技術要素 - 11.セキュリティ - 2.情報セキュリティ管理

  1. 情報セキュリティ管理
    組織の情報セキュリティ対策を包括的かつ継続的に実施するために,情報セキュリティ管理の考え方,保護対象である情報資産を理解する。
    【用語例】
    物理的資産,ソフトウェア資産
  2. リスク分析と評価
    a. 情報資産の調査
    リスク分析の対象となる情報資産を調査し,特定することを理解する。

    b. 情報資産の重要性による分類
    機密性,完全性,可用性の側面から情報資産の重要性を検討し分類することで,情報資産を保護するための判断基準を作成し,要求される情報セキュリティの水準が定められることを理解する。
    【用語例】
    機密性,完全性,可用性

    c. リスク評価
    調査した情報資産を取り巻く脅威に対するリスクの大きさを,脅威の発生頻度,発生時の被害の大きさから評価することを理解する。
    【用語例】
    リスクの種類,財産損失,責任損失,純収益の喪失,人的損失,ペリル,ハザード,モラルハザード

    d. リスク対策
    リスク評価によって定められた脅威ごとのリスクの大きさと,要求される情報セキュリティの水準とを勘案して,情報セキュリティ対策を定めることを理解する。
    【用語例】
    リスクコントロール,リスクファイナンス,リスク回避,リスク移転,リスク保有,リスク最適化,リスク分離,リスク集中,残留リスク,被害状況の調査手法
  3. 情報セキュリティポリシ
    情報セキュリティ管理における情報セキュリティポリシの基本的な考え方を理解する。
    【用語例】
    情報セキュリティ基本方針,情報セキュリティ対策基準,情報セキュリティ早期警戒パートナーシップガイドライン,コンティンジェンシープラン,ディザスタリカバリ,個人情報保護方針
  4. 企業活動のセキュリティ規程の作成
    リスクを分析,評価した結果に基づいて,情報セキュリティ基本方針,組織のセキュリティ,資産の分類と管理,人的セキュリティ,物理的セキュリティ,技術的セキュリティなどを体系立ててセキュリティ規程を作成することを理解する。
    【用語例】
    雇用契約,職務規程,機密管理規程,文書管理規程,情報管理規程,プライバシポリシ,セキュリティ教育の規程,罰則の規程,対外説明の規程,例外の規程,規則更新の規程,規程の承認手続
  5. 情報セキュリティマネジメントシステム
    組織体における情報セキュリティ管理の水準を高め,維持し,改善していく ISMS ( Information Security Management System :情報セキュリティマネジメントシステム)の基本的な仕組みを理解する。
    【用語例】
    ISO/IEC27001 ,ISMS適合評価制度,ISMS認定, ISO/IEC17799 ( JIS Q 27002 )
  6. セキュリティ機関
    不正アクセスによる被害受付の対応,再発防止のための提言,セキュリティに関する啓発活動などを行うセキュリティ機関の活動を理解する。
    【用語例】
    CSIRT,NISC,IPA セキュリティセンター,CRYPTREC,JPCERT/CC


   

www.it-shikaku.jp