情報セキュリティポリシーとはなんぞや?簡単に言うと「情報セキュリティ対策で大切なこと」です。
まずは文書化!
情報セキュリティ対策をしていくために、企業や組織が自分たちで決めたことを、ちゃんと文書にして定めなければなりません。
このとき作った文書のことを「情報セキュリティポリシー」といいます。
情報セキュリティポリシーに従って活動する
企業や組織は、自分たちが決めた情報セキュリティポリシに従って、ルールを守って活動していきます。
そのための仕組みの一つに「情報セキュリティマネジメントシステム」があります。
情報セキュリティマネジメントシステムとは、組織にある大切な情報を守るための仕組みです。
情報セキュリティマネジメントシステムの流れは、次のようになります。
計画→運用→評価→改善です。細かく中身を見てみます。
情報セキュリティリスクアセスメントのプロセスを決め、運用します。
運用の結果、ちゃんとしているかどうか確認します。
・組織内で行う評価(内部監査)
・外部の人に監査をお願いする評価(外部監査)の2通りあります。
・その他、トップマネジメントに聞き取りを行うマネジメントレビューがあります。
評価の結果、運用している情報セキュリティマネジメントシステムに問題点があった場合は、指摘事項にあがります。指摘事項があがったときは、改善します。
改善のことを是正処置といいます。
いわゆる「P→D→C→A」ですね。
情報を扱っているがために、「リスク」もあるですよね。その「リスク」を見つけ出し、分類わけしたり、評価したりする事を「リスクアセスメント」と言います。
リスクアセスメントは、情報セキュリティマネジメントシステムの「計画」時に実施し、リスク特定、リスク分析、リスク評価を行います。
情報セキュリティマネジメントシステムも、リスクアセスメントとっても難しい!!ですので、問題を解きまくって用語を覚えるほかないです。過去問中心に用語と内容を覚えていくのが最適です。
情報セキュリティマネジメント試験の情報セキュリティポリシーや、リスクアセスメントのところは難しいです。とりあえず用語を頭に叩き込んで点を取るようにしましょう。
リスクレベル
結果とその起こりやすさの組み合わせとして表現されるリスクの大きさ
ベースラインアプローチ
標準の基準をもとに、組織の対策基準を決め、チェックするやり方
非形式的アプローチ
評価の方法がコンサルの判断。人任せw
詳細リスク分析
情報資産に対し、価値・脅威・脆弱性などにわけ、リスクを評価する方法です
組合せアプローチ
複数のアプローチ(ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組合せアプローチ)を組み合わる方法
残留リスク
リスク対応の後に残るリスク。そのまんまw
用語を抑えてから、内容に入っていくとわかりやすいかも。情報セキュリティマネジメント試験で一番わかりにくい、なじみのない所だと感じます。
情報セキュリティポリシーや、運用管理についての資格等が気になる方はITILなどもおすすめです。
世の中ローコード、とかノーコー…
・目的を定め、計画を立てる
このとき情報セキュリティ目的には次の項目を決める必要があります。
・実施事項
・必要な資源
・責任者
・達成期限
・結果の評価方法