■情報セキュリティ管理基準やISMS/ISO27001基準等を参考に、セキュリティ方針の決定を行う。
| ISO27001 |
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を維持改善するための規格。リスクアセスメント(※)についても触れられている模様。 |
| ISO27002 |
ISMSの管理方法についての規格。真正性(Authenticity)、責任追跡性(Accountability)、否認防止(Non-repudiation)、信頼性(Reliability)等の特性もあるとしている。 |
| ISO27005 |
情報セキュリティリスクマネジメントについての規格。 |
(※)リスクアセスメントの種類
| ベースラインアプローチ |
実現すべきセキュリティ基準(ベースライン)に基づき、現実の対策とのギャップに対してセキュリティ対策を打っていくアプローチ |
| 非形式的アプローチ |
担当者などが知識や経験に基づきリスクアセスメントを行うこと。人的依存が大きくなりやすい。 |
| 詳細リスク分析 |
情報資産を洗い出し、資産価値・脅威・脆弱性などからリスクを評価する方法 |
■情報漏洩には気をつける。
個人情報、情報資産、貸与物品等の管理は管理簿等で適切に行う。
アクセス制御や暗号化等でファイルを守る。
■脆弱性の対応も重要。
プログラム製造におけるセキュリティリスクについては、
セキュリティ関連も参考にされたし。
最終更新:2025年01月12日 17:43
