IT入門お役立ち情報:情報セキュリティマネジメント試験受験編(その4)
情報セキュリティ管理について勉強しました
情報セキュリティ管理の基礎知識として、次のような項目について学習しました。
- 情報セキュリティ管理とISMS
ISMS(情報セキュリティマネジメントシステム):情報セキュリティに対して組織的な取り組みを行うための体系
PDCAサイクル:計画(Plan)→実行(Do)→点検(Check)→改善(Act)を繰り返す基本的な管理サイクル
ISO/JISQ 27001:ISMSが満たすべき事項(要求事項)を定めた規格、ISMSを構築する際のチェックリストとして用いられる
リスクアセスメント:リスクを洗い出して特定し、分析・評価する一連の活動
情報セキュリティポリシー:情報セキュリティに対する方針を定めたもの
リスク対応(リスクコントロール):次のような選択肢がある
-
- リスク低減:リスクを小さくする、損失予防(発生確率を下げる)と損失軽減(被害を少なくする)がある
- リスク保有:リスクをあえて受け入れる
- リスク回避:リスクそのものの存在をなくす
- リスク共有・移転:リスクを他社と分担する
- セキュリティインシデントの管理
セキュリティインシデント対応手順:対応の手順を確立、文書化して定期的に見直しする
CSIRT:セキュリティに関する問題に対応するための組織
サイバーレスキュー隊:標的型サイバー攻撃の被害低減と攻撃を拡大させないための支援をする
学習をしての気づき
とにかくISMSが基本です。ISMSではPDCAのプロセスがしっかりと繰り返されていることが重要ですので、それぞれのプロセスでするべきことを理解する必要があります。
特に、リスクアセスメントからリスク対応までの詳細を学習する必要があります。私自身はリスクアセスメントの経験があり、その結果に基づいてのリスク対応も結構悩みながら検討および実施したこともありますので、これらのプロセスを学習することは改めてこれまでの理解の整理になりました。
また、セキュリティインシデント管理も重要です。事前の準備から実際に発生してからの対応などについて理解しておく必要があります。私自身セキュリティインシデントも実際に経験したことがあり、その際の経験から対応手順や対応チームの重要性も身にしみて感じていましたので、こちらの学習も知識の整理に役に立ちました。
