News Topics

入門セミナー(受講料無料)開催案内 を公開しました
- iSMS全体マップ(電子版)7.3版 を公開しました
- Cloud for LMSは2018年8月1日よりフルSSL対応となります
  SSL対応に伴い画面デザインを変更しました
研修ロードマップ(力量フレーム)を公開しました


コース一覧

ISO27001(ISMS)を中心にISOマネジメントシステムに共通する用語やLMS(moodle)eラーニングシステム用語を解説しています

 2018.03.17 2018年版を一部改正(1版3刷)

ISMS要求事項と管理策の適用状況見える化


5.1 情報セキュリティのための経営陣の方向性


5.1.1 情報セキュリティのための方針群
5.1.2 情報セキュリティのための方針群のレビュー 

6.1 内部組織


6.1.1 情報セキュリティの役割及び責任
6.1.2 職務の分離
6.1.3 関係当局との関係
6.1.4 専門組織との連絡
6.1.5 プロジェクトマネジメントにおける情報セキュリティ

6.2 モバイル機器及びテレワーキング


6.1.1 モバイル機器の方針
6.1.2 テレワーキング

7.1 雇用前


7.1.1 選考
7.1.2 雇用条件

7.2 雇用期間中

7.2.1 経営陣の責任
7.2.2 情報セキュリティの意識向上、教育及び訓練
7.2.3 懲戒手続

7.3 雇用の終了及び変更

7.3.1 雇用の終了又は変更に関する責任

8.1 資産に対する責任

8.1.1 資産目録
8.1.2 資産の管理責任
8.1.3 資産利用の許容範囲

8.1.4 資産の返却

8.2 情報分類

8.2.1 情報の分類
8.2.2 情報のラベル付け
8.2.3 資産の取り扱い

8.3 媒体の取扱い

8.3.1 取外し可能な媒体の管理
8.3.2 媒体の処分
8.3.3 媒体の輸送

10.1 暗号による管理策

15.1 供給者関係における情報セキュリティ
15.2 供給者のサービス提供の管理

18.1 法的及び契約上の要求事項の順守
18.2 情報セキュリティのレビュー

テキスト・教材で使用している管理策イメージです

管理策解説(プレゼンテーション)用

(対象者)
・情報セキュリティ担当者(教育担当者)
・講師
・コンサルタント
・審査員



コンテンツ制作専用コースのため非公開です(完成した資料を随時公開します)

ー 営業秘密管理規程をつくる

JIS Q 27014:2015をもとに情報セキュリティガバナンスを理解しましょう

報告書様式

ISO/IEC 27017 手引き・管理策一覧
クラウド利用・提供リスク一覧
報告書の例 などのダウンロードが可能です

プレゼン用PPTなどオリジナルのダウンロードが可能です

▶︎5.1.1 情報セキュリティのための方針群
 5.1.2 情報セキュリティのための方針群のレビュー

6.1 内部組織

▶︎6.1.1 情報セキュリティの役割及び責任
 6.1.2 職務の分離
▶︎6.1.3 関係当局との連絡
 6.1.4 専門組織との連絡
 6.1.5 プロジェクトマネジメントにおける情報セキュリティ

6.2 モバイル機器及びテレワーキング

 6.2.1 モバイル機器の方針
 6.1.2 テレワーキング

CLD 6.3 クラウドサービスカスタマとクラウドサービスプロバイダとの関係

▶︎CLD 6.3.1 クラウドコンピューティング環境における役割及び責任の共有および分担


クラウドサービスカスタマ及びプラロバイダの実施の手引き

 7.1 雇用前
 7.2 雇用期間中

 7.2.1 経営陣の責任
▶︎7.2.2 情報セキュリティの意識向上、教育及び訓練
 7.2.3 懲戒手続

 7.3 雇用の終了及び変更



8.1 資産に対する責任

▶︎8.1.1 資産目録
▶︎8.1.2 資産の管理責任
 8.1.3 資産利用の許容範囲
 8.1.4 資産の返却

▶︎CLD 8.1.5 クラウドサービスカスタマの資産の除去

8.2 情報分類

 8.2.1 情報の分類
▶︎8.2.2 情報のラベル付け
 8.2.3 資産の取扱い

8.3 媒体の取扱い

 8.3.1 取外し可能な媒体の管理
 8.3.2 媒体の処分
 8.3.3 物理的媒体輸送


 9.1 アクセス制御に対する業務上の要求事項

 9.1.1 アクセス制御方針
▶︎9.1.2 ネットワーク及びネットワークサービスへのアクセス

 9.2 利用者アクセスの管理

▶︎9.2.1 利用者登録及び登録削除
▶︎9.2.2 利用者アクセスの提供Provisioning
▶︎9.2.3 特権的アクセス権の管理
▶︎9.2.4 利用者の秘密認証情報の管理
 9.2.5 利用者アクセス権のレビュー
 9.2,6 アクセス権の削除又は修正

 9.3 利用者の責任

 9.4 システム及びアプリケーションのアクセス制御

▶︎9.4.1情報へのアクセス制限
 9.4.2 セキュリティに配慮したログオン手順
 9.4.3 パスワード管理システム
▶︎9.4.4 特権的なユーティリティプログラムの使用
 9.4.5 プログラムソースコードへのアクセス制御

CLD.9.5  共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御

▶︎CLD.9.5.1 仮想コンピューティング環境における分離
▶︎CLD.9.5.2 仮想マシンの要塞化


 10.1 暗号による管理策

▶︎10.1.1 暗号による管理策の利用方針
▶︎10.1.2 鍵管理

 11.1 物理的及び環境的セキュリティ
 
(27017において手引きや管理策の拡張はありません)

 11.2 装置

 11.2.1 装置の設置及び保護
 11.2.2 サポートユーティリティ
 11.2.3 ケーブル配線のセキュリティ
 11.2.4 装置の保守
 11.2.5 資産の移動
 11.2.6 構外にある装置及び資産のセキュリティ
▶︎11.2.7 装置のセキュリティを保った処分又は再利用
 11.2.8 無人状態にある利用者装置
 11.2.9 クリアデスク・クリアスクリーン方針


 12.1 運用の手順及び責任
 12.1.1 操作手順書
▶︎12.1.2 変更管理
▶︎12.1.3 容量・能力の管理
 12.1.4 開発環境、試験環境及び運用環境の分離
▶︎CLD 12.1.5 実務管理者の運用のセキュリティ

 12.2 マルウェアからの保護
 
12.2.1 マルウェアに対する管理策

 12.3 バックアップ
▶︎12.3.1 情報のバックアップ

 12.4 ログ取得及び監視
▶︎12.4.1 イベントログ取得
 12.4.2 ログ情報の保護
▶︎12.4.3 実務管理者及び運用担当者の作業ログ
▶︎12.4.4 クロックの同期
▶︎CLD 12.4.5 クラウドサービスの監視

 12.6 技術的ぜい弱性管理
▶︎12.6.1 技術的ぜい弱性の管理
 12.6.2 ソフトウェアのインストールの制限

 12.7 情報システムの監査に対する考慮事項
 12.7.1 情報システムの監査に対する管理策


 13.1 ネットワークセキュリティ管理
 13.1.1 ネットワーク管理策
 13.1.2 ネットワークサービスのセキュリティ
▶︎13.1.3 ネットワークの分離
▶︎CLD 13.1.4 仮想及び物理ネットワークのセキュリティ管理の整合

 13.2 情報の転送
 (27017において追加の手引き・管理策はありません)


 14.1 情報システムのセキュリティ要求事項
▶︎14.1.1 情報セキュリティ要求事項の分析及び仕様化
 14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
 14.1.3 アプリケーションサービスのトランザクションの保護

 14.2 開発及びサポートプロセスにおけるセキュリティ
▶︎14.2.1 セキュリティに配慮した開発のための方針
 14.2.2 システムの変更管理手順
 14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
 14.2.4 パッケージソフトウェアの変更に対する制限
 14.2.5 セキュリティに配慮したシステム構築の原則
 14.2.6 セキュリティに配慮した開発環境
 14.2.7 外部委託による開発
 14.2.8 システムセキュリティの試験
 14.2.9 システムの受入れ試験

 14.3 試験データ
 14.3.1 試験データの保護


 15.1 供給者関係におけるセキュリティ
▶︎15.1.1 供給者関係のための情報セキュリティの方針
▶︎15.1.2 供給者との合意におけるセキュリテの取扱い
▶︎15.1.3 ICTサプライチェーン

 15.2 供給者サービス提供の管理
 15.2.1 供給者サービス提供の監視及びレビュー
 15.2.2 供給者のサービス提供の変更に対する管理


16.1 情報セキュリティインシデントの管理及びその改善
▶︎16.1.1 責任及び手順
▶︎16.1.2 情報セキュリティ事象の報告
 16.1.3 情報セキュリティ弱点の報告
 16.1.4 情報セキュリティ事象の評価及び決定
 16.1.5 情報セキュリティインシデントへの対応
 16.1.6 情報セキュリティインシデントからの学習
▶︎16.1.7 証拠の収集

 18.1 法的及び契約上の要求事項の順守
▶︎18.1.1 適用法令及び契約上の要求事項の特定
▶︎18.1.2 知的財産権
▶︎18.1.3 記録の保護
▶︎18.1.4 プライバシー及び個人を特定できる情報(PII)の保護
▶︎18.1.5 暗号化機能に対する規制

 18.2 情報セキュリティのレビュー
▶︎18.2.1 情報セキュリティの独立したレビュー
 18.2.2 情報セキュリティのための方針群及び標準の順守
 18.2.3 技術的順守のレビュー



今現場で起きていること
起きては困ること

SaaS利用におけるリスク

経産省:ガイドラインリスクと対策
クラウドサービスにおけるリスクと管理策に関する有識者による検討結果
クラウドサービスプロバイダのリスクより考える

ENISA(欧州セキュリティ庁)による分析結果『ENISA209』を基に考えます

ISO/IEC 29100は2011年に発行されました
27017年4月現在 JIS X 9250 として発行が予定されています

プライバシー原則 の定義が主たるテーマです
ここで定義されたプライバシー原則ISO/IEC 27002に基づいて
ISO/IEC 27018 『PIIプロセッサーとして動作するパブリッククラウドにおける個人識別情報(PII)の保護のための実践規範』附属書において追加の管理策が定義されています。
さらに
ISO/IEC 29151『PII(個人識別可能情報)保護の実践規範』附属書において追加の管理策が定義されています。(ISO/IEC 29151は2017年4月現在FDISですが、2月投票終了

審査員研修受講者専用

情報セキュリティ(リスクマネジメント)研修専用
内部監査作業文書作成支援専用

常時稼働のサーバーを持たずにシステム基盤を構築する「サーバーレスアーキテクチャー」の採用が、ユーザー企業の間で広がりつつある(出典:日経SYSTEMS 2016年10月号など)

日本規格協会(JRCA)承認
情報セキュリティマネジメントシステム(ISMS)審査員資格取得

リスクコンサルタントとしての知識と技能を修得
もちろん審査員(監査員)として公式な活動も可能です

ISMSはリスクマネジメントプロセスが採用されており
労働安全衛生マネジメントシステム(ISO45001)への適用拡大が可能

本コースは初心者の方もご参加いただけるよう計画しています

本コースは「コンサルタント養成コース」受講者の事前学習及びフォローアップを目的としています

OHSASOccupational Health and Safety Assessment Series)とは、国際コンソーシアムによって策定された労働安全衛生に対するリスクと対策の一覧化および責任所在の明確化等を目的とする規格のこと。


OSHMS
は、事業者が労働者の協力の下に「計画(Plan)-実施(Do)-評価(Check)-改善(Act)」(「PDCAサイクル」といわれます)という一連の過程を定めて、

継続的な安全衛生管理を自主的に進めることにより、
労働災害の防止と労働者の健康増進、さらに進んで快適な職場環境を形成し、
事業場の安全衛生水準の向上を図ることを目的とした安全衛生管理の仕組みです。

 OSHMS」は、Occupational Safety and Health Management Systemの頭文字です。