Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ISMSってどんなもの?
Search
福岡情報ビジネスセンター
February 02, 2024
Education
0
390
ISMSってどんなもの?
社内勉強会用資料です。
ISMSって何?どうやって作られているの?といった観点でまとめた資料です。
福岡情報ビジネスセンター
February 02, 2024
Tweet
Share
More Decks by 福岡情報ビジネスセンター
See All by 福岡情報ビジネスセンター
遅くならないSQLの書き方
fbei_ot
0
180
DBとSQLについて
fbei_ot
0
320
ChatGPTをソフトウェア開発に活用する
fbei_ot
0
530
Other Decks in Education
See All in Education
勉強したらどうなるの?
mineo_matsuya
10
6.5k
20241002_Copilotって何?+Power_AutomateのCopilot
ponponmikankan
1
160
HP用_松尾研紹介資料.pdf
matsuolab
0
170
1113
cbtlibrary
0
260
Epithelium Flashcards
ndevaul
0
1k
Semantic Web and Web 3.0 - Lecture 9 - Web Technologies (1019888BNR)
signer
PRO
1
2.5k
ACT FAST 20240830
japanstrokeassociation
0
320
Beispiel einer Fortbildung für "Soziales Lernen"
gsgoethe
0
110
オープンソース防災教育ARアプリの開発と地域防災での活用
nro2daisuke
0
170
Qualtricsで相互作用実験する「SMARTRIQS」入門編
kscscr
0
320
The Blockchain Game
jscottmo
0
3.7k
Comment aborder et contribuer sereinement à un projet open source ? (Masterclass Université Toulouse III)
pylapp
0
3.2k
Featured
See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
What's in a price? How to price your products and services
michaelherold
243
12k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Rails Girls Zürich Keynote
gr2m
94
13k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
How to Ace a Technical Interview
jacobian
276
23k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
What's new in Ruby 2.0
geeforr
343
31k
Transcript
ISMSってどんなもの? 株式会社福岡情報ビジネスセンター OT勉強会資料 ISO/IEC 27001
もくじ 2 1. 経緯と目的 2. ISMSとは 3. 定期的に行っていること 4. ISO規格改訂
経緯と目的 ISMSの規定が改訂されます 今一度「ISMSとは何なのか」を 確認共有したいと思った次第です
ISMS - Information Security Management System 4 情報セキュリティマネジメントシステム
ISMSとは 5 情報セキュリティの3原則 PDCAサイクル よく耳にする2つの要素 PLAN DO CHECK ACTION 機密性
可用性 完全性
6 ISMSとは ◼ 一定の基準を元に策定したルールのこと ◼ 一定の基準は「ISO規格」に準拠している ◼ 評価機関(認証機関)が一定の基準を満たしているかを 評価する ◼
一定の情報セキュリティレベルを達成することを目的 としている ISMS ルール 評価制度
ISMSとは ー ISO規格との関係性 7 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール
⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員 ISMS
ISMSとは ー 評価機関 8 ◼ 評価機関ってどんなことをするの? ⚫ISMSのルールがISO規格の基準を満たしているか チェック ⚫ISMSのルールを守って運用しているかチェック ⚫ISMSとして承認する
◼ 評価機関ってどこの会社? ⚫https://isms.jp/lst/isr/
ISMSとは ー ISO規格 9 ◼ ISO - International Organization for
Standardization ⚫ 国際標準化機構 ⚫ 役割:製品やサービスを同じ品質やレベルで提供できるように、国際的な基準を発行すること ⚫ 所在地:スイス – ジュネーブ ⚫ ロレックス… ◼ ISO規格 ⚫ 製品やサービスなど、分野によってさまざまな基準が定義されているドキュメントのこと ⚫ 物理的な製品だけでなく、リスクを管理するための仕組みに対しても規格が用意されている ⚫ ISMSのISO規格はここに当たる ⚫ FBIが定義しているISMSの基準 ISO規格に従ってISMSルールを作ったけど、ISO規格ってそもそも何?
ISMSとは ー ISO規格の種類 10 ISO 7010 ISO/IEC 7810 ISO 9001
ISO/IEC 27001 ⚫ 識別カード - 物理的特性 ⚫ 身分証明書カードの4つの形状を定めた国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO/IEC_7810 ⚫ 品質マネジメントシステム - 要求事項 ⚫ 品質マネジメントシステムに関する国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_9000 ⚫ 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 ⚫ 情報セキュリティマネジメントシステム(ISMS)に関する国際規格 ⚫ FBIで認証を受けている規格 ⚫ 図記号 - 安全色及び安全標識 - 職場及び公共の場所で用いる安全標識 ⚫ 危険標識・警告標識・安全標識についての国際標準化機構 の国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_7010
11 ここからはISMS構築の例になります ISO規格、ISMSルール、評価制度の関係性 イメージできたでしょうか?
ISMSとは ー ISO規格との関係性 12 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール
⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員
ISMSとは ー ISMS構築の例 13 ◼ 要求事項(基準) ⚫ クレジットカードはプラスチックで生産しなければならない ⚫ 大きさは「85.6mm
× 53.98mm」で生産しなければならない ISO/IEC 7810 クレジットカードの生産にあたって ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない ⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する(内部監査) ISMS
ISMSとは ー ISMS評価制度の例 14 ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない
⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する(内部監査) ISMS ◼ ちゃんとISO規格の要求を満たせるルールが制定されているか? ⚫ ISMSのドキュメントを確認して要求事項に対するルールの策定漏れが無いかチェックする ◼ ちゃんとISMSの活動をやっているか? ⚫ メーカー〇〇から仕入れた材料の伝票、あるいは現物を見せてください ⚫ 不良在庫の検品記録を見せてください 審査/評価の観点
ISMSとは ー ISO規格 15 ◼ 要求事項の一覧(一部抜粋) 1. ISMS の適用範囲は、文書化した情報として利用可能な状態にしておかなければならない 2.
媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分しなければ ならない 3. アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、 レビューしなければならない(ネットワーク) 4. セキュリティを保つべき領域は,認可された者だけにアクセスを許すことを確実にするた めに、適切な入退管理策によって保護しなければならない(物理的) 5. 組織は、この規格の要求事項に従って、ISMS を確立し,実施し,維持し,かつ,継続的 に改善しなければならない
ISMSとは ー ISO規格 16 ・ISO規格 A.◦.◦.◦ という単位で要求事項が書かれている 全部で114項目
ISO規格改訂 17 ISO規格とは「◦◦しなければならない」という既定の一覧でした。 その規定に従って「弊社では◦◦を行うことで規格の要求を満たします」という形で ISMSが構築されていました。
ISO規格改訂 18 「◦◦しなければならない」という要求事項が統合されたり、追加されたりして 「114」個から「93」個の要求事項に変更になりました 5.7:脅威インテリジェンス 情報セキュリティの脅威に関連する情報を収集/分析し、脅威インテリジェンスを作成する ことが望ましい 5.23:クラウドサービス利用のための情報セキュリティ クラウドサービスの取得、利用、管理、および終了に関するプロセスは、 組織の情報セキュリティの要求事項に基づいて確立することが望ましい。
5.30:事業継続のためのICT備え ICTの備えは、事業継続の目的とICT継続の要求事項に基づいて、 計画、実施、維持、テストされることが望ましい。 全部で93項目
ISO規格改訂 ー やらないといけないこと 19 新規格に従ったルール決め ドキュメント更新 運用レベルでの最適化 ⚫ めんどくさい申請の撤廃など ⚫
ISMS-D1101_ISMS文書管理台帳 に記載しているドキュメントを新規格用に変更 ⚫ セミナーや勉強を行い知識を身に着ける ⚫ 定例会だけでなくバックログ、チャットワークなどを活用して検討を行う
ISO規格改訂 ー やらないといけないこと 20 ・頻繁に不具合が起こるサービスは利用しない。 ・過去に大規模なインシデントが発生したサービスは利用しない。 ・社員の口座情報はクラウド上にはアップロードしない。 など 選定基準を決めてISMSのルールを策定する必要があります。
まとめに入ります 以上、ISO規格改訂の話でした
◼ ISMSとは、セキュリティに特化したルールと基準を満たしているかを評価する制度のこと ISO規格に従って社内のセキュリティルールが構築されている ◼ ISO規格は身近なところにたくさんある クレジットカードや標識など ◼ ISO規格改訂に伴う対応は結構大変
THANK YOU