[情報セキュリティマネジメント試験]情報セキュリティ管理全般[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験における、情報セキュリティ管理全般について学習します。
情報セキュリティ管理
情報セキュリティの管理を行うには持続的に組織体制を見直し、改善を続けていかなければいけません。
また、そもそもどういったルールで運用していくかといった基準の制定も必要です。
規格
規格とは、ルール・取り決めの事です。ルールをまとめ制定したものが規格となります。
規格は標準化のために制定され、例えばUSBケーブルのポートの形は規格によって定められています。
規格を揃えることで、例えばどのメーカーのマウスやキーボードでも、あらゆるメーカーのパソコンにつなげられるようになりました。
規格から外れても罰則はありませんが、対応している製品が他社と互換性がないためユーザの利便性が下がり、結果として売れなくなります。
規格はさらに国際規格と国内規格に分けられます。
国際規格
国際規格は世界で広く利用するための企画です。各国で国際規格をそのまま用いる場合と、各国の情勢に合わせて一部修正して用いる場合があります、
規格を制定する国際標準化機構としてはISO(国際標準化機構)、IEC(国際電気標準会議)が有名です。
国内規格
国内規格は各国で利用するための企画です。国家規格とも呼びます。
日本国内の規格としてはJIS(日本工業規格)やJAS(日本農業規格)があります。
国内規格には国際規格を一部国内に向けて修正したものと、1から国内に向けて作られた純粋な国内規格があります。
純粋な国内規格は他国に通用しないため、世界に向けてのアピール要素としてはあまり効果を発揮しません。
デファクトスタンダード
デファクトスタンダードとは、国際・国内が規格として定めたわけではなくとも市場競争の結果、世界標準となって利用されることです。
例えばPCのOSであるWindowsは世界のコンピュータの9割で導入されており、世界標準となっていますね。
PDCAサイクル
PDCAサイクルはマネジメントにおける中核となる考え方です。取り組みを持続的に改善させるためにPlan・Do・Check・Actの4段階に分けて繰り返します。
段階 | 意味 | 内容 |
Plan | 計画 | 問題点を整理し、目標を立てて、その目標を達成するための計画を作成する。 |
Do | 実行 | 目標と計画を元にして実行する。 |
Check | 評価 | 業務が計画通りに行われ、目標が達成されているかを確認する。 |
Act | 改善 | 評価結果をもとに業務を改善する。 |
確か僕が聞いたPDCAサイクルは
- Plan・・・計画
- Delay・・・遅れ
- Cancel・・・取りやめ
- Apologize・・・謝罪
・・・
PDCAサイクルはActが終わったらそこで終了ではありません。
更に次の段階のPDCAサイクルを回し継続的に改善していく必要があります。
組織運営
セキュリティマネジメントを行う上では次のような組織運営が求められます。
トップダウンの管理体制
全社・全組織で意思を統一し実施するためには各部署の担当者任せではなく、経営者の積極的な関与によるトップダウンの管理体制が欠かせません。
個々人の役割と責任の明確化
実行に続いて評価や見直し、継続的な改善を行うためには誰がいつ、何をどこでなぜどのようにといった5W1Hを明確化する必要があります。
また、不正行為を防ぐために承認する人と承認される人、監査する人とされる人を分離しておく必要があります。
ルールの制定・周知徹底
マネジメントを行うにあたっては、ルールを制定し教育や訓練で周知徹底する必要があります。
違反を早期に発見し、再発防止するための組織体制を組み込む必要があり、万が一故意によるルール違反が発覚した場合は罰則を適用するように就業規則に記載しなければいけません。
例外措置の実施
ルールや規則は守らなければいけませんが、規定を厳密に運用すると逆に業務に支障をきたす可能性があります。
そのため管理自体を目的課せず、あくまで業務を振興する上で必要になるものであることを踏まえて緊急事態には柔軟に対応できる例外措置を準備しなければいけません。
情報セキュリティ委員会
情報セキュリティ委員会は組織の部門間で生じる考えの食い違いを調整するため、経営層が関与して作られる全社横断の運営委員会です。
ISMSでは情報セキュリティ委員会の設置と次の役職の配置を推奨しています。
- 最高情報セキュリティ責任者(CISO)・・・組織内で情報セキュリティを統括する担当幹部
- 最高情報セキュリティアドバイザー・・・知識と経験がある情報セキュリティの専門家
情報セキュリティ管理・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
日本産業規格(JIS)に関する説明のうち,適切なものはどれか。(iPass H.27/春)
ア ISOなど,国際的な規格との整合性に配慮した規格である。
イ 規格に適合しない製品の製造・販売は禁止されている。
ウ 鉱工業の分野ごとに,民間団体が定めた標準を集めた規格である。
エ 食品や医薬品の安全性に関する基準を規定している。
問2
サービスマネジメントシステムにPDCA方法論を適用するとき,Actに該当するものはどれか。(H.29/秋)
ア サービスの設計,移行,提供及び改善のためにサービスマネジメントシステムを導入し,運用する。
イ サービスマネジメントシステム及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
ウ サービスマネジメントシステムを確立し,文書化し,合意する。
エ 方針,目的,計画及びサービスの要求事項について,サービスマネジメントシステム及びサービスを監視,測定及びレビューし,それらの結果を報告する。
解説(クリックで展開)
情報セキュリティ管理・まとめ
今回は情報セキュリティ管理について学習しました。
規格や運営に関する内容は基礎知識として押さえておく必要があります。午後試験でもよく問われるのでしっかりと覚えておきましょう。
次回は情報セキュリティポリシについて学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
ディスカッション
コメント一覧
いつもお世話になっっております。
本ページ 問2(正解:イ)について
解説の文章が下記のようになっていますが、「不正解」のところは「正解」かと思います。
『イ サービスマネジメントシステム及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
→Act(処置)の説明です。したがって不正解です。』
ご指摘ありがとうございます!修正いたしました。