#author("2022-06-13T07:14:23+00:00","default:admin","admin") -[[情報セキュリティ技術の概要:http://www.is.kyusan-u.ac.jp/~miyazaki/lecture_H26/security-H26/pdf/security-03.pdf]] -BS7799 ... 国際的なセキュリティポリシー策定のガイドライン -ISMS ... 国内のガイドライン -[[サイバーセキュリティとは?情報セキュリティとの違いを含めセキュリティの考え方や具体例・最新動向を解説:https://business.ntt-east.co.jp/content/cloudsolution/column-168.html]] -[[【連載】BS7799・ISMS認証取得の実態を聞く:http://www.atmarkit.co.jp/fsecurity/rensai/isms_case01/case01.html]] -[[IPA「情報セキュリティ白書2021」公開、テレワークのセキュリティや米国政策なども紹介:https://s.netsecurity.ne.jp/article/2021/08/03/46069.html]] *CIA [#w26a852c] **機密性(Confidentiality) [#g0f31b5d] **完全性(Integrity) [#xc80f885] **可用性(Availability) [#q1ee59cc] *ISMS [#a9af846c] -[[株式上場(IPO)と情報セキュリティ:https://nao-lawoffice.jp/venture-startup/ipo/information-security.php]] -[[9.情報システムおよび情報セキュリティ:https://www.pwc.com/jp/ja/knowledge/guide/ipo-guideline/it.html]] -[[ISMSを取得したときのお話:https://note.com/mhashimoto/n/n8014bdf90f6b]] -[[ISMS(ISO27001)の具体的なセキュリティ対策!厳選した4つを紹介:https://www.isosoken.com/isms/feature/isms_measures/]] -[[Google ドライブ と第三者認証&監査(ISMS、プライバシーマーク)前編:https://drivechecker.taf-jp.com/blog/17376]] -[[Google ドライブ と第三者認証&監査(ISMS、プライバシーマーク)後編:https://drivechecker.taf-jp.com/blog/25509]] -[[来客記録や入退室記録って必須なの?:https://www.lrm.jp/iso27001/blog/security/8403/]] -[[入退室記録の重要性とは?入口におけるセキュリティの基本を知ろう!:https://secureinc.co.jp/aioffice/media/officesecurity/record-enter-leave/]] **認証審査 [#wbe5b2e6] ***初回認証審査 [#w605c24a] -第1段階(文章審査) -第2段階(運用審査) ***認証取得後 [#t640b6b8] -1年毎:サーベイランス審査(維持審査) -3年毎:再認証審査 **リスクアセスメント [#l2b1fa08] どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと **ISMS/ISO27001 認証取得コンサルティング [#d77453d1] -[[テクノソフト:http://www.techno-soft.co.jp/]] -[[UPF:https://upfsecurity.co.jp/]] -[[LRM:https://www.lrm.jp/iso27001/]] *[[ISO/IEC 27001(情報セキュリティ):https://www.jqa.jp/service_list/management/service/iso27001/]] [#ta501909] -[[ISO27001 ISMS 情報セキュリティマネジメントシステム - BSI:http://www.bsigroup.jp/ja-jp/assessmentandcertification/managementsystem/standardsschemes/iso27001/]] *[[ISO/IEC 27017(クラウドサービスセキュリティ):https://www.jqa.jp/service_list/management/service/iso27017/]] [#j282ad01] *SOC [#f9c1a3ac] -[[サービスの統制を保証する「SOC2」の概要をざっくりまとめてみた:https://dev.classmethod.jp/articles/soc2_overview/]] **SOC 1/2/3 [#w8169772] ***SOC 1 [#f942eef2] その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。 ***SOC2 [#jcc2acdc] 企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。 ***SOC3 [#zd606afd] SOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。 **Type 1/2 [#zbb71227] ***type1 [#w35e6fd7] ある一日について評価を受けます。 ***type2 [#ed8d5056] 一定の期間(半年以上)について評価を受けます。 **SOC1 Type2 [#zf64a55d] -[[システムおよび組織管理 (SOC) 1 Type 2:https://docs.microsoft.com/ja-jp/compliance/regulatory/offering-soc-1]] **取得例 [#je7a25d4] -[[OBC、『奉行クラウド』『奉行クラウドEdge』 『OBCクラウドサービス』で 『SOC1® Type2』『SOC2® Type2』報告書の取得が完了:https://corp.obc.co.jp/news/news210402]] *IT統制 [#g035499e] -[[《連載:第1回》 IT部門が考えるべき3種類のIT統制とは:https://smart-stage.jp/blog/p25/]] -[[《連載:第2回》 IT統制の自動化によるIT部門の役割:https://smart-stage.jp/blog/p26/]] **IT全社的統制 [#t890355e] -連結子会社を含む企業グループ全体のITを健全に維持・監督するための内部統制を意味します。 -具体的には、企業グループ全体のITに関する方針やルール、体制を整備し、ITに関するリスクを評価して対応策を講じて統制活動を周知徹底させて、全社的な実施状況をモニタリングするという仕組みを構築することであり、その責任は経営者にあります。 **ITGC(IT全般統制) [#z343b78d] -ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制を指します。 -その基準として、「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」を評価対象の統制項目として挙げています。 **IT業務処理統制 [#q0f7ab98] -承認された業務がすべて正確に処理・記録するために業務プロセスに組み込んだ内部統制を表します。 -情報を処理するシステムそのものではなく、処理が正確に行われているか、安全に行われているかを確認するものであり、手作業による入力確認や出力結果と伝票の照合など非ITによる業務処理統制とともに行われます *リスク管理 [#y782fde4] *コンプライアンス管理 [#a2280ae4] *IT規程 [#oa22cd47] **開発標準 [#u36dbb56] -開発に関する標準的な方法・手続・開発手法についての規程 -[[高信頼化ソフトウェアのための開発手法ガイドブック:https://www.ipa.go.jp/files/000005144.pdf]] -[[「標準ガイドライン」 研修資料 - デジタル庁:https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/67d846da/20220509_resources_standard_guidelines_guideline_07.pdf]] -[[【システム開発】開発標準とは?サンプルと役割をご紹介:https://www.biz.ne.jp/matome/2005028/]] -[[開発プロセスとは?目的・役割と代表的な3種類を解説!:https://www.biz.ne.jp/matome/2005052/]] ***内容 [#nd6de625] -ガイドライン・手順書 -フレームワーク(ひな型) -支援ツール -設計書テンプレート **システム管理規定 [#pcf2d7b8] -[[システム管理基準 - 経済産業省:https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri_h30.pdf]] -[[荒川区電子情報システム管理運営規程:https://www.city.arakawa.tokyo.jp/reiki_int/reiki_honbun/p800RG00000108.html]] -[[草加市情報システム管理規程:https://www1.g-reiki.net/soka/reiki_honbun/e322RG00001883.html]] -[[甲府市情報システム管理規程:https://www1.g-reiki.net/kofu/reiki_honbun/e602RG00001488.html]] -[[独立行政法人日本スポーツ振興センター情報システム管理規程:https://www.jpnsport.go.jp/Portals/0/naash-reiki/act/frame/frame110000112.htm]] **システム運用規定 [#s4bea8f1] -[[情報システム運用管理規程:http://yuuga.blogdehp.ne.jp/_p/1983/documents/%E6%83%85%E5%A0%B1%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E9%81%8B%E7%94%A8%E7%AE%A1%E7%90%86%E8%A6%8F%E7%A8%8B.pdf]] *変更管理 [#gb337ed1] *アクセス管理 [#fba0911d] **アカウント [#i5d401b5] **パスワード [#lfeaa4ea] **バックアップ [#yab2cd0a] **外部メモリ [#j01d1913] *オペレーション [#e4838d4d] **障害対応 [#i7e86839] **災害対応 [#n5461ec9] *関連サービス [#l5cb5372] -[[SecureNavi :https://secure-navi.jp/]] -[[THIRDNETWORKS社 認証ASPサービス:http://www.thirdnetworks.co.jp/product/index.html]] -[[Check Point CloudGuard Posture Management:https://www.asgent.co.jp/products/dome9.html]] -[[Check Point Harmony Endpoint:https://www.asgent.co.jp/products/check-point-harmony-endpoint.html]] ** ワンタイムパスワード [#kf1f569d] -[[Secure OTP:http://www.thirdnetworks.co.jp/sotp/01scotp01.html]] ** パソコンの個体情報 [#f1a27f30] -[[Secure Regist:http://www.thirdnetworks.co.jp/sr/01sr01.html]] * ASPサービスの情報セキュリティ [#v5a4aaa4] 【対外的な説明や証明について調査中】 ** SSL [#vfdc8d33] 個人情報保護のためのセキュリティとして、SSL(Secure Sockets Layer)を用いた暗号化通信を使用しております。SSLはウェブサイト上での通信の安全対策として用いられている一般的な技術であり、入力されたデータをインターネットへ送信する前に、暗号化を行うことで傍受を防止します。 * WebサービスのAPI認証 [#cd822829] -[[各種WebサービスのAPI認証方法を調べてみた:http://akisute.com/2009/10/webapi.html]]