Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ISMSってどんなもの?
Search
福岡情報ビジネスセンター
February 02, 2024
Education
0
400
ISMSってどんなもの?
社内勉強会用資料です。
ISMSって何?どうやって作られているの?といった観点でまとめた資料です。
福岡情報ビジネスセンター
February 02, 2024
Tweet
Share
More Decks by 福岡情報ビジネスセンター
See All by 福岡情報ビジネスセンター
遅くならないSQLの書き方
fbei_ot
0
220
DBとSQLについて
fbei_ot
0
370
ChatGPTをソフトウェア開発に活用する
fbei_ot
0
550
Other Decks in Education
See All in Education
Carving the Way to Ruby Engineering
koic
3
440
Adobe Express
matleenalaakso
1
7.6k
The Task is not the End: The Role of Task Repetition and Sequencing In Language Teaching
uranoken
0
210
Da Necessidade da Devoção à Virgem Santíssima
cm_manaus
0
100
Ch2_-_Partie_2.pdf
bernhardsvt
0
110
Web Search and SEO - Lecture 10 - Web Technologies (1019888BNR)
signer
PRO
2
2.5k
Security, Privacy and Trust - Lecture 11 - Web Technologies (1019888BNR)
signer
PRO
0
2.6k
TP5_-_UV.pdf
bernhardsvt
0
120
子どものためのプログラミング道場『CoderDojo』〜法人提携例〜 / Partnership with CoderDojo Japan
coderdojojapan
4
14k
AWS All Certが伝える 新AWS認定試験取得のコツ (Machine Learning Engineer - Associate)
nnydtmg
1
690
(2024) Couper un gâteau... sans connaître le nombre de convives
mansuy
2
160
Medicare 101 for 2025
robinlee
PRO
0
310
Featured
See All Featured
The Invisible Side of Design
smashingmag
298
50k
Building an army of robots
kneath
302
44k
Building Adaptive Systems
keathley
38
2.3k
The Pragmatic Product Professional
lauravandoore
32
6.3k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
Testing 201, or: Great Expectations
jmmastey
40
7.1k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
A Tale of Four Properties
chriscoyier
157
23k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Unsuck your backbone
ammeep
669
57k
Embracing the Ebb and Flow
colly
84
4.5k
Transcript
ISMSってどんなもの? 株式会社福岡情報ビジネスセンター OT勉強会資料 ISO/IEC 27001
もくじ 2 1. 経緯と目的 2. ISMSとは 3. 定期的に行っていること 4. ISO規格改訂
経緯と目的 ISMSの規定が改訂されます 今一度「ISMSとは何なのか」を 確認共有したいと思った次第です
ISMS - Information Security Management System 4 情報セキュリティマネジメントシステム
ISMSとは 5 情報セキュリティの3原則 PDCAサイクル よく耳にする2つの要素 PLAN DO CHECK ACTION 機密性
可用性 完全性
6 ISMSとは ◼ 一定の基準を元に策定したルールのこと ◼ 一定の基準は「ISO規格」に準拠している ◼ 評価機関(認証機関)が一定の基準を満たしているかを 評価する ◼
一定の情報セキュリティレベルを達成することを目的 としている ISMS ルール 評価制度
ISMSとは ー ISO規格との関係性 7 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール
⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員 ISMS
ISMSとは ー 評価機関 8 ◼ 評価機関ってどんなことをするの? ⚫ISMSのルールがISO規格の基準を満たしているか チェック ⚫ISMSのルールを守って運用しているかチェック ⚫ISMSとして承認する
◼ 評価機関ってどこの会社? ⚫https://isms.jp/lst/isr/
ISMSとは ー ISO規格 9 ◼ ISO - International Organization for
Standardization ⚫ 国際標準化機構 ⚫ 役割:製品やサービスを同じ品質やレベルで提供できるように、国際的な基準を発行すること ⚫ 所在地:スイス – ジュネーブ ⚫ ロレックス… ◼ ISO規格 ⚫ 製品やサービスなど、分野によってさまざまな基準が定義されているドキュメントのこと ⚫ 物理的な製品だけでなく、リスクを管理するための仕組みに対しても規格が用意されている ⚫ ISMSのISO規格はここに当たる ⚫ FBIが定義しているISMSの基準 ISO規格に従ってISMSルールを作ったけど、ISO規格ってそもそも何?
ISMSとは ー ISO規格の種類 10 ISO 7010 ISO/IEC 7810 ISO 9001
ISO/IEC 27001 ⚫ 識別カード - 物理的特性 ⚫ 身分証明書カードの4つの形状を定めた国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO/IEC_7810 ⚫ 品質マネジメントシステム - 要求事項 ⚫ 品質マネジメントシステムに関する国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_9000 ⚫ 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 ⚫ 情報セキュリティマネジメントシステム(ISMS)に関する国際規格 ⚫ FBIで認証を受けている規格 ⚫ 図記号 - 安全色及び安全標識 - 職場及び公共の場所で用いる安全標識 ⚫ 危険標識・警告標識・安全標識についての国際標準化機構 の国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_7010
11 ここからはISMS構築の例になります ISO規格、ISMSルール、評価制度の関係性 イメージできたでしょうか?
ISMSとは ー ISO規格との関係性 12 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール
⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員
ISMSとは ー ISMS構築の例 13 ◼ 要求事項(基準) ⚫ クレジットカードはプラスチックで生産しなければならない ⚫ 大きさは「85.6mm
× 53.98mm」で生産しなければならない ISO/IEC 7810 クレジットカードの生産にあたって ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない ⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する(内部監査) ISMS
ISMSとは ー ISMS評価制度の例 14 ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない
⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する(内部監査) ISMS ◼ ちゃんとISO規格の要求を満たせるルールが制定されているか? ⚫ ISMSのドキュメントを確認して要求事項に対するルールの策定漏れが無いかチェックする ◼ ちゃんとISMSの活動をやっているか? ⚫ メーカー〇〇から仕入れた材料の伝票、あるいは現物を見せてください ⚫ 不良在庫の検品記録を見せてください 審査/評価の観点
ISMSとは ー ISO規格 15 ◼ 要求事項の一覧(一部抜粋) 1. ISMS の適用範囲は、文書化した情報として利用可能な状態にしておかなければならない 2.
媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分しなければ ならない 3. アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、 レビューしなければならない(ネットワーク) 4. セキュリティを保つべき領域は,認可された者だけにアクセスを許すことを確実にするた めに、適切な入退管理策によって保護しなければならない(物理的) 5. 組織は、この規格の要求事項に従って、ISMS を確立し,実施し,維持し,かつ,継続的 に改善しなければならない
ISMSとは ー ISO規格 16 ・ISO規格 A.◦.◦.◦ という単位で要求事項が書かれている 全部で114項目
ISO規格改訂 17 ISO規格とは「◦◦しなければならない」という既定の一覧でした。 その規定に従って「弊社では◦◦を行うことで規格の要求を満たします」という形で ISMSが構築されていました。
ISO規格改訂 18 「◦◦しなければならない」という要求事項が統合されたり、追加されたりして 「114」個から「93」個の要求事項に変更になりました 5.7:脅威インテリジェンス 情報セキュリティの脅威に関連する情報を収集/分析し、脅威インテリジェンスを作成する ことが望ましい 5.23:クラウドサービス利用のための情報セキュリティ クラウドサービスの取得、利用、管理、および終了に関するプロセスは、 組織の情報セキュリティの要求事項に基づいて確立することが望ましい。
5.30:事業継続のためのICT備え ICTの備えは、事業継続の目的とICT継続の要求事項に基づいて、 計画、実施、維持、テストされることが望ましい。 全部で93項目
ISO規格改訂 ー やらないといけないこと 19 新規格に従ったルール決め ドキュメント更新 運用レベルでの最適化 ⚫ めんどくさい申請の撤廃など ⚫
ISMS-D1101_ISMS文書管理台帳 に記載しているドキュメントを新規格用に変更 ⚫ セミナーや勉強を行い知識を身に着ける ⚫ 定例会だけでなくバックログ、チャットワークなどを活用して検討を行う
ISO規格改訂 ー やらないといけないこと 20 ・頻繁に不具合が起こるサービスは利用しない。 ・過去に大規模なインシデントが発生したサービスは利用しない。 ・社員の口座情報はクラウド上にはアップロードしない。 など 選定基準を決めてISMSのルールを策定する必要があります。
まとめに入ります 以上、ISO規格改訂の話でした
◼ ISMSとは、セキュリティに特化したルールと基準を満たしているかを評価する制度のこと ISO規格に従って社内のセキュリティルールが構築されている ◼ ISO規格は身近なところにたくさんある クレジットカードや標識など ◼ ISO規格改訂に伴う対応は結構大変
THANK YOU