昨日の勉強記録

午前2の過去問10問くらい
教科書　44ページ
午後1の過去問1問

今日の勉強範囲はISMS祭りだ。。。
絶対覚えられない。そして、試験にも出ないはず。
まぁ、バカ正直にやっておきましょう。ここだけ飛ばすのも気持ち悪いし。

教科書で学んだ内容は、以下の通り。
・リスク概念とリスクアセスメント
・リスクマネジメントとリスク対応
・情報セキュリティポリシ
・情報セキュリティのための組織
・情報資産の管理及びクライアントPCのセキュリティ

■リスク概念とリスクアセスメント
リスクには投機的リスクと純粋リスクが存在する。

情報セキュリティ対策の効果を高めるため、リスク分析によって組織に内在するさまざまな情報リスクを洗い出すとともに
その影響度を分析・評価し有効な対策を導き出す必要がある。この一連の取り組みをリスクアセスメントという。

リスク分析方法の種類には、以下の4つがある。
・ベースラインアプローチ
・非公式アプローチ
・詳細リスク分析
・組み合わせアプローチ

リスク評価方法の種類は、定量的評価と定性的評価の2種類がある。

■リスクマネジメントとリスク対応

リスクマネジメントは以下の4つのプロセスからなっている。
1.リスクアセスメント
2.リスク対応方法の洗い出し
3.リスク対応の実施
4.リスク及びリスク対応方法の見直し

リスク対応には大きく分けて以下の3つに分かれる。
1.リスクコントロール
　・リスクの回避
　・リスクの低減
　・リスクの移転

2.リスクファイナシング
　・リスクの保有
　・リスクの移転

3.リスクの受容

■情報セキュリティポリシ
情報セキュリティポリシは、以下の3つから出来ている。
・情報セキュリティ基本方針
・情報セキュリティ対策基準
・情報セキュリティ対策実施手順・規約など

情報セキュリティポリシの策定・運用による効果は以下がある。
・情報セキュリティレベルの向上
・セキュリティ対策の費用対効果の向上
・対外的な信頼性の向上

情報セキュリティポリシ策定の留意事項
・策定体制の整備
・外部専門家の活用
・対象とする情報資産の明確化
・目的や罰則の明確化
・曖昧な表現の削除
・ポリシ運用方法の明確化

■情報セキュリティのための組織

●情報セキュリティのための組織に関するISMSの要求事項
・全ての情報セキュリティの責任を定め、割り当てる事
・組織の資産に対する許可されていない、もしくは意図しない変更や、
　不正使用の危険性を低減するため、そう反する職務及び責任範囲を分離する事
・情報セキュリティに関する会議や研究会、情報セキュリティの専門家による協会・団体との適切な連絡体制を維持する事
・プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては情報セキュリティに取り組むこと

情報セキュリティ体制で用意される役割には以下のようなものがある。
・CISO（最高情報セキュリティ責任者）
・情報セキュリティ委員会
・情報セキュリティ委員会事務局
・情報セキュリティ推進担当会議
・情報管理者
・情報システム管理者
・監査担当

■情報資産の管理及びクライアントPCのセキュリティ

●情報資産の管理に関するISMSの要求事項
・情報及び情報処理施設に関連する資産を特定するとともに、当該資産の目録を作成し維持する事
・目録の中で維持される資産を管理する事
・情報の利用の許容範囲、情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則を明確にし文書化し、実施する事
・雇用・契約の終了時に、全ての従業員・外部の利用者は自らが所持する組織の資産をすべて返却する事
・情報を法的要求事項、価値、重要度や取り扱いに慎重を要する度合いなどの観点から分類する事
・組織が採用した情報分類体系に従って情報のラベル付けに関する適切な手順を策定し実施する事
・組織が採用した情報分類体系に従って資産の取り扱いに関する手順を策定し実施する事
・組織が採用した分類体系に従って、取り外し可能な媒体の管理のための手順を実施する事
・媒体が不要になった場合は、手順に従ってセキュリティを保って処分する事
・情報を格納した媒体は、輸送の途中における不正使用や破損などから保護する事