[情報セキュリティマネジメント試験]情報セキュリティ管理全般[無料講座・例題付き!]

2021年4月24日

セキュリティ

今回は情報セキュリティマネジメント試験における、情報セキュリティ管理全般について学習します。

くろん
くろん
前回PDCAサイクルとかISOとか出てきたけど、よくわからなかったにゃ
モナ
モナ
これらの考え方や用語はマネジメントにおいて必須ニャ!

情報セキュリティ管理

情報セキュリティの管理を行うには持続的に組織体制を見直し、改善を続けていかなければいけません。

また、そもそもどういったルールで運用していくかといった基準の制定も必要です。

規格

規格とは、ルール・取り決めの事です。ルールをまとめ制定したものが規格となります。

規格は標準化のために制定され、例えばUSBケーブルのポートの形は規格によって定められています。

くろん
くろん
確かに、タイプCとかタイプB毎に形が決まってるにゃ

規格を揃えることで、例えばどのメーカーのマウスやキーボードでも、あらゆるメーカーのパソコンにつなげられるようになりました。

規格から外れても罰則はありませんが、対応している製品が他社と互換性がないためユーザの利便性が下がり、結果として売れなくなります。

規格はさらに国際規格と国内規格に分けられます。

国際規格

国際規格は世界で広く利用するための企画です。各国で国際規格をそのまま用いる場合と、各国の情勢に合わせて一部修正して用いる場合があります、

規格を制定する国際標準化機構としてはISO(国際標準化機構)IEC(国際電気標準会議)が有名です。

国内規格

国内規格は各国で利用するための企画です。国家規格とも呼びます。

日本国内の規格としてはJIS(日本工業規格)JAS(日本農業規格)があります。

国内規格には国際規格を一部国内に向けて修正したものと、1から国内に向けて作られた純粋な国内規格があります。

純粋な国内規格は他国に通用しないため、世界に向けてのアピール要素としてはあまり効果を発揮しません。

デファクトスタンダード

デファクトスタンダードとは、国際・国内が規格として定めたわけではなくとも市場競争の結果、世界標準となって利用されることです。

例えばPCのOSであるWindowsは世界のコンピュータの9割で導入されており、世界標準となっていますね。

キュー
キュー
ちなみにデファクト(de facto)はラテン語で事実上って意味やで。標準化団体による規格はデジュレスタンダードって言うで

PDCAサイクル

PDCAサイクルはマネジメントにおける中核となる考え方です。取り組みを持続的に改善させるためにPlanDoCheckActの4段階に分けて繰り返します。

段階 意味 内容
Plan 計画 問題点を整理し、目標を立てて、その目標を達成するための計画を作成する。
Do 実行 目標と計画を元にして実行する。
Check 評価 業務が計画通りに行われ、目標が達成されているかを確認する。
Act 改善 評価結果をもとに業務を改善する。
チョロ
チョロ

確か僕が聞いたPDCAサイクルは

  • Plan・・・計画
  • Delay・・・遅れ
  • Cancel・・・取りやめ
  • Apologize・・・謝罪

・・・

カズ
カズ
やめなさい!

PDCAサイクルはActが終わったらそこで終了ではありません。

更に次の段階のPDCAサイクルを回し継続的に改善していく必要があります。

組織運営

セキュリティマネジメントを行う上では次のような組織運営が求められます。

トップダウンの管理体制

全社・全組織で意思を統一し実施するためには各部署の担当者任せではなく、経営者の積極的な関与によるトップダウンの管理体制が欠かせません。

個々人の役割と責任の明確化

実行に続いて評価や見直し、継続的な改善を行うためには誰がいつ、何をどこでなぜどのようにといった5W1Hを明確化する必要があります。

また、不正行為を防ぐために承認する人と承認される人、監査する人とされる人を分離しておく必要があります。

ルールの制定・周知徹底

マネジメントを行うにあたっては、ルールを制定し教育や訓練で周知徹底する必要があります。

違反を早期に発見し、再発防止するための組織体制を組み込む必要があり、万が一故意によるルール違反が発覚した場合は罰則を適用するように就業規則に記載しなければいけません。

例外措置の実施

ルールや規則は守らなければいけませんが、規定を厳密に運用すると逆に業務に支障をきたす可能性があります。

モナ
モナ
例えば、災害が起きて機械を止めないと事故が起きそうなときに、不在の上司に確認を取ってからじゃないと止められないルールがあると被害が拡大する可能性があるニャ

そのため管理自体を目的課せず、あくまで業務を振興する上で必要になるものであることを踏まえて緊急事態には柔軟に対応できる例外措置を準備しなければいけません。

情報セキュリティ委員会

情報セキュリティ委員会は組織の部門間で生じる考えの食い違いを調整するため、経営層が関与して作られる全社横断の運営委員会です。

ISMSでは情報セキュリティ委員会の設置と次の役職の配置を推奨しています。

  • 最高情報セキュリティ責任者(CISO)・・・組織内で情報セキュリティを統括する担当幹部
  • 最高情報セキュリティアドバイザー・・・知識と経験がある情報セキュリティの専門家
スポンサーリンク

情報セキュリティ管理・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

日本産業規格(JIS)に関する説明のうち,適切なものはどれか。(iPass H.27/春)

ア ISOなど,国際的な規格との整合性に配慮した規格である。
イ 規格に適合しない製品の製造・販売は禁止されている。
ウ 鉱工業の分野ごとに,民間団体が定めた標準を集めた規格である。
エ 食品や医薬品の安全性に関する基準を規定している。

問2

サービスマネジメントシステムにPDCA方法論を適用するとき,Actに該当するものはどれか。(H.29/秋)

ア サービスの設計,移行,提供及び改善のためにサービスマネジメントシステムを導入し,運用する。
イ サービスマネジメントシステム及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
ウ サービスマネジメントシステムを確立し,文書化し,合意する。
エ 方針,目的,計画及びサービスの要求事項について,サービスマネジメントシステム及びサービスを監視,測定及びレビューし,それらの結果を報告する。

解説(クリックで展開)

情報セキュリティ管理・まとめ

今回は情報セキュリティ管理について学習しました。

規格や運営に関する内容は基礎知識として押さえておく必要があります。午後試験でもよく問われるのでしっかりと覚えておきましょう。

カズ
カズ
継続的に改善するための方法を確認しておこう!

次回は情報セキュリティポリシについて学習します。


スポンサーリンク