.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • 国家資格「情報処理安全確保支援士(登録セキスぺ)」
  • 従来の「情報セキュリティスペシャリスト」を
    登録・更新制にし、登録する・しないを選択可能。

試験の略号

  • IPAの情報処理安全確保支援士試験(Registered Information Security Specialist Examination)の略号
  • 恐らく、SC : SeCurity?なんだろうなと。

取得・維持

試験

維持

知識

セキュリティ関連知識に加え、マネジメントに関する知識が必要になる。

セキュリティ関連知識

ISMS(情報セキュリティ・マネジメント・システム

概要

  • ISMS : Information Security Management System

用語

  • 不適合
    要求事項を満たしていないこと。
  • 修正
    検出された不適合の修正(除去)
  • 是正処置
    不適合の
    • 発生源を除去し
    • 再発を防止する。

PMBOKでの是正処置

  • 差異の訂正(プロジェクトを適正な状態に戻す。)
  • 訂正の対象は作業内容
  • 再発防止は予防処置で行う。

標準(手順)

ISMSの標準(手順)が

ISO 27001およびそれと同等なJIS Q 27001

に規定されている。

ISO/IEC 27000 シリーズ

https://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA

ISO/IEC 27000:2013、JIS Q 27000:2014

ISMS 規格についての概要と基本用語集

ISO/IEC 27001:2013、JIS Q 27001:2014

組織のISMSを認証するための要求事項

  • ISMSの標準の中身
  • ISO/IEC 27001に対応するのはJIS Q 27001
    • ISO 27001の最新版がISO/IEC 27001:2013で、
    • 対応する日本語訳がJIS Q 27001:2014。
  • 目次
    • 0 序文
      • 0.1 概要
      • 0.2 他のマネジメントシステム規格との両立性
  • 1 適用範囲
  • 2 引用規格
  • 3 用語及び定義
  • 4 組織の状況
    • 4.1 組織及びその状況の理解
    • 4.2 利害関係者のニーズ及び期待の理解
    • 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
    • 4.4 情報セキュリティマネジメントシステム
  • 5 リーダーシップ
    • 5.1 リーダーシップ及びコミットメント
    • 5.2 方針
    • 5.3 組織の役割,責任及び権限
  • 6 計画
    • 6.1 リスク及び機会に対処する活動
    • 6.2 情報セキュリティ目的及びそれを達成するための計画策定
  • 7 支援
    • 7.1 資源
    • 7.2 力量
    • 7.3 認識
    • 7.4 コミュニケーション
    • 7.5 文書化した情報
  • 8 運用
    • 8.1 運用の計画及び管理
    • 8.2 情報セキュリティリスクアセスメント
    • 8.3 情報セキュリティリスク対応
  • 9 パフォーマンス評価
    • 9.1 監視,測定,分析及び評価
    • 9.2 内部監査
    • 9.3 マネジメントレビュー
  • 10 改善
    • 10.1 不適合及び是正処置
    • 10.2 継続的改善
  • 附属書Aの構成(管理策の14カテゴリ)
    • A.5 セキュリティ方針
    • A.6 情報セキュリティのための組織
    • A.7 人的資源のセキュリティ
    • A.8 資産の管理
    • A.9 アクセス制御
    • A.10 暗号
    • A.11 物理的及び環境的セキュリティ
    • A.12 運用管理
    • A.13 通信のセキュリティ
    • A.14 システムの取得、開発及び保守
    • A.15 供給者管理
    • A.16 情報セキュリティインシデントの管理
    • A.17 事業継続管理の情報セキュリティの側面
    • A.18 順守

ISO/IEC 27002:2013、JIS Q 27002:2014

組織でISMS(管理策)を実践するための規範

  • 27001との違いは、
    • 27001は、監査、フレームワーク考案用(shall)
    • 27002は、詳細な管理策の立案用(should)
  • 27001の14カテゴリの管理策
    最下位には、114の管理策が定義されている。

ISO/IEC 2700X:201X

その他、色々。

情報セキュリティ基本方針

どのような情報資産をどのような脅威から、
どのようにして守るのかについての基本的な考え方。

  • 全社的な基本方針を定めるもので広く社内外に公開する。
  • 詳細に踏み込まず、頻繁に変更しないが、
    ビジネス環境や技術の変化に対応させる。

参考

IPA

IPA 独立行政法人 情報処理推進機構

Wikipedia


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-02-13 (土) 00:24:12 (168d)