...

ISMS/ISO27001 情報セキュリティマネジメント

by user

on
Category: Documents
14

views

Report

Comments

Transcript

ISMS/ISO27001 情報セキュリティマネジメント
ISO/IEC27001(ISMS)の概要
株式会社マネジメントセンター
1-06(090619)
目次
第1章 ISO27001(ISMS)について
第2章 ISO27001(ISMS)構築のポイント
第3章 ISO27001(ISMS)認証取得のポイント
1
©㈱マネジメントセンター
第1章
„
ISO27001(ISMS)について
2
©㈱マネジメントセンター
ISOとは
「ISO」
∥
ISOS:相等しい、平等
(ギリシャ語)
ISOの公用語
∥
英語・フランス語
ロシア語
現在までに約1万件に
及ぶISO規格が
制定されている
ISOには現在
約150ヶ国が
加盟している
3
© ㈱マネジメントセンター
ISOとは
国際規格の作成作業
国際規格の作成作業
通常、それぞれのISO専門委員会(Technical Committee)を通じて実施される。専門委員会が既
に設置されている特定の課題に関心のある各加盟団体は、それぞれ委員会に代表を派遣する権
利を有している
課 題
代表派遣
代表派遣
代表派遣
代表派遣
各加盟団体
各加盟団体
各加盟団体
各加盟団体
代表派遣
代表派遣
代表派遣
代表派遣
ISOの本部
ISOの本部
ジュネーブ
Geneva
ISOの本部は
スイス連邦 ジュネーブにある
4
© ㈱マネジメントセンター
ISMSとは・・・
„
Information Security Management System
(情報セキュリティマネジメントシステム) の略。
„ 企業などの組織が情報を適切に管理し、機密を守るための包
括的な枠組み。
„ コンピュータシステムのセキュリティ対策だけでなく、
① 情報を扱う際の基本的な方針(セキュリティポリシー)
② 方針に基づいた具体的な計画、計画の実施・運用
③ 一定期間ごとの方針・計画の見直し
までを含めた、トータルなリスクマネジメント体系のこと。
5
©㈱マネジメントセンター
情報漏えいの傾向(発生し易い事故例)
通
通信
信
●インターネットから社内LANへの不正アクセス
●インターネットから社内LANへの不正アクセス
●PC内のスパイウェアが気づかないうちに情報を送信
●PC内のスパイウェアが気づかないうちに情報を送信
●アドレス入力ミスによるファイルの誤送信
●アドレス入力ミスによるファイルの誤送信
●CCで大勢の顧客へ同報メールを送信
●CCで大勢の顧客へ同報メールを送信
機
機器
器
メディア
メディア
●ノートパソコンの盗難
●ノートパソコンの盗難
●携帯電話の紛失
●携帯電話の紛失
●CDやDVDディスクをそのまま廃棄
●CDやDVDディスクをそのまま廃棄
●下取りに出したPCのハードディスク解析
●下取りに出したPCのハードディスク解析
●USBメモリーカードを外出先で紛失
●USBメモリーカードを外出先で紛失
●内部者による無断持ち出し、コピー
●内部者による無断持ち出し、コピー
6
©㈱マネジメントセンター
情報漏えいの傾向(発生し易い事故例)
紙
紙
●顧客名簿のコピーをシュレッダーにかけずに廃棄
●顧客名簿のコピーをシュレッダーにかけずに廃棄
●人目に触れやすい付箋紙やメモからID、パスワードが漏えい
●人目に触れやすい付箋紙やメモからID、パスワードが漏えい
●施錠されていない書類ロッカーからの盗難
●施錠されていない書類ロッカーからの盗難
人
人
●顧客データを扱っていることを話題にする
●顧客データを扱っていることを話題にする
●電車の中などで、特定の顧客に関する情報を口にする
●電車の中などで、特定の顧客に関する情報を口にする
7
©㈱マネジメントセンター
情報漏えいの原因
【情報漏えい原因の割合】
8
©㈱マネジメントセンター
情報漏えいの原因
【情報漏えい原因の分類】
№
要 素
原 因
1 技術的
人為ミス
2 技術的
対策不足
3 非技術的
人為ミス
4 非技術的
犯罪
5 その他
%
対応する原因
22.1 設定ミス、誤操作、
管理ミス
4.4 バグ、セキュリティホール、
ウイルス、不正アクセス
24.3 置き忘れ、目的外利用
46.7 内部犯行、情報持ち出し、
盗難
その他、不明
2.4 その他、不明
9
©㈱マネジメントセンター
情報漏えいの経路
【情報漏えい経路の割合】
※FTP : File Transfer Protocol
10
©㈱マネジメントセンター
情報漏えいの経路
【情報漏えい経路の分類】
№
要素
1 インターネット
%
経路
14.5 Web・Net経由、E−mail経由、
FTP経由
2 媒体
75.4 紙媒体、USBメモリ等可搬記録媒
体、PC本体
3 その他、不明
10.2 その他、不明
11
©㈱マネジメントセンター
情報漏えい事件・事故の実際
2009年
保険代理店で顧客リストが車上荒らし被害。
6月4日 保険代理店従業員が自宅駐車場で車上荒らしに遭い、顧客リストを盗まれた。被害に
遭ったリストには、個人情報829件をはじめ、法人情報122件の顧客情報が記載され
ており、氏名や住所、生年月日、電話番号、保険契約といった情報が記載されていた。
2009年
キャンペーンメール約4400を誤送信、メールアドレスが流出。
6月3日 大手通信会社にてメールの誤送信事故が発生し、約4400件のメールアドレスが外部
へ流出したことがわかった。
同社では、キャンペーンを案内する際、1000件ごとに5回にわけて4464件のメールを
送信したが、メールアドレスを宛先に設定する操作ミスが発生。受信者とは関係ない他
受信者のメールアドレスが確認できる状態となった。
2009年
個人情報含む行政文書がWinny経由で流出。
5月28日 福岡県大牟田市の消防本部職員の私用パソコンから、個人情報含む行政文書など約
3000件がファイル共有ソフト「Winny」を介してインターネット上に流出していたことがわ
かった。
2007年
農林水産省の職員自宅から個人情報がWinny経由で流出していた。
4月11日 書類作成のためにデータを持ち帰ったが、作業後もそのまま削除せずに放置。
その後家族によってインストールされたWinnyを通じて、インターネット上へ流出したと
見られている。
12
©㈱マネジメントセンター
情報漏えいによる損害事例
ひとたび
情報漏えいを起こしてしまうと・・・
『私は知らなかった』
などは通用しません!
★金銭的な損害賠償
一人ひとりの金額は僅かですが、
多くの情報が一度に流出すると
総額は膨大になります!
★マイナスイメージ
情報を流出させた
「信用できない企業」として、
顧客や取引先が離れていく!
★役員の責任を追求
情報の流出が、「取締役の任務懈怠」
と判断されれば、株主代表訴訟など
取締役の責任が追及されます!
13
©㈱マネジメントセンター
なぜISMSが必要か
I
S
M
S
の
導
入
■ ハードウェア、ソフトウェア、建物、
人のセキュリティ強化
■ セキュリティ管理体制の強化
セキュリティ
管理体制の
改善・強化
■ 情報漏えいへの対策(未然防止)
■ 不正アクセスへの組織的対応
■ システム破壊、事故対応力の向上
リスク低減
■ 官公庁・大手ITベンダーに対する
受注増大
■ 他社との差別化による受注増大
■ 対外的な信頼性向上による
ビジネスチャンス拡大
売上増加
14
©㈱マネジメントセンター
ISMS認証取得事業者数の推移
ISMS認証取得事業者数推移
2009年5月29日現在
出典:JIPDEC
15
登録:3160
©㈱マネジメントセンター
ISO27001とプライバシーマークの比較
項
目
ISMS適合性評価制度
プライバシーマーク制度
範
囲
組織の必要に応じて適用範囲を
決める(事業部・部・課単位等)
事業者(法人)単位
対
象
情報全体
個人情報(社員情報を含む)のみ
主
眼
リスクマネジメント
コンプライアンス
(個人情報保護)
管 理 策
133の管理策を提示
管理策の提示はなし
運営機関
JIPDECが審査機関を認定
審査機関が認証
Pマークの付与はJIPDEC
審査はJIPDECまたは指定機関
審査基準
ISO/IEC27001
JIS Q 15001
有効期間
有効期間:3年
サーベイランス:毎年
有効期間:2年
サーベイランス:なし
インセン
ティブ
認証取得ロゴマーク
の使用
Pマークの付与
16
©㈱マネジメントセンター
ISO27001とプライバシーマークの違い
個人情報の持ち主の
プライバシー権を保護する
組織内の保護すべき
情報資産を守る
プライバシーマーク
プライバシーマーク
個人情報の取得
個人情報の利用
ISO27001
ISO27001
個人情報の保管
情報資産
マニュアル
サーバ
データベース
17
個人情報
データベース
©㈱マネジメントセンター
Fly UP