ISMSの実践段階では何を行ったらよいでしょうか?
このページではISMSの実践で行うことについて簡単に説明します。
ISMSの実践内容
やることがたくさんあると分かりにくいです。まずは実践の内容を分類しましょう。
主には以下の4つに分けて実践することを考えてください。
- 教育
- 脆弱性検査
- インシデント管理
- 評価
ISMSの教育について
組織の全従事者(社員のみでなくアルバイトなども含める)に対して、情報セキュリティポリシのルールや手順を知ってもらうために行う教育です。
誰に何を、いつ知らせるか?を決めて、研修内容をあらかじめ決めてみましょう。
伝達する内容
・情報セキュリティポリシや関連する規定
・緊急時の対応
・情報セキュリティの脅威と対策
教育を行う時期
・情報セキュリティポリシの運用開始時と変更時
・新人や中途採用者の入社時、異動時
・セキュリティ事故発生後やルール違反があった場合
あなたの組織では、どのような教育を行いますか?いつ行いますか?
対象者を決めて、研修計画を立ててみましょう。
脆弱性検査
情報システムの脆弱性を発見するための検査も実践に含みます。
検査の時期や方法に合わせて、検査プログラムを組んでみましょう。
検査を行う時期
- システム構築時・更新時に行う(運用前検査)
- システム運用後に行う(定期検査)
検査の方法
- ペネトレーションテスト:疑似的な攻撃を試みる検査
- ファジング:問題を引き起こしそうな細工をしたデータを検査対象に送って動作を確認する検査
- ポートスキャン
- セキュリティパッチの確認
- 未使用ID、不要IDのチェック
あなたの組織のシステムに対して、脆弱性検査をいつ行いますか?
どのような方法で行いますか?
計画を立ててみましょう。
インシデント管理
インシデント発生時の実践です。情報セキュリティポリシ策定時に作った情報セキュリティ実施手順に基づいて行動します。証拠保全や、対応する管理者への連絡が代表的な行動です。
評価
情報セキュリティ対策の有効性や実施状況を確認するためには、評価が必要です。評価の方法は、自己評価と第3者評価があります。
自己評価
自己評価はシステムの担当者である第1者と、従業者である第2者で行います。
自己評価の方法として以下の3つを知っておくと良いでしょう
①自己評価
情報システムの担当者が行う評価の方式です。チェックリストを使って毎日・毎週など定期的に行います。
②自己点検
従業者が情報セキュリティ対策を順守しているかどうか、自分でチェックする方式です。従業者が行うことで、守るべき対策を徹底し、情報セキュリティ意識を向上する効果があります。
情報システムの担当者ではなく、従業者が行います。
③CSA(Control Self Assessment:自己統制評価)
従業者が、自部門の活動の「監査」をみずから行う方式です。
第3者評価
中立の立場の専門家に評価を依頼します。大がかりな評価を行うので、時間や手間、費用がかかります。ISMSでは内部監査と外部監査の2つを行う必要があります。