1.情報セキュリティにおけるアクセスコントロールの考え方
2.情報セキュリティにおけるリスクと評価について
すぐに回答がほしいです。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

情報セキュリティ・マネジメント・システム(ISMS)の


考え方では、その情報を知る必要がある人だけが
アクセスできる環境を整備する事です。
たとえばPCのIDとPassWard(以降PW)
リスクと評価については、あなたの会社で扱っている
情報によるけど情報とリスクと重要度でリスクマップを
作成し、会社として評価づけをするしかないです。
一般的に法律や取引先、自社の根幹に関する情報は、
リスクも重要度も高いです。
    • good
    • 0

(財)日本情報処理開発協会(と経済産業省)が推し進めている情報セキュリティの認証基準ドラフト版があります。

何かのご参考になれば。

参考URL:http://isms.jipdec.or.jp/doc/ismsreq08.pdf
    • good
    • 0

ちょっと説明しきれないので、参考リンクを参照してください。


あとISO15408、ISO17799、Common Criteria等で検索をかけると
セミナーの類がいくつか引っかかると思います。

大きな本屋で探せば何冊かでているとおもいます。

参考URL:http://www.ipa.go.jp/security/ccj/index-j.html
    • good
    • 0

このQ&Aと関連する良く見られている質問

Q情報セキュリティスペシャリストについて

平成21年秋期の「情報セキュリティスペシャリスト」の資格取得を目指しています。手元にH20年度のアドミニストレータの参考書と問題集があるのですが、「テクニカルエンジニア(情報セキュリティ)」を別途購入したほうがいいでしょうか?それとも情報セキュリティスペシャリストの参考書及び問題集を購入しなおしたほうがいいでしょうか?

すみませんが、ご回答お願い致します。

Aベストアンサー

来年の春からはテクニカルエンジニア(情報セキュリティ)は無くなりますので
その関連本は旧本になります。

勉強の効率,新範囲に対する適応を考えると情報セキュリティスペシャリストの
本を選ばれた方が良いと思います。

情報セキュリティスペシャリスト試験は春,秋と実施されるので春試験を
収録した秋向けの書籍を選ばれた方が良いでしょう。
それまでは手持ちの情報セキュリティアドミニストレータの本で学習されると
良いと思いますよ。

Q情報セキュリティ対策ガイドライン作成について

電子機器の受注生産を行っている会社で、1社ではなく、複数の会社から受注して生産しています。
その内の何社かは、情報セキュリティ対策ガイドラインを親会社より作成、構築・運用するよう指示がでています、ゆくゆくは、孫受けである当社に波及してくるのではと感じています。

パソコン関連で共通しているのが、パスワードの一元管理が入っています。
・ワークグループだと、端末PC、ファイルサーバ、メールサーバ、1人同一IDで利用する際、使用するPC(サーバ、端末関係なく)すべてに同一IDを登録しパスワードを同じにし、変更する際全てを変える必用がある。
パスワードの一元管理を行うことで、パスアワードの変更は1回のみ行えば良い、こうしないと、月に1回以上パスワードの変更をしなさい、類推されにくいパスワードを設定しなさいは、決めても守られない。

・端末PCにデータを保存出来ないように(盗難・紛失対策)しなさい。

他にも指摘事項は、結構あり、ワークグループでルールを決めて運用し始めましたが一向に親会社からの指摘事項がクリアされず、取引先は、AD(ActiveDirecotory)の導入に踏み切ったそうです。

ADは必須なんでしょうか?

電子機器の受注生産を行っている会社で、1社ではなく、複数の会社から受注して生産しています。
その内の何社かは、情報セキュリティ対策ガイドラインを親会社より作成、構築・運用するよう指示がでています、ゆくゆくは、孫受けである当社に波及してくるのではと感じています。

パソコン関連で共通しているのが、パスワードの一元管理が入っています。
・ワークグループだと、端末PC、ファイルサーバ、メールサーバ、1人同一IDで利用する際、使用するPC(サーバ、端末関係なく)すべてに同一IDを登録しパスワー...続きを読む

Aベストアンサー

ワークグループだとそれの管理が面倒で手間暇がかかるため徹底がおろそかになりがちです。

Windowsパソコンで一元管理を行うためにはADで行うのが一番自然で簡単な方法です。
(パスワードの決まり事も強制できます)

Q情報セキュリティマネジメントシステム ISMS

弊社は小さい会社ですが、個人情報を扱っており、
社内的にその扱い方の業務や統制を見直したいと考えております。

その中で「ISMS」というキーワードが出てきたのですが、
これは「ISO27001」という「資格」のことなのでしょうか?。

それともITILのようなガイドライン、または活動の模範のようなものでしょうか?。

ご教授頂ければ助かります。

A回答 No.1

ISO27001は、企業の情報セキュリティ全般の取扱に関し、企業全体としてのしくみ(ISMS)を作り、それを正しく運用し、必要に応じて改善することを求める規格です。
規格に適合していることを確認してもらうことや、そのための助言をもらうことを、認証機関に求めることが出来ます。
企業のトップが積極的に参加することを求める一方で、本社支社単位や、事業部門別に取得することや、ISMSをゆるめに構築することも許容しています。
個人情報も、情報セキュリティの最重要な要素ですが、ISO27001では、個人情報保護に特化した要求事項はほとんど有りません。
しくみ全体として、企業間取引を主体とした中規模(数百人)以上の企業に向いているように思います。

個人情報に特化した認証制度としては、プライバシーマークが最も知られており、多くの企業が取得しています。
(ISO27001:4493社、プライバシーマーク:13575社)
こちらの方が良さそうに思います。
(私自身は、Pマークの実務経験は無いので、これ以上のことはお伝え出来ませんが。)

参考URL:http://www.iso27001.jp/blog/iso27001isms/2799/

ISO27001は、企業の情報セキュリティ全般の取扱に関し、企業全体としてのしくみ(ISMS)を作り、それを正しく運用し、必要に応じて改善することを求める規格です。
規格に適合していることを確認してもらうことや、そのための助言をもらうことを、認証機関に求めることが出来ます。
企業のトップが積極的に参加することを求める一方で、本社支社単位や、事業部門別に取得することや、ISMSをゆるめに構築することも許容しています。
個人情報も、情報セキュリティの最重要な要素ですが、ISO27001では、個人情報保護...続きを読む

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード


人気Q&Aランキング

おすすめ情報