Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ISMSってどんなもの?
Search
福岡情報ビジネスセンター
February 02, 2024
Education
0
380
ISMSってどんなもの?
社内勉強会用資料です。
ISMSって何?どうやって作られているの?といった観点でまとめた資料です。
福岡情報ビジネスセンター
February 02, 2024
Tweet
Share
More Decks by 福岡情報ビジネスセンター
See All by 福岡情報ビジネスセンター
遅くならないSQLの書き方
fbei_ot
0
130
DBとSQLについて
fbei_ot
0
260
ChatGPTをソフトウェア開発に活用する
fbei_ot
0
520
Other Decks in Education
See All in Education
(2024) Couper un gâteau... sans connaître le nombre de convives
mansuy
2
120
Introduction - Lecture 1 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
1.7k
week15@tcue2024
nonxxxizm
0
560
東工大 traP Kaggle班 機械学習講習会 2024
abap34
1
280
データハンドリング/data_handling
florets1
2
140
Gemini in Android Studio 使ってますか?
satoryo56
0
420
Image Processing 1 : 1.Introduction
hachama
0
190
不登校予防・再登校支援プログラムを提供するToCo (トーコ) の会社紹介資料 toco.mom
toco3week
0
330
学習指導要領から職場の学びを考えてみる / Thinking about workplace learning from learning guidelines
aki_moon
1
670
SQL初級中級_トレーニング【株式会社ニジボックス】
nbkouhou
0
17k
自己紹介 / who-am-i
yasulab
2
4.1k
Requirements Analysis and Prototyping - Lecture 3 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
770
Featured
See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Learning to Love Humans: Emotional Interface Design
aarron
272
40k
Code Review Best Practice
trishagee
64
17k
Adopting Sorbet at Scale
ufuk
73
9k
Making the Leap to Tech Lead
cromwellryan
132
8.9k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
290
Statistics for Hackers
jakevdp
796
220k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Making Projects Easy
brettharned
115
5.9k
Docker and Python
trallard
40
3.1k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Transcript
ISMSってどんなもの? 株式会社福岡情報ビジネスセンター OT勉強会資料 ISO/IEC 27001
もくじ 2 1. 経緯と目的 2. ISMSとは 3. 定期的に行っていること 4. ISO規格改訂
経緯と目的 ISMSの規定が改訂されます 今一度「ISMSとは何なのか」を 確認共有したいと思った次第です
ISMS - Information Security Management System 4 情報セキュリティマネジメントシステム
ISMSとは 5 情報セキュリティの3原則 PDCAサイクル よく耳にする2つの要素 PLAN DO CHECK ACTION 機密性
可用性 完全性
6 ISMSとは ◼ 一定の基準を元に策定したルールのこと ◼ 一定の基準は「ISO規格」に準拠している ◼ 評価機関(認証機関)が一定の基準を満たしているかを 評価する ◼
一定の情報セキュリティレベルを達成することを目的 としている ISMS ルール 評価制度
ISMSとは ー ISO規格との関係性 7 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール
⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員 ISMS
ISMSとは ー 評価機関 8 ◼ 評価機関ってどんなことをするの? ⚫ISMSのルールがISO規格の基準を満たしているか チェック ⚫ISMSのルールを守って運用しているかチェック ⚫ISMSとして承認する
◼ 評価機関ってどこの会社? ⚫https://isms.jp/lst/isr/
ISMSとは ー ISO規格 9 ◼ ISO - International Organization for
Standardization ⚫ 国際標準化機構 ⚫ 役割:製品やサービスを同じ品質やレベルで提供できるように、国際的な基準を発行すること ⚫ 所在地:スイス – ジュネーブ ⚫ ロレックス… ◼ ISO規格 ⚫ 製品やサービスなど、分野によってさまざまな基準が定義されているドキュメントのこと ⚫ 物理的な製品だけでなく、リスクを管理するための仕組みに対しても規格が用意されている ⚫ ISMSのISO規格はここに当たる ⚫ FBIが定義しているISMSの基準 ISO規格に従ってISMSルールを作ったけど、ISO規格ってそもそも何?
ISMSとは ー ISO規格の種類 10 ISO 7010 ISO/IEC 7810 ISO 9001
ISO/IEC 27001 ⚫ 識別カード - 物理的特性 ⚫ 身分証明書カードの4つの形状を定めた国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO/IEC_7810 ⚫ 品質マネジメントシステム - 要求事項 ⚫ 品質マネジメントシステムに関する国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_9000 ⚫ 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 ⚫ 情報セキュリティマネジメントシステム(ISMS)に関する国際規格 ⚫ FBIで認証を受けている規格 ⚫ 図記号 - 安全色及び安全標識 - 職場及び公共の場所で用いる安全標識 ⚫ 危険標識・警告標識・安全標識についての国際標準化機構 の国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_7010
11 ここからはISMS構築の例になります ISO規格、ISMSルール、評価制度の関係性 イメージできたでしょうか?
ISMSとは ー ISO規格との関係性 12 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール
⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員
ISMSとは ー ISMS構築の例 13 ◼ 要求事項(基準) ⚫ クレジットカードはプラスチックで生産しなければならない ⚫ 大きさは「85.6mm
× 53.98mm」で生産しなければならない ISO/IEC 7810 クレジットカードの生産にあたって ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない ⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する(内部監査) ISMS
ISMSとは ー ISMS評価制度の例 14 ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない
⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する(内部監査) ISMS ◼ ちゃんとISO規格の要求を満たせるルールが制定されているか? ⚫ ISMSのドキュメントを確認して要求事項に対するルールの策定漏れが無いかチェックする ◼ ちゃんとISMSの活動をやっているか? ⚫ メーカー〇〇から仕入れた材料の伝票、あるいは現物を見せてください ⚫ 不良在庫の検品記録を見せてください 審査/評価の観点
ISMSとは ー ISO規格 15 ◼ 要求事項の一覧(一部抜粋) 1. ISMS の適用範囲は、文書化した情報として利用可能な状態にしておかなければならない 2.
媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分しなければ ならない 3. アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、 レビューしなければならない(ネットワーク) 4. セキュリティを保つべき領域は,認可された者だけにアクセスを許すことを確実にするた めに、適切な入退管理策によって保護しなければならない(物理的) 5. 組織は、この規格の要求事項に従って、ISMS を確立し,実施し,維持し,かつ,継続的 に改善しなければならない
ISMSとは ー ISO規格 16 ・ISO規格 A.◦.◦.◦ という単位で要求事項が書かれている 全部で114項目
ISO規格改訂 17 ISO規格とは「◦◦しなければならない」という既定の一覧でした。 その規定に従って「弊社では◦◦を行うことで規格の要求を満たします」という形で ISMSが構築されていました。
ISO規格改訂 18 「◦◦しなければならない」という要求事項が統合されたり、追加されたりして 「114」個から「93」個の要求事項に変更になりました 5.7:脅威インテリジェンス 情報セキュリティの脅威に関連する情報を収集/分析し、脅威インテリジェンスを作成する ことが望ましい 5.23:クラウドサービス利用のための情報セキュリティ クラウドサービスの取得、利用、管理、および終了に関するプロセスは、 組織の情報セキュリティの要求事項に基づいて確立することが望ましい。
5.30:事業継続のためのICT備え ICTの備えは、事業継続の目的とICT継続の要求事項に基づいて、 計画、実施、維持、テストされることが望ましい。 全部で93項目
ISO規格改訂 ー やらないといけないこと 19 新規格に従ったルール決め ドキュメント更新 運用レベルでの最適化 ⚫ めんどくさい申請の撤廃など ⚫
ISMS-D1101_ISMS文書管理台帳 に記載しているドキュメントを新規格用に変更 ⚫ セミナーや勉強を行い知識を身に着ける ⚫ 定例会だけでなくバックログ、チャットワークなどを活用して検討を行う
ISO規格改訂 ー やらないといけないこと 20 ・頻繁に不具合が起こるサービスは利用しない。 ・過去に大規模なインシデントが発生したサービスは利用しない。 ・社員の口座情報はクラウド上にはアップロードしない。 など 選定基準を決めてISMSのルールを策定する必要があります。
まとめに入ります 以上、ISO規格改訂の話でした
◼ ISMSとは、セキュリティに特化したルールと基準を満たしているかを評価する制度のこと ISO規格に従って社内のセキュリティルールが構築されている ◼ ISO規格は身近なところにたくさんある クレジットカードや標識など ◼ ISO規格改訂に伴う対応は結構大変
THANK YOU