情報セキュリティhbrain.jp/tmp/HBN-ISMS.pdfISMSの運用:日本情報処理開発協会ISMS制度推進室、P-マークの運用:日本情報処理開発協会プライバシーマーク事務局...
Transcript of 情報セキュリティhbrain.jp/tmp/HBN-ISMS.pdfISMSの運用:日本情報処理開発協会ISMS制度推進室、P-マークの運用:日本情報処理開発協会プライバシーマーク事務局...
Copyright H-Brain 2006 All Rights Reserved 1
H-Brain
情報セキュリティ情報セキュリティ
マネジメントセミナー水津 敦史(Suizu Atsushi) H-Brain
Slide 2
H-Brain本日の予定
13:00-13:45
認証取得のトリガー
情報セキュリティ運用のポイント(前編)
(休憩)15分
14:00-14:40
情報セキュリティ運用のポイント(後編)
Q&A15:00
(終了)
Copyright H-Brain 2006 All Rights Reserved 2
Slide 3
H-Brain講師の紹介講師の紹介
水津敦史(すいづあつし) WWW.hbrain.jp
◆ ISO認証取得支援コンサルタント (合資会社エイチブレイン H-Brain)
山口県光市三井8-10-6 e-mail:[email protected]
◆ DNVの契約監査員
2000年 監査活動を開始、現在に至る。
登録主任監査員 (ISO9001, ISO14001, ISO27001, ISO20000)
◆他の主な資格
ITコーディネータ
中小企業診断士
ITILファンデーション
Slide 4
H-Brainこのセミナーで得られるもの
◆ 認証取得可否判断時に整理しておくべきこ とがわかる。
◆ 経営管理のための道具を本当に使いこな すためのポイントがわかる。
Copyright H-Brain 2006 All Rights Reserved 3
Slide 5
H-Brain
認証取得のトリガー
Slide 6
H-Brain認証取得と維持のメリット
合理的経営の達成
自社の業務のルールを作りそのルールに基づいて仕事を行うため、作業の標準化が可能となり、無理・無駄・ムラのない事業活動が展開できます。
内部監査・第3者監査などにより、社内で整備したシステムの改善が期待できます。
競合企業との差別化
合理的経営の達成、すなわちマネジメントシステムの確立により、社内体質の改善・顧客満足度の向上が図られ製品・サービスの品質以外での差別化につながります。
求められている取引条件のクリア
ISOの認証取得をしている企業でなければ取引を行わないといった組織があります。 (入札条件)
元請業者が認証取得をしたことをきっかけに下請企業に対しても認証取得を求めてくるケースがあります。
Copyright H-Brain 2006 All Rights Reserved 4
Slide 7
H-Brain認証取得と維持のメリット
<従業員の意識改革に役立ちます。>
・整理整頓ができるようになります!
・いい意味での相互牽制、外圧牽制でセキュリティに対する感度が高まります。
<経営者>
・必要な投資を倫理的に判断できます。
・株主や顧客に対する信頼、説明責任を果たせます。
Slide 8
H-Brain求められている取引条件のクリア
経済産業省 特定システムオペレーション(SO)企業等認定制度での審査の視点においてISMS認証取得が明記。
例えば広島市の入札条件にISMS認証取得が明記。
“当該事業者が特定システムオペレーションサービスを提供する事業所のうち1事
業所以上が情報セキュリティマネジメントシステム適合性評価制度のISMS認証
を受けているか否かを確認します。“
“財団法人日本情報処理開発協会が運用するISMS適合性評価制度における
ISMS認証またはこれと同等の情報セキュリティマネジメントシステムを取得してい
ること。”
Copyright H-Brain 2006 All Rights Reserved 5
Slide 9
H-BrainISMSとP-マークの比較 (1)
組織の規模で22万円、45万円、90万円の3段階 (更新の時)
1年毎の継続審査は初回審査の半分程度
維持にかかる費用
組織の規模で30万円、60万円、120万円の3段階
他にコンサルティング費用
審査料個別見積
他にコンサルティング費用
取得に係る費用
2年間3年間(ただし1年毎の継続審査)有効期間
半年から1年程度半年から1年程度取得までにかかる期間
適用範囲 全社的な取組みが基本となる。(事業部等のマネジメント単位も可能)
組織の必要に応じて、適用範囲を決定することができる。(重要な情報資産の取り扱いが適正に保たれるために必要な範囲)
消費者保護組織・企業の存続(情報資産の安全かつ有効な活用)
制度の狙い
目的
プライバシーマーク
(JIS Q 15001)
ISMS適合性評価制度
(ISO27001:2005, JIS Q 27001:2006)
ISMSの運用:日本情報処理開発協会ISMS制度推進室、P-マークの運用:日本情報処理開発協会プライバシーマーク事務局
Slide 10
H-BrainISMSとP-マークの比較 (2)
システムレベル(具体的要求)
情報資産範囲(守るべき対象)
エクセレントの追求
ISMS
P-マーク
- 情報(個人・顧客・経営情
報)- ソフトウェア資産- 物理的資産- サービス(通信サービス、ユーテ
ィリティ)
個人情報
Copyright H-Brain 2006 All Rights Reserved 6
Slide 11
H-BrainISMS認証取得 企画書 項目 (サンプル)
1. Introduction; ISMS認証取得への方針
2. What; ISMS認証を早急に取得する
3. Why; ISMS認証取得は必須となった為
3-1; 国、地方自治体におけるISMS義務化
4. When; 平成○年○○月に認証取得
5. Where; まず□ □センターにてISMS構築
6. Who; 社内ISMS委員会がISMS構築を行う
7. Whom; 「ISMS登録審査機関」へ申請して審査を受ける
7-1;登録審査機関の選択 → DNV
7-2;登録審査機関の比較検討表
7-3;ISMS認証取得の公開とアピール
8. How; 外部コンサルの支援を受けて自社でISMSを構築する
8-1;外部コンサルの選択
9. How much; 認証取得までの費用 約@@@万円
9-1;更新までの3年間トータル費用 約@@@万円
10. Future; さらなる標準化を推進して新規ビジネスへ活かす
Slide 12
H-Brain
Copyright H-Brain 2006 All Rights Reserved 7
Slide 13
H-BrainISMS認証取得 ガイドライン
TR X 0036(ISO/IEC TR 13335) (JISハンドブック 58より入手できる)「Guidelines for the Management of IT Security(GMITS)」 TR X 0036-1 第1部 ITセキュリティの概念及びモデル
TR X 0036-2 第2部 ITセキュリティのマネジメント及び計画
TR X 0036-3 第3部 ITセキュリティマネジメントのための手法
TR X 0036-4 第4部 セーフガードの選択
JIPDEC: (http://www.isms.jipdec.jp/std/index.html)
・ISMSユーザーズガイド
・ISMSユーザーズガイド -リスクマネジメント編-
・医療機関向けISMSユーザーズガイド など。
DISC PD3000シリーズ (日本規格協会より購入できる)
DISC PD3005:1999 BS7799 管理策選択のガイド など
Slide 14
H-Brain情報セキュリティ その他の 参考文献
・JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン –第1版- (JIPDEC P-マーク制度のHPよりダウンロード可能)
・情報セキュリティ対策ベンチマーク (www.ipa.go.jp/security/benchmark/index.html)
・中小企業BCP策定運用指針(www.chusho.meti.go.jp/bcp/index.html)
・調査報告書別冊定量的セキュリティ尺度測定ガイドライン
(IPAのHPよりダウンロード可能) 測定の仕組みの考え方が参考になる。
Copyright H-Brain 2006 All Rights Reserved 8
Slide 15
H-Brain認証取得のトリガーのまとめ
自社における、“カイゼン” の 遺伝子の醸成を独自に行うか、外圧を活用するか。
“ISMSを採用するかどうかは、組織における戦略上の
決定とすべきである“
(ISO27001:2005 0序文 0.1一般より)
Slide 16
H-Brain
(前編)情報セキュリティ運用のポイント
砂上の楼閣になってませんか?
ISMSの土台
セキュリティ事故の脅威
Copyright H-Brain 2006 All Rights Reserved 9
Slide 17
H-Brain情報セキュリティ運用のポイント(項目)
●考え方の出発点を確認する
●適用範囲を考える
●何をどのように取り扱うかを考える(リスク評価)
●事業継続管理について考える
●運営体制について考える
●従業員の教育訓練について考える
●情報セキュリティ方針、目標の実現について考える
●内部監査について考える
●審査機関との付き合い方について考える
前編
後編
Slide 18
H-BrainA0-1:考え方の出発点
ISMSの目的は、事業の継続と発展
①規格の詳細管理策を実施するルール作りが先行し、 形だけのリスクアセスメントにならないようにする。
②ISMSは、情報漏えい防止、個人情報の保護だけ ではない。
情報セキュリティとは、機密性、完全性、可用性を維持すること。
Copyright H-Brain 2006 All Rights Reserved 10
Slide 19
H-BrainA0-2情報セキュリティ(機密、完全、可用の維持)
機密性 喪失例:
個人情報流出、顧客情報流出、営業秘密流出
完全性 喪失例:
可用性 喪失例:
システムトラブルで口座二重引き落とし
航空管制システム障害でサービス中断
Slide 20
H-BrainA1.適用範囲
●提供する業務、サービスは何か (活動内容)
●それを提供している場所はどこか (住所)
●それにかかわっている部門はどこか (組織名称)
例:システム開発業
データセンター 、ASPやISP
倉庫業
警備業、保険代理店
Copyright H-Brain 2006 All Rights Reserved 11
Slide 21
H-BrainB1-1.適用範囲
●適用範囲は事業の継続と発展のために、何を守るかで決まる。
つまり、
●提供する業務、サービス及びそれを構成する重要な資産が守るべき対象となる。
従って
●守るべき資産を一環して管理できる、組織、場所、情報通信システムの境界を定める。
Slide 22
H-BrainB1-2.適用範囲
参考:資産の特定に関する示唆
ISMS適用範囲の組織における、資産区分の例。(参考 JISハンドブック2003 TR X 0036-3
p687,p691や TR X 0036-1 p648)
-施設・ユーティリティ・環境基礎構造
-文書・データ・媒体 (営業権、特許権などの無形資産を含む)
-ハードウェア・機器
-通信機器
-ソフトウェア(ネットワーク関連含む)
-人員(スタッフ、パート、派遣社員)及びその業務遂行能力
-サービス・委託(開発・運用委託先、清掃業者、機器保守業者、警備会社など)
-業務手続(業務プロセス)(サービスの提供を行う能力 )
★業務手続(プロセス)(製品の製造またはサービスの提供を行う能力)の保護には、管理策A.14(事業継続管理)を適用する。
Copyright H-Brain 2006 All Rights Reserved 12
Slide 23
H-BrainA2.何をどのように取り扱うべきか
●業務、サービスに関る“モノ”は何か?
●その“モノ“がどうなったら、業務やサービス提供に影響するか?
(セキュリティ事故やヒヤリ・ハット)
●そうならないための予防対策と、なった時の回復対策(→事業継続管理)について考える。
●検討には“モノ”の取扱責任者が参加する。
Slide 24
H-BrainB2-1.何をどのように取り扱うべきか
リスク評価モデル
資産 脅威 脆弱性
リスク
対策
分析
管理
資産:顧客リスト(重要?)
脅威:盗難、紛失、破損
脆弱性:机の上に放置(管理状況)
容認できないリスク
↓
対策(管理策):
鍵つきキャビネットに保管引用文献:ITIL サービスデリバリ
Copyright H-Brain 2006 All Rights Reserved 13
Slide 25
H-BrainB2-1-1.何をどのように取り扱うべきか
規格の詳細管理策(133個)の選択に対する示唆
●参考文献 DISC PD 3005:1999 1.3.2.3項より
リスクの高い状況に適用できる管理策もあれば、リスクが低いか又は中間の状況にしか適用できない管理策もある。何が低いリスクであり、何が高いリスクであると考えるかは、特定の組織及びその事業の判断によって異なる。
明らかに一部の管理策は、リスクの格付けとの関連性が比較的に希薄である。ウィルス保護をシステムにインストールしておくことは常識である。一方、機密情報を保護するための暗号の必要性は、一般には、普通の要求事項ではない。
一部の規格の管理策又はそれらの一部分は、全ての環境で実行する必要があるとは限らない。
Slide 26
H-BrainB2-2.何をどのように取り扱うべきか
リスク評価モデル
資産 脅威 脆弱性
リスク
対策
分析
管理
資産:重要な業務(サービス)
脅威:天災、人災、設備故障などによる重要な業務の中断の結果、予測される損害(損失)
脆弱性:(人、業務手順、設備や技術、委託業者などの管理状況)
容認できないリスク
↓
対策(管理策):
復旧計画(事業継続計画)
事業継続のリスク評価(ビジネス・インパクト分析)
引用文献:ITIL サービスデリバリ
Copyright H-Brain 2006 All Rights Reserved 14
Slide 27
H-Brain
(後編)情報セキュリティ運用のポイント
砂上の楼閣になってませんか?
ISMSの土台
セキュリティ事故の脅威
Slide 28
H-BrainA3.事業継続管理
事業継続管理BCM(Business Continuity Management)
●業務、サービス中断の脅威を考える。
●中断した場合の復旧手順を用意しておく。
●復旧手順がちゃんと実践できることの定期的な確認をし、見直す。
Copyright H-Brain 2006 All Rights Reserved 15
Slide 29
H-BrainB3.事業継続管理(BCM)
目的:事業の中断から早期に回復し、事業継続する
BCMの開始
ビジネス・インパクト分析
リスク評価
事業継続性戦略
組織と導入の計画立案
スタンバイ対策の導入 復旧計画の作成 リスク低減手段の導入
手段の開発
初期試験(テスト)
段階1:開始
段階2:要件と戦略
段階3:導入
段階4:運用管理
保証
教育と訓練
レビューと監査テスト
変更管理
訓練(トレーニング)
事業継続管理 プロセス・モデル 引用文献:ITIL サービスデリバリ
Slide 30
H-BrainA4.運営体制
●経営トップが行動で示す。
●管理責任者、事務局には、ちゃんと権限を与える。
(組織を盛り上げていくセンスが重要)
●委員会には、全部門が参画する。
●各部門には推進委員がいるとよい。(ローテーション)
●この活動は、人事考課上の評価事項とするとよい。
(本来活動の一環として扱う)
Copyright H-Brain 2006 All Rights Reserved 16
Slide 31
H-BrainB4-1.運営体制
経営陣 ライン部門
スタッフ部門
情報技術担当
(ネットワーク管理、システム管理)
運営委員会
(管理責任者、部門代表、事務局)
(資産取扱責任者、利用者)
(資産取扱責任者、利用者)
Slide 32
H-BrainB4-2.運営体制 (リスク評価編)
事業環境は絶えず変化している。
守るべき情報はその価値も含めて変化している。
リスク評価では、情報保護のために、変化したリスクの
識別及び大きく変化したリスクに対して確実に注意が
払われることが大切である。
つまり継続した取り組みが必要であり、
資産取扱責任者が参画し、タイムリーに取り組める
リスク評価の手順を確立することが大切である。
Copyright H-Brain 2006 All Rights Reserved 17
Slide 33
H-BrainA5.従業員の教育訓練
●事業の継続と発展のために、
提供している業務を行うための力量を従業員が持つこと。(力量確保と向上)
●セキュリティ事故防止のために、なぜ、そしてどのようにすべきかを知ること。(自覚、認識教育)
Slide 34
H-BrainB5-1.従業員の教育訓練
●力量マップ
2006年度力量一覧表 部門名( )業務名:保険代理業務 部門長: 評価日:
評価基準 S: 資格取得、知識(講習又は教育受講) 経営者: 承認日:
4: 指導できる
3: 自分の判断で出来る。
2: 指導を受けて出来る。
1: 不十分
今年度の教育訓練のニーズ
当
社
の
主
力
商
品
の
内
容 役
員、
従
業
員
の
適
正
な
保
障
金
額
の
知
識
法
人
保
険
に
関
す
る
税
務
的
な
知
識
所
得
税、
相
続
税
な
ど
の
保
険
に
絡
む
法
律
知
識 決
算
月
や
契
約
前
に
お
客
様
と
コ
ミュ
ニ
ケー
ショ
ン
を
とっ
て
い
る
異
動、
解
約、
失
効、
減
額、
保
険
料
ロー
ン
等
は
遅
滞
な
く
対
応
し
て
い
る
顧
客
か
ら
の
ク
レー
ム
等
に
対
し
て
上
司
に
速
や
か
に
報
告
し
て
い
る
ウィ
ン
ド
ウ
ズ
基
本
操
作
エ
ク
セ
ル
操
作
ワー
ド
操
作
導入教育
更新教育
内
部
監
査
員
1 保険太郎 S S S 2 2 2 3 3 3 S
資格(*必要な場合取得等級を記入)
実務知識 実務能力・技能
法律知識教育、セキュリティ更新教育、保険業務のOJT(指導者AAさん、6ヶ月間)
経
験
年
数
No. 氏名
情報セキュリティ教育
●力量管理
力量明確化
力量の評価
教育訓練計画
(ニーズ明確化)
教育訓練実施
有効性評価
見直し
Copyright H-Brain 2006 All Rights Reserved 18
Slide 35
H-BrainB5-2.従業員の教育訓練
●自覚、認識
何のためのISMSなのか経営トップが明確に示すべきである。そして組織の構成員によく理解させることである。守るべき情報は何か、なぜ、そしてどのようにして守るかを知らなければ、必ず違反や問題の隠蔽につながる。
組織の事情・成熟度に合わず、業務の効率を阻害する過剰な機密保護策は、かえって違反や問題の隠蔽につながる危険があることを知る。
Slide 36
H-BrainB5-3.従業員の教育訓練
教育訓練における示唆
●参考文献 DISC PD 3005:1999 3.2.3項より
実行及び維持の一つの側面を見落とすべきでない。
それは管理策自体が、セキュリティの意識高揚と訓練であ るという側面である。
技術的であれその他の方法であれ、最良の解決策といえ ども、セキュリティはなぜどのように維持されるべきかをユー ザが知らなければ、必要なレベルのセキュリティを確保でき ず、セキュリティの事故や違反が必ず起こる。
これと同様な状況が実行と維持の担当者及びセキュリティ の責任者が、十分に認識せず訓練を受けない場合も起きる のである。
Copyright H-Brain 2006 All Rights Reserved 19
Slide 37
H-Brain
●ISMSの最終目的は、“事業の継続と発展”つまり、
●情報セキュリティ事故を防止し、顧客の求める高品質な商品、サービスを効率よく、効果的に提供し続けること。そのために、
●達成度が評価できる指標を設け、また達成のための手段を明確にする。
“目的と手段の明確化”
A6.情報セキュリティ方針、目標の実現
目的(目標)
(実現、達成のための)
手段
目的:芸能アイドル
手段:CD 売上
指標:CD売上枚数
例:
規格の管理策は
目的達成の“手段”の一部分
Slide 38
H-BrainB6-1.情報セキュリティ方針、目標の実現
方針リスク評価
事業継続計画
(緊急事態への準備及び対応)
法的及びその他の要求事項
目標
運用管理(維持)
目標管理(改善)(狭義の)リスク対応計画
リスク対応計画
リスクを“受容レベル”に下げる取り組みはリスク対応計画の一つに過ぎない
Copyright H-Brain 2006 All Rights Reserved 20
Slide 39
H-BrainB6-2.情報セキュリティ方針、目標の実現
参考:情報セキュリティ目標の例 (情報処理センターを例に)
1. 顧客情報・個人情報の保護: ⇔ (機密性)
<達成評価基準、(指標)>:顧客情報・個人情報に関するセキュリティ事故なし (顧客情報・個人情報に関するセキュリティ事故件数)
2. 受託計算事故、データ入力事故防止 ⇔ (完全性)
<達成評価基準、(指標)>:受託計算事故、データ入力事故を無くす取り組みが行われ、成果がでているか (受託計算事故、データ入力事故件数 )
3. センター機能の維持(サービスの継続) ⇔ (可用性)
<達成評価基準、(指標)>:納期など、顧客と合意したサービスレベルを維持する取り組みが行われ、成果がでているか (顧客と合意した納期に対する遅延件数 )
規格の管理策は目的(目標)達成の“手段”の一部となる。
Slide 40
H-BrainB6-3.情報セキュリティ方針、目標の実現
参考:新たな取り組みとしてのリスク対応計画について
既存の取り組みに加えて、下記(1)-(5)の事項など、
新たな取り組み(チェレンジ)のために、必要な責任を割り当て、優先順位、
テーマ、評価指標、手段、日程などを達成計画として策定し実施。
これはリスク対応計画の一つである。
目標設定には次を考慮するとよい。
(1)情報セキュリティレベルの向上に関する目標
(2)顧客からの評価、セキュリティ改善要求などに関する目標
(3)セキュリティ対策の合理化および効果の向上に関する目標
(4)従業員及びその他のスタッフのセキュリティ意識向上に関する目標
(5)情報セキュリティ事故防止、発見および対応の改善に関する目標
Copyright H-Brain 2006 All Rights Reserved 21
Slide 41
H-BrainA7.内部監査
●自己チェックや経営層のチェックではなく、その業務を行っていない組織内部の“他者”によるチェック。
●内部監査員になるための社内認定基準が必要。
Slide 42
H-BrainB7.内部監査
① 監査する対象は、人ではない。監査対象を“人”と勘違いして、「アラサガシ」に終始しないこと。人間関係を壊してしまうのみならず、
セクショナリズムを一層強くしてしまい、業務効率すら落としてしまう。
あくまでも、システムの監査であり、なぜそのような仕組みなのかを理解する。
② 被監査者側はオープンであるべき。内部監査の目的を理解して、すべて内容をオープンにして、第三者の新鮮な目で問題点を
摘出してもらい、指導してもらうスタンスで臨むこと。
●内部監査は、自分たちのため、改善の機会(気付き)を得るために行う。
●内部監査は社員の力量アップのために行う。
Copyright H-Brain 2006 All Rights Reserved 22
Slide 43
H-BrainA8.審査機関との付き合い方 ●規格への適合証明だけではもったいない。
●自社の企業価値向上に活用したい。
Slide 44
H-BrainB8.審査機関との付き合い方
●審査は、信頼関係のもと、改善点を発見する共同作業である
何のためのISMSなのか経営トップが明確に示すべきである。そして組織の構成員によく理解させることである。守るべき情報は何か、なぜ、そしてどのようにして守るかを知らなければ、必ず違反や問題の隠蔽につながる。
●審査員の指摘を受けるか否かの決定権及、指摘をどう改善に活かすか、そしてその結果責任は自らにある。
審査員とて人間である。いつも適切な判断をしているとは限らない。組織にとって、バランスの良い保護策なのか、常に疑ってかかるべきである。
●審査機関(外圧)をうまく使って、改善推進する。
Copyright H-Brain 2006 All Rights Reserved 23
Slide 45
H-BrainB9.コンサルタントの使い方
②御社におけるセキュリティを維持する個々の業務手順の整理を支 援します。
③構築したISMSの運用を通じた課題について、改善への指導を行 います。
④構築したISMSの自己検証を行う内部監査がうまくいくように指導 を行います。
①御社におけるISMSの全体的枠組みを定義するISMSマニュアルや 規定書をサンプル文書をカスタマイズしてご提供いたします。
(判らないところを教えてくれるは当然だが、受身ではだめ。企業が主体的に判断すること)