お休みの間、少しのんびりしてしまいましたが、
今日でやっとセキュリティの分野が終わる予定です!
正直、この先も何だかんだ面白いところは少なめですが
今日のタイトル:セキュリティマネジメント
情報資産を守ることを情報セキュリティと言います。
情報セキュリティとは、情報の機密性、完全性、可用性を維持することを指します。
情報の機密性、完全性、可用性とはなんでしょ??
- 機密性:情報へのアクセスが限られていることです
- 完全性:情報が正確で、完全なことを言います。
- 可用性:必要とする人が必要とするときに情報にアクセスできることを言います。
これらをまとめて情報セキュリティの三大要素と言います!
さらに、情報セキュリティの国際規格群であるISO/IEC 27000シリーズでは、
この3大要素に加えて、真正性、責任追跡性、否認防止、信頼性を付加的な要素として定義してます。
- 真正性:情報や利用者が本物である事を証明できる状態にある事です。
- 責任追跡性:誰かが情報に行った操作と、その内容が特定できる状態にあることを言います。
- 否認防止:情報に対して行った行為や、発生した事象について、後になって否認できないように、事実を証明できるようになっていることです。
- 信頼性:情報システムが、期待通りの処理を行う状態のことを言います。
なんか、ここまでくるとちょっと怖いですね
なんか色々決まり事が多いので、これらを遵守するように
情報セキュリティポリシーを設けている企業も多いようです。
情報セキュリティーポリシーとは、基本方針・対策基準・実施基準で構成されています。
- 基本方針は、企業の情報セキュリティに関する基本的な考え方や取り組みを示したものです。
- 対策基準は、基本方針の実現に向けて、守るべき規則などがまとめられています。
- 実施基準は、対策基準で定めた規則を実施するための手順などがまとめられています。
そして、企業は保有する情報資産に対するリスク(危険)を管理する必要があります。このことをリスクマネジメントと言います。
リスクマネジメントは、リスクの特定→リスク分析→リスク評価→リスク対応の手順で行います。
リスクへの対策はとーっても大変なので、以下のような方法で企業はリスクに対して対策を行なっているようです。
リスク回避:リスクの原因を排除することです。発生率が高く、損害額が大きい場合に取る対策です。
リスク共有(移転・転嫁・分散):リスクを他者と分けたり、第三者に肩代わりしてもらうことです。発生率は低いけど、損害額が大きい場合に取る対策です。
リスク軽減:リスクの発生率や損害額を許容範囲に納めるようにする対策です。損害額は小さいけど、発生率が高い場合に取る対策です。
リスク受容:リスクをそのままにしておくことです。発生率も損害額も小さい場合に取る対策です。
これで長かったセキュリティ分野がやっと終わりました!
疲れました
今日はこの辺りにしたいと思います
また明日