1 | 2 | 3 | 4 | 5 |最初 次ページ >>
2018-02-16 07:00:33

2017セキュリティ十大ニュース

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。 

 

2017年12月25日に、JNSA(日本ネットワークセキュリティ協会)から「2017セキュリティ十大ニュース~特異な年2017、停滞が始まったのか~」が公表されています。

これは、JNSAのセキュリティ十大ニュース選考委員会にて、委員の皆さんが選考会を行い、ランク付けしたもので、2017年の情報セキュリティの主要なニュースを振り返り、トレンドを把握できる資料です。


以下、そのランキングです。


【第1位】10月4日
総務省が「IoTセキュリティ総合対策」を発表
~攻撃者が嬉々とするIoT機器の危機的な状況~


【第2位】5月14日
IPAがランサムウェア「WannaCry」に関する注意喚起を発表
~侮るなかれ、セキュリティ対策の基本の基本~


【第3位】8月25日
米国の一私企業のミスで日本の通信インフラが混乱
~巨人の咳一つでゆらぐインターネット~


【第4位】10月16日
世界が狂騒したWPA2の脆弱性は狂想だった
~SNSでの不確かな憶測情報が不安を助長した~


【第5位】12月20日
米国、サイバー攻撃に北朝鮮関与を断定
~国家によるサイバー攻撃の常態化~


【第6位】12月5日
長野県の高校生が不正アクセス容疑で逮捕される
~目立つサイバー犯罪の低年齢化~


【第7位】5月30日
改正個人情報保護法が全面施行に
~個人情報の保護と利活用の両立に効果を発揮するか~


【第8位】9月7日
米国消費者信用情報会社Equifaxで大量の個人情報が流出
~止まらぬ大規模情報漏洩事件~


【第9位】10月2日
IPA「情報処理安全確保支援士」累計で約7,000名に!
~2020年までに3万人は達成できるのか~


【第10位】10月31日
セキュリティ会社員がウイルス保管容疑で逮捕
~セキュリティ企業が時代の要請に応えるために~

    


JNSAのサイトではそれぞれの解説がございますので、詳細は以下をご確認ください。
http://www.jnsa.org/active/news10/
 

AD
 |  リブログ(0)
2018-02-01 06:50:17

JIS改正に伴うプライバシーマーク審査基準の改正

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

「JIS Q 15001」の改正に伴い、2018年1月12日に、プライバシーマーク制度を運営するJIPDEC(日本情報経済社会推進協会)より、「プライバシーマーク付与適格性審査基準」が公表されました。


プライバシーマークの審査では、「JIS Q 15001」の要求事項に対する適合性が審査されますが、審査の際の基準の参考資料として、これまで「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」第二部「JIS Q 15001 各要求事項についてのプライバシーマーク付与適格性審査の基準」がありました。
https://privacymark.jp/system/guideline/pdf/guideline_V2.0_160104.pdf

上記「ガイドライン」は、「JIS Q 15001:2006」に対応するものであり、今回ご紹介する「プライバシーマーク付与適格性審査基準」は、改正されたJIS、すなわち、「JIS Q 15001:2017」に対応する審査基準の位置づけとなります。


この「ガイドライン」も今後改訂されるようですが、今回公表された「プライバシーマーク付与適格性審査基準」には、以下のように記載されていることから、

○プライバシーマーク付与適格性審査との関係
・プライバシーマーク付与適格性審査では、事業者における
 個人情報の取り扱いの状況及びこの審査項目で定められた
 事項の実施状況について確認を行う。


2017年版JISでの審査においては、この「プライバシーマーク付与適格性審査基準」に記載されている審査項目を用いて審査が行われるものと考えられます。


この「プライバシーマーク付与適格性審査基準」は、「A.3.1.1 一般」から始まり、「A.3.8 是正処置」で終わっており、それぞれは、「審査項目」「確認・方法」及び「留意事項」で構成されています。

前回ご紹介のとおり、「JIS Q 15001:2017」では、「本文」は、ISOのマネジメントシステム規格と同じ10章構成で要求事項が記載され、これまでの要求事項(「JIS Q 15001:2006」の「本文」に相当するもの)は、「附属書A」に位置づけられました。

この「プライバシーマーク付与適格性審査基準」は、「附属書A」をもとに構成されていることから、プライバシーマーク付与適格性審査では、「JIS Q 15001:2017」の要求事項である「本文」ではなく「附属書A」を中心に確認されることがうかがえます。


また、「JIS Q 15001:2017」には、114項目の管理策が記載された「附属書C」が設けられ、「附属書A」(A.3.4.3.2 安全管理措置)に、“安全管理措置に関する管理目的及び管理策は、附属書Cを参照”という記述があることから、「附属書C」が審査上、どのように取扱われるかが気になるところでした。

これについては、この「プライバシーマーク付与適格性審査基準」(A.3.4.3.2 安全管理措置)《留意事項》に、“附属書Cは安全管理措置を決定するための参考であり、 附属書Cに示す事項を一律に求めるものではない。”とあることから、114項目の管理策を一律に実施することが要求されているわけではないようです。


なお、この「プライバシーマーク付与適格性審査基準」の各内容は、「ガイドライン」に比べると全体的に項目は少なくなっていますが、概ね「ガイドライン」第二部に近いことが書かれています。


これらを踏まえ、差異と新規の要求事項を意識して、実物をご確認いただければと考えます。
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf

 

 

 

 

 

AD
 |  リブログ(0)
2018-01-16 07:23:11

「JIS Q 15001:2017」の概要

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2017年12月20日に、「JIS Q 15001:2017」が発行されました。

この規格は、個人情報保護マネジメントシステムの要求事項が書かれたもので、プライバシーマークの審査等で用いられています。

1999年に初版制定後、個人情報保護法の全面施行(2005年4月1日)を受け2006年5月20日に改正され、今回、改正個人情報保護法の全面施行(2017年5月30日)を受けて、2度目の改正となりました。


発行された「JIS Q 15001:2017」の構成は、以下のとおりです。

・本文
・附属書A(規定)管理目的及び管理策
・附属書B(参考)管理策に関する補足
・附属書C(参考)安全管理措置に関する管理目的及び管理策
・附属書D(参考)新旧対応表



それぞれの概要は、以下のとおりです。

○本文
・ISOのマネジメントシステム規格と同じ10章立ての構成となりました。
・特に、情報セキュリティマネジメントシステム(ISMS)の要求事項
 である「JIS Q 27001:2014(ISO/IEC 27001:2013)」の本文と
 非常によく似た内容となっています。

○附属書A
・「JIS Q 15001:2006」の本文(3.1~3.9の要求事項)に、
 改正個人情報保護法を踏まえ加筆・修正された内容となっています。
・本文6.1.3c)にて、リスク対応の管理策をこの「附属書A」に示す
 管理策と比較することが求められています。

○附属書B
・附属書Aの補足説明が書かれています。
・「JIS Q 15001:2006」の解説の内容から抜粋・整理した
 ような内容となっています。

○附属書C
・「JIS Q 27001:2014」の附属書A(114の管理策)と
 ほぼ同じ内容となっています。
・附属書AのA.3.4.3.2(安全管理措置)に“附属書Cを参照”
 と記載されており、安全管理措置を決定する際に参照する
 リスト的な位置づけとなっています。

○附属書D
・新旧規格の目次対応と用語対応が表にまとめられています。
・目次対応表は、「JIS Q 15001:2017」の本文及び附属書Aが左に、
 対応する「JIS Q 15001:2006」の本文が右に配置されています。



リスク対応部分については、前述のとおり、以下のような構造となりました。

「JIS Q 15001:2017」6.1.3 c) → 「附属書A」と比較
「附属書A」A.3.4.3.2 → 「附属書C」を参照



一方、ISMS(「JIS Q 27001:2014」)では、以下の構造となっています。

「JIS Q 27001:2014」6.1.3 c) → 「附属書A」と比較
 (この附属書Aは「JIS Q 27001:2014」の附属書Aであり、
  「JIS Q 15001:2017」の附属書Cに相当します)

このことから、「JIS Q 15001:2017」の方が、「JIS Q 27001:2014」よりも一階層深く、複雑な構造となっていることがうかがえます。



また、改正個人情報保護法を踏まえ、「個人データ」「保有個人データ」という用語が採用されましたが、以下のとおり、個人情報保護法よりも広い範囲の管理が求められているため、留意が必要です。

・A.3.3.1(個人情報の特定)
“特定した個人情報については、
 個人データと同様に取り扱わなければならない”


・A.3.4.4.1(個人情報に関する権利)
“保有個人データに該当しないが、本人から求められる
 利用目的の通知、開示、内容の訂正、追加又は削除、
 利用の停止、消去及び第三者への提供の停止の請求などの
 全てに応じることができる権限を有する個人情報についても、
 保有個人データと同様に取り扱わなければならない”




今回の改正は、ISMSに取組む組織から見れば馴染みやすく適用しやすいと考えられますが、プライバシーマークのみ取組んでいる組織には、本文・附属書C部分に戸惑う要素が多いように感じられます。

ただ本質的な部分は変わりませんので、正しく見極めれば戸惑いも解消できるものと考えます。



実はこの「JIS Q 15001:2017」の発行を受け、2018年1月12日に、プライバシーマーク制度を運営しているJIPDECより、「プライバシーマーク付与適格性審査基準」が公表されています。
https://privacymark.jp/system/operation/jis_kaisei/index.html

 

次回はこの新しい審査基準についてご紹介させていただく予定です。





 

AD
 |  リブログ(0)
2018-01-01 07:07:33

2018年のテーマは「整理」

テーマ:モットー

皆さん、明けましておめでとうございます。
(株)マネジメント総研の小山です。

 

昨年(2017年)は、「具体」をテーマに掲げ、1文字加えたバリエーション(具体案、具体化、具体策、具体性、具体的、具体論、など)を含めて意識して取組んで参りました。
 
 
その結果、「具体」を意識して取組むことは、仕事の質を高めることに直結することを実感した1年でした。
 
そして、さらに質を高めるためには、「整理」が必要だと感じるに至りました。
 
 
そこで、今年(2018年)は、「整理」をテーマに掲げ取組んで参ります。
 
 
「整理」とは『新明解国語辞典』によると以下のとおりです。
 
(1) 乱雑な状態にあるものに秩序を与えて、すぐ利用出来るようにしたり
  事がうまく進むようにしたりすること
 
(2) 不必要な要素を省いたり統廃合を行なったりして新秩序を作り、
  仕事の能率化を図ること

 
 
より期待に応えられるよう、より多くの機会にお役立ちできるよう、(1)も(2)も実践し、仕事の質を一層高める一年にして参る所存です。
 
 
2018年もどうぞよろしくお願いいたします。
 
 
 
 
 

 |  リブログ(0)
2017-12-16 07:51:00

中小企業向けサイバーセキュリティ対策の極意

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2017年11月に、東京都より無償の冊子として、「中小企業向けサイバーセキュリティ対策の極意」が発行されました。

「サイバー探偵 冴羽 守(さいば まもる)」というキャラクターを用い、サイバー攻撃の必須対策や事故発生時の初期対応等がまとめられています。

200ページほどありますが、多彩なイラストとともに具体的な内容が書かれており、非常に分かりやすいです。


以下、主な内容です。

○知っておきたいサイバー攻撃の知識
 ・標的型攻撃による情報流出
 ・ランサムウェアを使った詐欺・恐喝
 ・Webサービスからの個人情報の窃取
 ・集中アクセスによるサービス停止
 ・内部不正による情報漏えいと業務停止
 ・Webサイトの改ざん
 ・インターネットバンキングの不正送金
 ・悪意のあるスマホアプリ
 ・巧妙・悪質化するワンクリック詐欺
 ・Webサービスへの不正ログイン
 ・公開された脆弱性対策情報の悪用
 ・IoT機器を踏み台にした攻撃
 ・中小企業におけるサイバー攻撃被害の例

○対サイバー攻撃アクション
 ・サイバー攻撃に対して何ができるか
 ・OSとソフトウェアのアップデート
 ・ウイルス対策ソフト・機器の導入
 ・定期的なバックアップ
 ・パスワードの管理
 ・アクセス管理
 ・紛失や盗難による情報漏えい対策
 ・持ち込み機器対策
 ・電子メールの安全利用
 ・標的型攻撃メールへの対応
 ・迷惑メール発信への対応
 ・安全なWebサイト利用
 ・閲覧制限
 ・重要情報の洗い出し
 ・重要情報の保管

○経営者は事前に何を備えればよいのか?
 ・サイバーセキュリティ対策は、事業継続を脅かすリスクの1つ
 ・自社のIT活用・セキュリティ対策状況を自己診断する
 ・ビジネスを継続するために
  (守りのIT投資とサイバーセキュリティ対策)
 ・ビジネスを発展させるために
  (攻めのIT投資とサイバーセキュリティ対策)
 ・セキュリティホールを減らす網羅的・体系的な対策の策定方法

○もしもマニュアル
 ・緊急時対応用マニュアルの作成
 ・基本事項の決定
 ・漏えい・流出発生時の対応
 ・改ざん・消失・破壊・サービス停止発生時の対応
 ・ウイルス感染時の初期対応
 ・届け出および相談
 ・大規模災害などによる事業中断と事業継続管理

○サイバー攻撃対策シミュレーション
 ・Scene1 サイバー攻撃前夜
 ・Scene2 攻撃発生その瞬間
 ・Scene3 サイバー攻撃直後
 ・Scene4 潜入拡大
 ・Scene5 顧客・取引先への被害の拡大
 ・Scene6 サイバー攻撃の発覚
 ・Scene7 原因が判明(ウイルス感染が原因)
 ・Scene8 再発防止策の作成
 ・Scene9 復旧回復



都内に事業所を有する中小企業には順次配布されているようですが、インターネット上でPDFデータが公開されています。
http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/


「この冊子の使い方」には、以下のように記載されています。

・どんなサイバー攻撃があるのかを知る
・被害を予防するための対策を行う
・経営者が備えるべきことを知る
・会社としての対応計画を準備する
・攻撃シーンを想定して実際に行動する



ぜひご確認いただき、参考にしていただければと考える次第です。




 

 |  リブログ(0)
2017-12-01 06:17:05

ISOと不祥事

テーマ:マネジメントシステム

皆さん、こんにちは。
(株)マネジメント総研の小山です。


品質データ改竄による不祥事で信頼を失うケースが話題になっています。

品質のマネジメントシステムと言えば「ISO 9001」ですが、認証を取得している組織が不祥事を起こすケースも見られます。


そもそも、「ISO 9001」とは何か?

「ISO 9001」の序文には次のように書かれています。

組織は,この企画に基づいて品質マネジメントシステムを実施することで,次のような便益を得る可能性がある。
a) 顧客要求事項及び適用される法令・規制要求事項を満たした製品及びサービスを一貫して提供できる。
b) 顧客満足を向上させる機会を増やす。
c) 組織の状況及び目標に関連したリスク及び機会に取り組む。
d) 規定された品質マネジメントシステム要求事項への適合を実証できる。



組織の品質マネジメントシステムが「ISO 9001」の要求事項を満たすように構築され運営されていることを、審査機関の審査員が審査し評価する制度が、このd)に当たります。


ISOの規格は、“~しなければならない”という表現で「What」について書かれており、各組織は、それを満たすように「How」を検討し仕組み化する形で、品質マネジメントシステムを構築します。

その際、疎かにしてはいけないのは「Why」です。


何のために実施するのか?

「規格が要求しているから」では、お粗末です。
その組織がISOに取組む「目的」があるはずです。

そして、その目的に沿っているか、目的達成に貢献しているか、効果を発揮しているか、を意識することが肝要です。


また、品質マネジメントには「原則」があります。
これは規格要求事項には数えられていませんが、土台的な位置づけだと考えられます。

「ISO 9001」の序文に掲げられている「品質マネジメントの原則」は以下の7項目です。

・顧客重視
・リーダーシップ
・人々の積極的参加
・プロセスアプローチ
・改善
・客観的事実に基づく意思決定
・関係性管理



それぞれの内容は、過去にご紹介したことがありますので、こちらをご覧ください。

▼品質マネジメントの原則(2015年11月1日記事)
https://ameblo.jp/management-souken/entry-12090552428.html


ISOの認証取得は、組織の目的達成のために行うものですが、第三者によるお墨付きにより、顧客の期待も高まります。

その一方で、「認証を取得しているのだから、そういう仕組みが構築され、運営されているに違いない」と、顧客が期待し信用してくださる中、不祥事を起こすと、顧客の信用を大きく損ねてしまう、諸刃の剣の側面もあります。

ただ、それば本来の目的を見失い、真摯に取り組まないことによるリスクです。


ISOは、世界の専門家が議論に議論を重ねて作り上げる規格であり、それぞれの要求事項の意図を踏まえて仕組みを築き、真摯に運営すれば、効果に結びつくものです。


その効果を得るため、得続けるためには、関わる皆が、本来の目的を意識し、原則を土台に、真摯に取り組み続けることが何よりも大切なことだと考える次第です。




 

 |  リブログ(0)
2017-11-16 07:23:11

当社のBCMS(事業継続マネジメントシステム)2017

テーマ:事業継続マネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

先日、当社のISO 22301(BCMS:事業継続マネジメントシステム)の定期審査がありました。


一昨年から来ていただいている
エース級の審査員の審査も今回が3回目です。


一昨年は、不適合なし、改善の機会3件、グッドポイント1件。
更新審査だった昨年は、不適合なし、改善の機会2件、グッドポイント1件。

今回は、改善の機会をたくさん出してほしいと要望し、
不適合なし、改善の機会4件、グッドポイント1件という結果でした。


BCMSの取組みは2013年度から始め、毎年環境変化を考慮し、事業影響度分析(BIA)やリスクアセスメント(RA)を実施してきましたが、前年対比ができる継続性を意識し、手法変更には手をつけずに来ました。

・事業影響度分析(Business Impact Analysis)
 活動、及びその活動に対して事業の中断・阻害が及ぼし得る影響を
 分析するプロセス
・リスクアセスメント(Risk Assessment)
 リスク特定、リスク分析及びリスク評価のプロセス全体

(「JIS Q 22301:2013」より)


昨年度、更新審査を受け、再認証となったことを受け、2017年度はその手法変更に着手しており、その点について、審査でグッドポイントの評価をいただいた次第です。


また、改善の機会については、BIAに関して1件、RAに関して1件、事業継続手順に関して2件の気づきが得られました。


特に大きな収穫は、最大許容停止時間(MTPD)と目標復旧時間(RTO)の関係についての考え方に関する気づきでした。

・最大許容停止時間(Maximum Tolerable Period of Disruption)
 製品・サービスを提供しない、又は事業活動を行わない結果として
 生じる可能性のある悪影響が、許容不能な状態になるまでの時間
・目標復旧時間(Recovery Time Objective)
 インシデントの発生後、次のいずれかの事項までに要する時間
 - 製品又はサービスが再開される
 - 事業活動が再開される
 - 資源が復旧される

(「JIS Q 22301:2013」より)


これらの気づきを、自社のレジリエンス強化につなげるとともに、事業継続マネジメント(BCM)のコンサルティングに生かしてまいります。

・事業継続マネジメント(Business Continuity Management)
 組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる
 可能性がある事業活動への影響を特定し、主要な利害関係者の利益、
 組織の評判、ブランド、及び価値創造の活動を保護する効果的な対応
 のための能力を備え、組織のレジリエンスを構築するための枠組みを
 提供する包括的なマネジメントプロセス

(「JIS Q 22301:2013」より)


引き続き、お客様や社会に役立つための存在意義を考え、その使命を果たすための事業継続の仕組みを、当社自らが試行運用し、ノウハウを蓄積し、提供できるように、励んでまいります。


▼当社の「事業継続マネジメント方針」
https://management-souken.co.jp/company/bcms_policy/



 

 |  リブログ(0)
2017-11-01 06:22:55

「分ける」と「分かる」

テーマ:ファシリテーション

皆さん、こんにちは。
(株)マネジメント総研の小山です。

普段のコンサルティングで意識していることの一つに、「分かる」があります。

この「分かる」について、2008年にこんなことを記録しています。

# お客様先にて、お客様側のプロジェクトリーダーの進め方に完敗。
#
# こちらで文書案を作成し、後は現場でないと分からないので、
# とお客様側に渡そうとしたときの話。
#
# お客様側の担当の方は、どう手をつけたら良いか分からない、
# でもこちらではこれ以上は書けないという状況下で、
# 打合せの中で整理していくか、持ち帰って検討してもらうか
# の選択を迫った。
#
# が、お客様側のプロジェクトリーダーは違った。
#
# 担当の方に対して、分からないというけれど、個別に見るとどうか、
# と促し、パーツごとに役割分担を決める手法を持ち出した。
#
# 内部の役割分担の話だから、そこはお客様側の仕事という
# 見方もあるだろうが、どう手をつけたら良いか分からない
# と感じている中で、無理にお客様側にボールを預けるのは
# いかがなものか、プロのコンサルとしては、自らパーツごとに
# 役割分担を整理するところまで踏み込むべきだったと反省。


恥ずかしながら、当時の自分にとって、大きな気づきとなった出来事で、これを受けて、翌2009年の心掛けの一つに以下をあげて、日々意識することにした次第です。

# 「分解」
# わからないことはわかるところまで、
# できないことはできるところまで


それ以降は、コンサルティング場面でのやりとりもそうですが、その後、取組んでいただく課題についても、お客様側に納得感があるか、打合せを終えた後の行動がイメージできているか、を感じ取ろうと意識するようになりました。

そして、まだ足りないと感じたときは、この2008年の出来事を教訓に、「分からない」ところを「分けて」、「分かる」ように働きかけることを心掛けています。




 

 |  リブログ(0)
2017-10-16 06:00:54

ISOマネジメントシステムの世界認証件数

テーマ:マネジメントシステム

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2017年9月にISO(国際標準化機構)より、『The ISO Survey 2016』が公表されました。
https://www.iso.org/the-iso-survey.html

 

これは、11の認証規格について、2016年12月31日までに世界で発行された認証件数を集計したものです。

今回は、この集計結果について、代表的なものをピックアップしてご紹介します。


○ISO 9001(QMS/品質マネジメントシステム)
・認証件数:1,106,356件(前年比7%増;72,176件増)
・2015年版での認証:80,596件(全体の7.3%)
・上位10か国
 (1) 中国(350,631件)
 (2) イタリア(150,143件)
 (3) ドイツ(66,233件)
 (4) 日本(49,429件)
 (5) イギリス(37,901件)
 (6) インド(37,052件)
 (7) スペイン(34,438件)
 (8) アメリカ(30,474件)
 (9) フランス(23,403件)
 (10) ブラジル(20,908件)


○ISO 14001(EMS/環境マネジメントシステム)
・認証件数:346,189件(前年比8%増;26,693件増)
・2015年版での認証:23,167件(全体の6.7%)
・上位10か国
 (1) 中国(137,230件)
 (2) 日本(27,372件)
 (3) イタリア(26,655件)
 (4) イギリス(16,761件)
 (5) スペイン(13,717件)
 (6) ドイツ(9,444件)
 (7) インド(7,725件)
 (8) フランス(6,695件)
 (9) ルーマニア(6,075件)
 (10) アメリカ(5,582件)


○ISO/IEC 20000-1(ITSMS/ITサービスマネジメントシステム)
・認証件数:4,537件(前年比63%増;1,759件増)
・上位5か国
 (1) 中国(1,666件)
 (2) インド(442件)
 (3) 日本(285件)
 (4) イギリス(217件)
 (5) スペイン(215件)


○ISO 22000(FSMS/食品安全マネジメントシステム)
・認証件数:32,139件(78件増)
・上位10か国
 (1) 中国(11,069件)
 (2) ギリシャ(2,227件)
 (3) インド(2,000件)
 (4) イタリア(1,304件)
 (5) 日本(1,180件)
 (6) 台湾(919件)
 (7) ポーランド(701件)
 (8) ルーマニア(682件)
 (9) トルコ(651件)
 (10) スペイン(611件)


○ISO 22301(BCMS/事業継続マネジメントシステム)
・認証件数:3,853件(前年比23%増;720件増)
・上位10か国
 (1) インド(480件)
 (2) イギリス(345件)
 (3) 日本(200件)
 (4) シンガポール(160件)
 (5) オランダ(64件)
 (6) 韓国(48件)
 (7) アラブ首長国連邦(47件)
 (8) フィリピン(43件)
 (9) アメリカ(40件)
 (10) トルコ(39件)


○ISO/IEC 27001(ISMS/情報セキュリティマネジメントシステム)
・認証件数:33,290件(前年比21%増;5,754件増)
・上位10か国
 (1) 日本(8,945件)
 (2) イギリス(3,367件)
 (3) インド(2,902件)
 (4) 中国(2,618件)
 (5) ドイツ(1,338件)
 (6) イタリア(1,220件)
 (7) アメリカ(1,115件)
 (8) 台湾(1,087件)
 (9) スペイン(752件)
 (10) オランダ(670件)


○ISO 39001(RTSMS/道路交通安全マネジメントシステム)
・認証件数:478件(今回から調査開始)
・上位5か国
 (1) 日本(127件)
 (2) イギリス(92件)
 (3) スペイン(49件)
 (4) イタリア(38件)
 (5) アラブ首長国連邦(29件)

 

 

 

 

 

 |  リブログ(0)
2017-10-01 07:05:27

サイバーセキュリティ経営ガイドライン Ver.2.0(案)

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。

(株)マネジメント総研の小山です。

 

2015年12月に経済産業省・IPA(独立行政法人 情報処理推進機構)により公表された「サイバーセキュリティ経営ガイドライン」は、従業員数5千人超の企業の58.2%に活用されているそうです。

このガイドラインは、経営者を第一義的な読者として想定しており、サイバー攻撃から企業を守る観点で、以下の内容がまとめられています。
・経営者が認識する必要のある「3原則」
・担当幹部(CISO)に指示すべき「重要10項目」



以下、当メルマガでご紹介した過去記事です。

▼「サイバーセキュリティ経営ガイドライン」(2016年1月16日)
https://ameblo.jp/management-souken/entry-12117979972.html

▼「サイバーセキュリティ経営ガイドライン解説書」(2016年12月16日)
https://ameblo.jp/management-souken/entry-12229049352.html


このガイドラインについて、より一層の普及を図るため、昨今のサイバーセキュリティの動向も考慮した改訂案が作られ、9月28日より意見募集が開始されました。


ざっと確認したところ、主な改訂内容(案)は以下のとおりです。


<経営者が認識する必要がある「3原則」>

大きな意味合いは変わっていませんが、以下のとおり、より簡潔でわかりやすい表現に整理されています。

(1) 経営者はリーダーシップをとってサイバー攻撃のリスクと企業への
  影響を考慮したサイバーセキュリティ対策を推進するとともに、
  成長のためのセキュリティ投資を実施することが必要である。

(2) 自社のみならず、系列企業などのビジネスパートナーも含めた
  総合的なサプライチェーンに対するサイバーセキュリティ対策が
  必要である。

(3) 平時からのサイバーセキュリティ対策に関する情報開示など、
  ステークホルダー(顧客や株主など)を含めた関係者との適切な
  コミュニケーションをはかり、信頼を醸成することが必要である。




<担当幹部(CISO等)に指示すべき「重要10項目」>

項目数は変わらないものの、以下のように並びの変更、統合整理及び新規追加が見られます。

(1) サイバーセキュリティリスクへの対応について、組織の内外に
   示すための方針(セキュリティポリシー)を策定すること。

  *現行版(1)変更なし

(2) セキュリティポリシーに基づく対応策を実装できるよう、
   適切な管理体制を構築すること。その中で、責任を明確化すること。

  *現行版(2)表現見直し

(3) サイバーセキュリティ対策の着実な実施に備え、必要な予算の確保
   や人材育成など資源の確保について検討すること。

  *現行版(6)表現見直し

(4) 経営戦略を踏まえて守るべき情報を特定し、サイバーセキュリティ
   リスクを洗い出すとともに、そのリスクへの対処に向けた計画を
   策定すること。

  *現行版(3)表現見直し

(5) サイバーセキュリティリスクに対応するための防御・検知・分析に
   関する対策を実施する体制を構築すること。

  *新規追加

(6) サイバーセキュリティ対策に関する計画が確実に実施され、
   改善が図られるよう、PDCAを実施すること。また、対策状況に
   ついては、定期的に経営者に対して報告をするとともに、
   ステークホルダーからの信頼性を高めるべく適切に開示すること。

  *現行版(4)表現見直し

(7) サイバー攻撃を受けた場合、被害拡大を防ぐためにCSIRT等の整備や、
   初動対応マニュアルの策定、被害発覚後の通知先や開示が必要な
   情報項目の整理など緊急時の対応体制を整備すること。

  *現行版(9)(10)統合整理

(8) 被害に備えた復旧体制(復旧計画の策定、BCP担当との連携)を
   整備すること。

  *新規追加

(9) サプライチェーンのビジネスパートナーや委託先等を含め、
   自社同様にサイバーセキュリティ対策を行わせること。

  *現行版(5)(7)統合整理

(10) サイバーセキュリティに関する情報共有活動に参加し、
   最新の状況を自社の対策に反映すること。また、可能な限り、
   自社への攻撃情報を情報共有活動に提供し、同様の被害が
   社会全体に広がることの未然防止に貢献するよう努めること。

  *現行版(8)表現見直し



<付録>

(A)サイバーセキュリティ経営チェックシート
 *NIST発行「サイバーセキュリティフレームワーク」との対応関係提示
 *チェック項目の一部追加・修正

(B)サイバーセキュリティ対策に関する参考情報
 *現行版「付録B 望ましい技術対策と参考文献」から変更
 *現行版「付録B-2 技術対策の例」削除

(C)インシデント発生時に調査すべき事項
 *新規追加

(D)国際規格ISO/IEC27001及び27002との関係
 *「重要10項目」変更に合わせた再整理

(E)用語の定義
 *現行版から「情報セキュリティ」削除、「BCP」追加



以上のように、最新の状態が反映され、内容の充実が図られ、わかりやすく整理された印象です。


詳しくは以下をご確認ください。

▼サイバーセキュリティ経営ガイドラインの改訂案に関するパブコメ
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595217027&Mode=0

(意見締切日:2017年10月12日)





 

 |  リブログ(0)
1 | 2 | 3 | 4 | 5 |最初 次ページ >>

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。