務について、以下の目標値を設定
    • 目標復旧時間:中断後いつまでに復旧させるのか
    • 目標復旧レベル:目標復旧時間内に、どのレベルまで復旧させるのか
    • 目標復旧時点:中断から遡ってどの時点の状態に戻すのか

4.6 情報セキュリティ監査・システム監査

情報セキュリティ監査

  • 情報セキュリティ管理基準
    • ISO/IEC 27001 : 2013, ISO/IEC 27002 : 2013をもとにしたマネジメント基準・管理策基準から構成
  • 情報セキュリティ監査基準
    • 一般基準:監査人としての適格性および監査業務上の遵守事項
    • 実施基準:監査計画の立案および監査手続きの適用方法を中心に監査実施上の枠組み
    • 報告基準:監査報告に関わる留意事項と監査報告書の記載方式
  • 情報セキュリティ監査企業台帳
    • 登録された情報セキュリティ監査を行う事業者を公開

システム監査

  • 情報セキュリティ監査とどぷように管理基準と監査基準があり、監査を行う事業者をシステム監査企業台帳に登録し、公開している
  • システム管理基準
    • ITガバナンス:ステークホルダのニーズに基づき、組織の価値を高めるための行動
    • EDMモデル:評価(Evaluate)・指示(Direct)・モニタ(Monitor)
    • ITガバナンスにおける6つの原則
    • 責任:役割に責任を負う人は、役割を遂行する権限を持つ
    • 戦略:情報システムの現在と将来の能力を考慮し、ニーズを満たす必要がある
    • 取得:効果・リスク・資源のバランスをとって導入
    • パフォーマンス:ニーズを満たすサービスの提供
    • 適合:法律・規制へ適合
    • 人間行動:パフォーマンスの維持に関わる人間の行動を尊重する

コメント