IT入門お役立ち情報:情報処理安全確保支援士試験受験編(その5)
序盤:基礎知識固めとして参考書を勉強しました(4)
参考書の章立てに沿って、次の内容について勉強しました。そこで、気づいたことや感じたことを少し述べてみます。
- リスクアセスメント
組織や情報システムに内在する情報リスクを洗い出し、その大きさや影響度を評価することによって、初めてセキュリティ対策を計画することができます。やみくもにセキュリティ対策を検討しても、それが効果的かどうかはリスクアセスメントをベースにして考えないといけないと改めて認識しました。そして、その対策を実施して、対応方法を適宜見直すことまで行うリスクマネジメントを、継続的に繰り返すことが肝心です。
- 情報セキュリティポリシー
情報セキュリティに対する組織の基本的な考え方や方針を示すもので、これが組織内で周知徹底されていないと、セキュリティレベルを向上できなかったり、全社的に効率的なセキュリティ対策を取れなくなる可能性があるので、策定するだけでは十分ではありません。また、情報セキュリティに対する責任の所在を明確にした管理組織体制も重要です。
- 情報資産の管理
リスクアセスメントでも基本となる情報資産を洗い出して、それらを分類して管理のレベルを決めることによって、情報の機密度や重要度に応じた対策を施して、情報資産を適切に取り扱うことが可能になります。近年は、情報資産を保存できるクライアントPCの管理も同様に重要です。いずれにせよ、まずは情報資産を管理するための資産台帳を整備することが肝心だと思います。
- 物理的・環境的・人的セキュリティ
技術面のセキュリティ対策だけではなく、災害や障害の脅威および不正行為などについては、物理環境面や人的資源に対するセキュリティの確保が必要になります。セキュリティと言うとつい技術面だけを注目しがちですが、こちらも大切です。
- インシデント管理や事業継続計画(BCP)
何か問題が発生した場合や何らかの危機や災害が発生した場合に、どのように対応するかについては、予め計画や準備をしておく必要があります。これらが準備されていれば、いざというときでも慌てることはないですね。
- 情報セキュリティ監査及びシステム監査
情報セキュリティを向上させるためには、定期的にチェックをすることが効果的です。そのための監査として、これらはもっと活用されるべきだと思います。その際には、単なる現状の評価にとどまらずに、どのようにすれば改善できるかにもっと注力するべきでしょう。
