...

「ISMS適合性評価」認証取得支援コンサルティング のご提案

by user

on
Category: Documents
21

views

Report

Comments

Transcript

「ISMS適合性評価」認証取得支援コンサルティング のご提案
「ISMS適合性評価」認証取得支援コンサルティング
のご提案
平成2x年xx月xx日
特定非営利活動法人 東京ITコーディネータ
Copyright©2005-2014 NPO東京ITC
1
企業の社会的な責任の遂行とリスク対応
( CSR:Coporate Social Responsibility )
ステークホルダーとの関わりの中での活動
取引先
有用な製品サービス提供
事業継続
情報の共有
適切な情報開示
誠実な顧客対応
委託先監督責任
スリスク
内部統制、J-SOX法
ガバナンスリスク
収益の獲得と納税
個人情報漏洩防止
機密情報流出防止
情報リスク
法令・社会的規範
の遵守
コンプライアン
行政
顧客
CSR
企業の社会
的責任遂行
人材リスク
キャリアプラン
従業者監督責任
環境リスク
安全リスク
効果的な安全管理措置
従業員
仕事・私生活両立
への配慮
環境への配慮
株主利益の保護
市民活動支援
ブランド構築
株主
地域社会
「企業価値」の向上
Copyright©2005-2014 NPO東京ITC
2
情報セキュリティ・リスクへの体系的対応
何を、何から、どう守るか?
情報資産
情報資産の
運用と管理
企業情報
営業・技術
個人情報
顧客・従事者
情報インフラ
リスク発生
脆弱性
ビジネスプロセス
人
組織
アプリケーション
建物・設備
ネットワーク
IT機器
情報セキュリティ
管理システムの確立
●
・方針、責任権限の明確化
・経営全般のリスクマネジ
メントの確立
・効果的な管理策の実施
・文書管理/記録管理の
徹底等
Copyright©2005-2014 NPO東京ITC
(損失発生)
情報資産漏洩・破壊
信用崩壊
人材流出
経営体制弱体化
技術資産流出
設備資産破壊
総合的なセキュリティ対策を
実施するための継続的な仕組み
マネジメント対策
経営者関与
リスク評価
組織的対応
人的対応
物理的対応‥
技術対策
アクセスログ
FireWall
ウィルスソフト
VPN
SSL‥
脅威
①故意による人為的脅威
不正アクセス
紛失、破壊
改竄、漏洩
悪用
著作権侵害、不正使用
プライバシー侵害
コンピュータウィルス
中傷・スパムメール
②事故・過失による偶発的脅威
ハード障害
ネットワーク障害
ソフトバグ
運用に関わる問題
③災害等による環境的脅威
地震・雷・火事・水害・停電等
によるシステム停止
3
ISMSが求めていること
経営者の役割
情報セキュリティ
方針の作成
体制整備
責任者選任
Policy
経営資源
投入・配分
受容可能な
リスク水準設定
見直し実施
改善指示
Act
違反・事件・事故の予防
ACT
違反・事件・事故の再発防止
Plan
改善意図説明と目標達成
PLAN
Check
違反・事件・事故の監視
CHECK
情報セキュリティ統括管理者
情報資産のリスク分析・評価
リスク対応管理策などの選定
適用宣言書の作成
内部監査実施
リスク対応計画作成
DO
マネジメントレビュー
ISMS運用マニュアル作成
Do
リスク対応計画・
管理策の実施
ISMSの運用状況
の記録と管理
内部監査、レビュー等
Copyright©2005-2014 NPO東京ITC
情報資産の価値評価
CISO
管理策の有効性測定
セキュリティ計画更新
リスク分析・評価
(リスクアセスメント)
教育計画・要員の確保
文書・記録管理ルール
4
「ISMS適合性評価制度」とは何か
1.ISMSの目的
ISMS適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメント
としての第三者適合性評価制度であり、本制度は、わが国の情報セキュリティ全体
の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを
達成することを目的としたものです。
2.ISMSの認証基準
ISMSの認証基準(Ver.2)は、英国規格BS 7799-2:2002に基づき作成したもので、本基準で使用する
用語、表現については、JIS X 5080:2002(国際規格ISO/IEC 17799:2000)との互換性を確保しています。
2005年のISO/IEC27001の発行に伴い、これに対応して国内規格のJIS Q 27001が発行され、ISMS認証
基準(Ver.2)は、 2006年5月20日よりJIS Q 27001:2006へ移行しました。
3.ISMSの適用範囲
ISMSの適用範囲は、企業情報を大量にマネジメントする企業内の部署を限定して導入を図ることが可
能です。このため、ISMSはPマークに比べ大企業や事業所の多い企業に向いています。
4.登録と維持および更新登録
Copyright©2005-2014 NPO東京ITC
5
情報セキュリティの規格動向
2001/4 2002/4 2003/4 2004/4
英国規 ISO化
格BS
7799-1
2005/4
2007/4
ISO/IEC7799:2005
(2005/6/15)
国際規格ISO/IEC7799:2000 (2000/12)
1995年
▼
2006/4
2008/4
ISO/IEC27002:2007
(予定)
JIS Q 27002:2006 (2006/5/20)
国内規格JIS X 5080:2002 (2002/2)
用語・表現
初回審査終了
2006/11
ISMS認証 ISMS認証
基準v0.8 基準v1.0
英国規
格BS
7799-2
2007/11
ISMS認証基準v2.0(2003/4)
1998年
JIS Q 27001:2006 (2006/5/20)
骨子
改訂
BS7799-2:2002 (2002/9)
OECD8原則
EU指令1995
プライバ
シー
マーク
廃棄
部分施行2003/5
経産省ガイ
ドライン1997
国内規格JIS Q 15001:1999 (1999/3)
Copyright©2005-2014 NPO東京ITC
国際規格ISO/IEC27001:2005 (2005/10/15)
個人情報保護法(2005/4全面施行)
経産省ガイドライン2004/10
JIS Q 15001:2006 (2006/5/20)
6
ISMSとプライバシーマークの比較
ISMS
目的
・企業の情報資産全般のセキュリティマ
ネジメントシステムの確立と運用・維持。
・情報資産をリスクから守る。
プライバシーマーク
・個人情報の取扱について適切に扱って
いる事業者を認定。
・個人の権利・利益を守る。
適用方法 ・ソフト、ハードを含む情報資産全般
⇒業種に関係なく適用
・組織の必要性に合わせて範囲を決定
・自ら保有する個人情報
⇒個人情報をある程度保有する業種
・全社単位の取り組みが前提
審査適用 ISMS認証基準ver.2.0(BS7799)
規格
ISO/IEC27001発行に伴いJIS Q 27001
が5/20に発行
現在はJIS Q 15001:1999
JIS Q 15001:2006が5/20に発行
認証取得 ・2002年スタート
状況
・2010/5月現在‥3523事業者
・1998年スタート
・2010/5月現在‥11437事業者
認証取得 ・適用範囲を限定し逐次範囲拡大可能
方法
・事業者単位(全社単位)に取得
維持更新 ・毎年サーベランス
・3年に1回更新
・2年に1回更新
特色
・管理策を決定する手順が明確でない。
・B2Cビジネスに有効
・個人情報が多い企業で有効
・情報の安全を守る管理策を決定する手
順が明確
・B2B、 B2Cビジネスに有効
Copyright©2005-2014 NPO東京ITC
7
ISMSの標準構築プロセス
ISMS導入・運用フェーズ
1~2ヶ月
ISMS確立フェーズ
2~3ヶ月
P
J
準
備
① ②
ス
タ
ー
ト
〔P〕
トップの関与
適
用
範
囲
境
界
定
義
I
S
M
S
基
本
方
針
策
定
③ ④⑤ ⑥
リ
ス
ク
ア
セ
ス
メ
ン
ト
方
針
策
定
リ
ス
ク
の
識
別
リ
ス
ク
の
分
析
評
価
リ
ス
ク
対
応
選
択
肢
評
価
残
留
リ
ス
ク
等
の
承
認
導
入
運
用
の
経
営
陣
の
許
可
適
用
宣
言
書
の
作
成
ISMS監視・見直しフェーズ ISMS維持・改善
1~2ヶ月
フェーズ2~3ヶ月
〔D〕
審査登録
機関決定
⑦ ⑧ ⑨ ⑩
リ
ス
ク
対
応
管
理
策
選
択
ISO27001ベース(改1)
〔C〕
〔A〕
維持審査
更新審査
① ② ③ ④ ⑤ ⑥ ⑦ ⑧
リ
ス
ク
対
応
計
画
策
定
リ
ス
ク
対
応
計
画
の
実
施
管
理
目
的
・
管
理
策
の
実
施
有
効
性
測
定
方
法
規
定
教
育
訓
練
の
実
施
運
用
状
況
の
管
理
経
営
資
源
の
管
理
セ
キ
ュ
リ
テ
ィ
事
件
事
故
対
応
① ② ③④ ⑤ ⑥ ⑦ ⑧
監
視
手
順
確
立
と
実
施
I
S
M
S
の
有
効
性
見
直
し
管
理
策
の
有
効
性
測
定
残
留
リ
ス
ク
等
の
見
直
し
I
S
M
S
内
部
監
査
の
実
施
マ
ネ
ジ
メ
ン
ト
レ
ビ
ュ
ー
実
施
セ
キ
ュ
リ
テ
ィ
計
画
更
新
現状の情報資産・HW/SWなど
成果物例
手順書例
①適用範囲定義書
②情報セキュリティ基本方針
・情報セキュリティ基本規程
④情報資産目録(台帳)
⑤リスク評価シート
⑥ リスクアセスメント報告書
⑦リスク対応シート
・情報セキュリティ対策規程
⑧残留リスク一覧
⑩適用宣言書
①リスク対応計画書
・情報セキュリティ運営体制案
・事業継続計画書
⑤情報セキュリティ教育・訓練計画書
・情報セキュリティ教育・訓練報告書
⑥情報セキュリティ運用状況報告書
⑧情報セキュリティ事件・事故報告書
⑤内部監査計画書
・内部監査実施報告書
⑥マネジメントレビュー議事録
⑦セキュリティ計画改訂版
⑧ISMS実施報告書
・情報資産管理手順書
・リスクマネジメント手順書
・情報セキュリティ対策基準
・情報セキュリティ教育・訓練手順書
・ISMS文書管理手順書
・その他手順書
・内部監査手順書
・内部監査チェックリスト
・運営委員会実施手順
Copyright©2005-2014 NPO東京ITC
I
S
M
S
実
施
状
況
の
記
録
①② ③ ④
I
S
M
S
改
善
策
実
施
予
備
審
査
是
正
・
予
防
処
置
の
実
施
実
施
処
置
の
伝
達
・
合
意
改
善
目
標
の
達
成
登
録
審
査
認
証
取
得
①改善計画/実施報告
書
②是正・予防処置報告
書
8
作業スケジュール例
作業項目
PJ 準備
フェー ズ
〔I〕準備フェーズ
①概略ヒヤリングと全体計画作成
○
②ISMS導入プロジェクトの編成
○
③PJキックオフ&情報セキュリティセミナー○
〔P〕ISMS確立フェーズ
①適用範囲定義
②I SMS基本方針策定
③リス クアセス メント方針策定
④リス クの識別
⑤リス クの分析評価
⑥リス ク対策選択肢評価
⑦リス ク対応管理策選択・ 手順書作成
⑧残留リス ク等の承認
⑨I SMS導入運用の経営陣の許可
⑩適用宣言書の作成
〔D〕ISMS導入・運用フェーズ
①リス ク対応計画策定
②リス ク対応計画の実施
③管理目的・ 管理策の実施
④有効性測定方法の規定
⑤教育訓練の実施
⑥運用状況の管理
⑦経営資源の管理
⑧セキュリティ事件・ 事故対応
〔C〕ISMS監視・見直しフェーズ
①監視手順確立と実施
②I SMSの有効性見直し
③管理策の有効性測定
④残留リス ク等の見直し
⑤I SMS内部監査の実施
⑥マ ネジメントレビューの実施
⑦セキュリティ計画更新
⑧ISMS実施状況の記録
〔 A 〕 I S M S 維 持 ・改 善 フ ェ ー ズ
①ISMS改善策実施
②是正予防措置の実施
③実施処置の伝達
④改善目標の達成
申請
予備審査
本審査
I SMS認証取得
Copyright©2005-2014 NPO東京ITC
I SMS確立フェーズ
1月
2月
3月
導入運用
4月
5月
6月
監視・ 見直し
7月
8月
維持改善フェーズ 回数
9月
10月
1
11
○
○
○
○
○
○
3
○
○
3
○
○
○
○
○
○
2
○
○
★
★
★
★
★
92 0
適用範囲の決定の考え方
事業
組織
資産
所在地
技術
本社ビル
事業活動特色
全社
業務上の要件
特定の事業部
法的規制
特定の一部門
契約上の要件
特定のサービス
など
など
データセンター
工場
顧客情報
システム技術
個人情報
システム構成
社員情報
ネットワーク構成
技術情報
など
など
情報機器
など
守るべき事業・業務⇒守るべき情報資産
○利害関係者に信頼を与えるように設計する
5つの要素を切り口に適用範囲を決める
取得目的、取得目標、取得期間、取得体制
Copyright©2005-2014 NPO東京ITC
10
情報セキュリテイ管理システム構築の推進体制(例)
統括管理者、事
務局を支援する
代表者
①代表者による役員クラスの
任命
情報セキュリテイ統括管理者
(CISO)
②情報セキュリティ統括管理
者が委員会を立上げ
③各部門の代表者をセキュ
リティ管理者として委員に任
命
外部コンサル
(東京ITC)
④セキュリティ実務を担
当するメンバーを任命。
構築と運用を担当。
情報セキュリティ
委員会
情報セキュリティ委員会事務
局(情報セキュリティ推進G)
情報システム部
Copyright©2005-2014 NPO東京ITC
営業部門
生産部門
経理部
総務部
11
情報セキュリティ文書体系
・「情報セキュリティ」とは情報の機密性、完全性、可用性を保つことであり、
このセキュリティに対する考え方(ポリシー)を明文化し、全社員で共有する
「セキュリティポリシー」
情報
セキュリティ
方針
ポリシー
情報セキュリティ
対策規程
スタンダード
プロシジャー
情報セキュリティ
実施手順
ガイドライン
全社共通事項
Copyright©2005-2014 NPO東京ITC
情報セキュリティへの基本的な考え方を宣言し、情
報セキュリティを考える上でのよりどころとする。基
本方針文書と基本規程で構成。
情報セキュリティ管理上で実施すべき基本
的な対応策を指針として示す。
・事業部門は、事業推進上の固有の要求事
項に応じて、補完・強化する。
情報セキュリティ管理を実施する上で
参照すべき手順書、ガイドライン、社内
関連規定。
・事業部門は、必要に応じて個別のガ
イドラインを作成し、合わせて運用する。
部門補完・強化
12
ISMS文書体系
ISMS文書
実施記録等
関連規程・マニュアルにおけるセキュリティ関連事項
実施記録
ポリシー
スタンダード
情報セキュリティ方針
ISMS構築稟議書
ISMS構築社内通達
情報セキュリティ基本方針
情報セキュリティ基本規程
基本方針文書規程
情報セキュリティ方針書
ISMS適用範囲規程書
ISMS適用宣言書
情報セキュリティ対策規程
情報セキュリティ委員会規程
マネジメントレビュー規程
セキュリティ事象対応規程
緊急時・異常時対応規程
情報システム構築規程
情報システム運用規程
リスク対応計画書
管理策別目標・有効性評価表
基幹システム運用規程
利用者ID管理基準
ユーザ認証基準
ウィルス対策基準
バックアップ基準
暗号化管理規程
委員辞令
委員会議事録
レビュー議事録
セキュリティ事象事故報告書
情報システム関連規程
情報システム取得・開発規程
物理・環境的セキュリティ管理規程
外部サービス規程
情報システム利用規程
事業継続計画規程
情報資産調達規程
基幹システム利用規程
OAシステム利用規程
グループウェア等利用規程
安全管理規程
各種申請書
入退出管理記録
契約書・SLA
情報システム運用記録
アクセスログ
利用者ID申請書
特権パスワード管理台帳
バックアップ記録
情報資産購入申請書
基幹システム利用申請書
グループウェア等利用申請書
適用法令規程
情報システム維持規程
ISMS教育規程
教育計画書
教育実施報告書
ISMS内部監査規程
監査計画書
監査実施報告書
是正処置報告書
ネットワーク管理規程
ISMS文書・記録管理規程
規程文書一覧
記録帳票一覧
変更管理規程
情報システム保守規程
社内ネットワーク管理規程
外部ネットワーク利用規程
保守報告書
ネットワーク監視報告書
業務関連規程
就業規則
罰則規程
人的セキュリティ対策規程
職務規程
誓約書(社員)
誓約書(外部)
職務定義書
情報セキュリティ対策実施手順
プロシジャー
情報資産管理手順書
リスクマネジメント手順書
Copyright©2005-2014 NPO東京ITC
情報資産調査票/台帳
情報資産目録
リスク管理票
残留リスク一覧
各種業務マニュアル
個別業務別マニュアル
各種手順書
外注・購買管理規程
外部委託規程
外部委託先選定基準
外部委託契約書
秘密保持契約書
個人情報保護関連規程
各種規程・細則
その他社内規定
社内稟議規程
稟議書
13
NPO法人東京ITCが提案する取得支援作業
お客様の「顧客満足度向上マネジメント」を支援
(コンプライアンス経営の確立)
標準コンサルティング
現場へのス
ムースな導入
テンプレート活用
効率性
原則複数名担当制
【NPO法人東京ITC】
信頼性
実効性のある
最後まで徹底指導
Pマーク&ISMS認証
完全性
取得支援
プロジェクト管理
確実性
支援実績
Pマーク:約20社 ISMS:5社
守秘契約堅持
安全性
コンサルティング
(オプション)
Copyright©2005-2014 NPO東京ITC
個別支援作業/アフターフォロー
調査・ヒヤリング・教育・監査
リスク最小化提案
導入企業にお
ける人材育成
組織定着
みずほ銀行、
BSIなど有力
企業との提携
研修
(オプション)
14
Fly UP