ISMSの目的は情報資産の保護
ISMSの目的は、情報資産の保護
Design Safety System with information security
組織が安全で安心となるInfomation Securityについて考えます。Infomation Securityについて、朝日新聞の記事です。
国内の企業や政府機関などを狙ったサイバー攻撃が相次いでいる。こうした攻撃のほとんどは海外から行われ、複数の国のサーバーなどを経由してくる。警察は他国への照会などをしながら捜査を進めるが、攻撃者を検挙し事件として摘発に至るのはまれだ。そこで注目されるのが、捜査などを通じてサイバー攻撃の主体や手口、目的、背景にある組織などを特定する「アトリビューション」と呼ばれる手法だ。取材に応じた警察庁のサイバー警察局長は「攻撃者がいるとみられる国の協力が得られなければ容疑者の検挙は極めて難しいが、検挙できなくてもアトリビューションは重要だ」と話す。(「アトリビューション」は英語で「特定」などを意味する。 捜査で突き止めたサイバー攻撃の主体を名指しし、対外的に公表する手法がパブリック・アトリビューションと呼ばれる。)
欧米などの国では、アトリビューションの結果を公表
攻撃者やその背後の国家などを非難する「パブリック・アトリビューション」の取り組みが進む。Occuapational Health and SafetyもInfomation Securityもマネジメントシステムは、Incident をprevention(未然防止)すること、そのために、ISMS(Infomation Security Management System:情報セキュリティマネジメントシステム)もOHSMS(労働安全衛生マネジメントシステム)も、計画,実施,維持,継続的に運用、改善し続けることが必要です。組織のニーズ、目的,プロセス,組織の規模、構造は時間とともに変化します。
ISMSの目的は、情報資産の保護
利害関係者(顧客、社員)からの信頼獲得です。ISMSは手段ですから、経営体力、体質を強くすることが必須基盤です。
Design Safety System along information security
3つの『情報セキュリティの基本概念』
機密性(Confidentiality)、許可された正当なユーザーがアクセスできるようにシステムがコントロールをする。
完全性(Integrity)、許可された正当なユーザーがアクセスしたときに情報の処理が正確で完全である。
可用性(Availability)、許可された正当なユーザーがアクセスして情報を得ることができる。
組織のそれぞれのマネジメントシステムプロセスに,情報セキュリティーシステム、情報セキュリティ(ISMS)を組み込みが必要です。環境、品質、安全衛生のマネジメントシステムを採用していれば、ISMSは他のISOマネジメントシステム規格と両立性があります。
このISMS規格は,ISO/IEC専門業務用指針 第1部 統合版ISO補足指針の附属書SLに規定する上位構造(HLS),共通の細分箇条題名,共通テキスト並びに共通の用語及び中核となる定義を適用しており,附属書SLを採用した他のマネジメントシステム規格との両立性が保たれている。二つ以上のマネジメントシステム規格の要求事項を満たす一つのマネジメントシステムを運用することを選択する組織にとって有用となる。
Your reference: System of information security
用語及び定義は,JIS Q 27000を参照ください。
ISO/IEC 27000
ISO/IEC 27001:附属書A (規定)管理目的及び管理策以下、
表A.1に規定した管理目的及び管理策は,JIS Q 27002:2014[1]の箇条5〜箇条18に規定したものをそのまま取り入れており,両者の整合が保たれている。JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語 JISQ27001:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
JISQ27002:2014 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範
JISQ27006:2018 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項 JISQ27014:2015 情報技術-セキュリティ技術-情報セキュリティガバナンス
JISQ27017:2016 情報技術-セキュリティ技術-
JISQ 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
