ホーム
テクノロジ系
C. 技術要素
ⅩⅠ. セキュリティ

2. 情報セキュリティ管理

2024.08.14

「情報セキュリティ管理」における目標

情報セキュリティ管理の考え方を修得し,応用する。

リスク分析と評価などの方法,手順を修得し,応用する。

情報セキュリティ継続の考え方を修得し,応用する。

情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内規程)の目的,考え方を修得し,応用する。

情報セキュリティマネジメントシステム(ISMS)や情報セキュリティに関係するその他の基準の考え方,情報セキュリティ組織・機関の役割を修得し,応用する。

2.1. 情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するために,情報セキュリティ管理の考え方,情報資産などの保護対象を理解する。

用語例

情報セキュリティポリシーに基づく情報の管理,情報,情報資産,物理的資産,ソフトウェア資産,人的資産(人,保有する資格・技能・経験),無形資産,サービス,リスクマネジメント(JIS Q 31000),監視,情報セキュリティ事象,情報セキュリティインシデント

2.2. リスク分析と評価

2.2.1. 情報資産の調査

情報セキュリティリスクアセスメント及び情報セキュリティリスク対応に当たり,情報資産(情報システム,データ,文書ほか)を調査して特定することを理解する。

2.2.2. 情報資産の重要性による分類

機密性,完全性,可用性の側面から情報資産の重要性を検討し,情報資産を保護するために,定められた基準に基づいて情報資産を分類することを理解する。

用語例

機密性,完全性,可用性,情報資産台帳

2.2.3. リスクの種類

調査した情報資産を取り巻く脅威に対するリスクの種類を理解する。

用語例

財産損失,責任損失,純収益の喪失,人的損失,リスクの種類(オペレーショナルリスク,サプライチェーンリスク,外部サービス利用のリスク,SNS による情報発信のリスクほか),ペリル,ハザード,モラルハザード,年間予想損失額,得点法,コスト要因

2.2.4. 情報セキュリティリスクアセスメント

リスクを特定し,そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的又は定性的に把握してリスクレベルを決定し,組織が定めたリスク受容基準に基づく評価を行うことを理解する。

用語例

リスク基準(リスク受容基準,情報セキュリティリスクアセスメントを実施するための基準),リスクレベル,リスクマトリックス,リスク所有者,リスク源,リスクアセスメントのプロセス(リスク特定,リスク分析,リスク評価),リスク忌避,リスク選好,リスクの定性的分析,リスクの定量的分析

2.2.5. 情報セキュリティリスク対応

情報セキュリティリスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定し,その選択肢の実施に必要な管理策を決定することを理解する。

用語例

リスクコントロール,リスクヘッジ,リスクファイナンシング,サイバー保険,リスク回避,リスク共有(リスク移転,リスク分散),リスク保有,リスク集約,残留リスク,リスク対応計画,リスク登録簿,リスクコミュニケーション

2.3. 情報セキュリティ継続

組織が困難な状況(例えば,危機又は災害)に備えて,情報セキュリティ継続(継続した情報セキュリティの運用を確実にするためのプロセス)を組織の事業継続マネジメントシステムに組み込む必要性を理解する。

用語例

緊急事態の区分,緊急時対応計画(コンティンジェンシー計画),復旧計画,災害復旧,バックアップによる対策,被害状況の調査手法

2.4. 情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内規程)

情報セキュリティ管理における情報セキュリティポリシーの目的,考え方,情報セキュリティポリシーに従った組織運営を理解する。また,組織の情報セキュリティ目的,資産の分類・管理手順,情報セキュリティ対策基準などを体系的に定めることを理解する。

用語例

情報セキュリティ方針,情報セキュリティ目的,情報セキュリティ対策基準,情報管理規程,秘密情報管理規程,文書管理規程,情報セキュリティインシデント対応規程(マルウェア感染時の対応ほか),情報セキュリティ教育の規程,プライバシーポリシー(個人情報保護方針),職務規程,罰則の規程,対外説明の規程,例外の規程,規則更新の規程,規程の承認手続,ソーシャルメディアガイドライン(SNS 利用ポリシー)

2.5. 情報セキュリティマネジメントシステム(ISMS)

組織体における情報セキュリティ管理の水準を高め,維持し,改善していくISMS(Information Security Management System:情報セキュリティマネジメントシステム)の仕組みを理解する。

用語例

ISMS 適用範囲,リーダーシップ,計画,運用,パフォーマンス評価(内部監査,マネジメントレビューほか),改善(不適合及び是正処置,継続的改善),管理目的,管理策(情報セキュリティインシデント管理,情報セキュリティの教育及び訓練,法的及び契約上の要求事項の順守ほか),有効性,ISMS 適合性評価制度,ISMS 認証,JIS Q 27001(ISO/IEC 27001),JIS Q 27002(ISO/IEC 27002),情報セキュリティガバナンス( JIS Q 27014 ( ISO/IEC 27014 )), JIS Q 27017(ISO/IEC 27017)

2.6. 情報セキュリティ管理におけるインシデント管理

インシデント発生時から解決までの一連のフローであるインシデント管理を理解する。

用語例

インシデントハンドリング(検知/連絡受付,トリアージ,インシデントレスポンス(対応),報告/情報公開)

2.7. 情報セキュリティ組織・機関

不正アクセスによる被害受付の対応,再発防止のための提言,情報セキュリティに関する啓発活動などを行う情報セキュリティ組織・機関の役割,及び関連する制度を理解する。

用語例

情報セキュリティ委員会,情報セキュリティ関連組織(CSIRT,SOC(Security Operation Center)),サイバーセキュリティ戦略本部,内閣サイバーセキュリティセンター(NISC),IPA セキュリティセンター,CRYPTREC,JPCERT コーディネーションセンター,コンピュータ不正アクセス届出制度,コンピュータウイルス届出制度,ソフトウェア等の脆弱性関連情報に関する届出制度,情報セキュリティ早期警戒パートナーシップ,J-CSIP(サイバー情報共有イニシアティブ),サイバーレスキュー隊(J-CRAT),JVN(Japan Vulnerability Notes),ホワイトハッカー