ITパスポートの【テクノロジ系】の情報セキュリティマネジメントについて学習を進めていきましょう!
情報はお金と同じように価値のある経営資源の一つとされており、その情報をしっかりと守ることができるように、情報セキュリティの確保に組織的、体系的に取り組むことで、情報セキュリティマネジメントを行う必要があります。
ITパスポート試験でも出題頻度が高い項目となっていますので、『情報セキュリティポリシ』および『情報セキュリティマネジメントの三大特性』は語句の意味や内容についてしっかりと理解しておきましょう。
情報セキュリティにおける重要語句
リスクマネジメントについて
リスクマネジメントとその必要性
会社の活動に伴って発生するあらゆるリスクを管理し、そのリスクによる損失を最小の費用で食い止めるためのプロセス
企業はさまざまなリスクから会社の資産を守るために、いろいろな対策を行う必要性がある。
しかし、すべてのリスクに対応していては、多くの費用が必要になるため、リスクマネジメントでは、リスク対策の費用対効果を最大化するために、さまざまなプロセスを実施する。
リスクマネジメントのプロセス
4つのリスク対策
リスク対策では、明確になったリスクに対して、『どのような対処を』、『いつまでに行うか』を決める必要がある。
そしてリスク対応の方法には、大きく『リスク回避』、『リスク低減』、『リスク移転』、『リスク受容』の4つの方法がある。
情報セキュリティマネジメントについて
情報セキュリティマネジメントとは、情報セキュリティの確保に組織的、体系的に取り組むことで、『情報セキュリティを管理すること』を目的としている。
ISMS(情報セキュリティマネジメントシステム)
組織の情報資産について、『機密性』、『完全性』、『可用性』の3つをバランスよく維持・改善するための仕組み
ISMSにおけるPDCA
情報セキュリティ対策は一度行ったら終わりではなく、情報セキュリティに対する脅威は、社会や技術の変化で絶えず変化していくため、情報セキュリティマネジメントでは『PDCA』サイクルで対応することを推奨されている。
情報セキュリティポリシ
情報セキュリティに関するその組織の取り組み、対策をまとめた文章
情報セキュリティ基本方針
情報セキュリティに関する取り組みを示す文章
経営の上位者が、すべての従業員と社外の利害関係者に対して、情報セキュリティに対する取り組みを公表し、組織が情報セキュリティに対し、本格的に取り組んでいることを示すことができる。
情報セキュリティ対策基準
情報セキュリティ基本方針で作成した目標を達成するためのルール集
実際に守るべき規定を記述し、適用範囲や対象者を明確にすることを目的としている。
情報セキュリティ実施手順
情報セキュリティ対策基準で定めたルールを実施するための手順書
情報セキュリティ対策をどのように行うのかを記述したマニュアルで、文章の作成・管理は各部門で実施される。
情報セキュリティマネジメントの三大特性について
完全性:情報が正確であり、改ざんや破壊が行われていないこと
可用性:必要なときに情報にアクセスできること
・情報セキュリティに関する文章の『内容』、『策定者』、『公開範囲』などの区分をしっかり把握しておきましょう!
・情報セキュリティマネジメントの三大特性『機密性』、『完全性』、『可用性』の意味やその事例についてしっかりと理解しておきましょう。
コメント