情報セキュリティ管理は情報やサービスが安全に利用できることを 確実にするプロセスです。情報やサービスが安心して利用できる レベルは事業やサービスの内容によって変わります。 サービス・プロバイダには、事業側が望むサービスのセキュリティ・ レベルで情報やサービスを維持・運営しなければなりませんが、その説明責任を 果たすのがこの情報セキュリティ管理です。
情報システムに必要なハードウェア・ソフトウェア・データ・人員・文書などを情報資産として管理する。
情報資源と情報資産の違いは、内容は同じものを指すが、資産の場合は、自社や自分が所有するものを指し、資源の場合は、自分が所有するもの以外のものもさす。
情報資産管理では、組織が所有するハードウェア・ソフトウェア・データ・人員・文書などを適切に維持管理することが重要。
情報資産は、資産管理簿に登録され適切に取り扱う。データや文書などは特にセキュリティに留意し、セキュリティ管理とも合わせて管理する必要がある。
情報システムに必要なハードウェア・ソフトウェア・データ・人員・文書などを情報資源として管理する。
【 ハードウェア資源管理 】
PC・ネットワーク機器などは、頻繁に移動やメンテナンスが発生するので、的確に管理する必要がある。
CPU・メモリ・HDD・OSや設置場所・使用者などの情報を管理する。
【 ソフトウェア資源管理 】
ソフトウェアの数量・ライセンス数・使用者・配布場所・インストール機器などの情報を的確に管理する。
【 データ資源管理 】
必要なデータだけに適切な人だけがアクセスできるようにし、不適切な人はアクセスできないように管理する。
また、データ量に留意し、使用頻度の少ないデータは、別のアクセス方法を検討し、常にデータ量をコントロールする。
特に個人情報については厳重に管理し、セキュリティを確保し、アクセスログなども利用することを検討する。
【 人的資源管理 】
現在の情報システムは複雑であり、さまざまな技術により成り立っている。そのため、情報システムを管理する人にも、高度な技術・知識が求められる。
また、情報システムを利用するユーザや関係者にも高い情報リテラシが要求される。著作権や個人情報保護などのコンプライアンスが必要になる。
そのため、技術的な講習会だけでなく、情報リテラシやコンプライアンスの普及のための講習会なども必要になる。
【 文書資源管理 】
常に最新の状態に文書を更新し、トラブルやシステム修正時に活用できるように管理されなければならない。
とくに、普段使われない災害対応マニュアルなどもシステムの改定時には、内容を検討し、修正されなければならない。
www.it-shikaku.jp