27-7. 第7章. セキュリティ対策の概要(全容)
7-1. 対策基準の策定
章の目的
第7章では、ISMS認証を前提としたセキュリティ対策における基準を3段階にレベル分けし、各基準の手法について理解することを目的とします。
主な達成目標
・ セキュリティ対策における複数のアプローチ方法と、それぞれのアプローチ手法の特徴について理解すること
・ 各アプローチ手法について理解し、どのアプローチ手法を実施するべきか選択できるようになること
主なキーワード セキュリティ対策基準、Lv.1 クイックアプローチ、Lv.2 ベースラインアプローチ、Lv.3 網羅的アプローチ
要旨
7章の全体概要
7章では、セキュリティポリシーの構成(「基本方針」「対策基準」「実施手順・運用規則など」)と、企業が現在の状況や目標に合わせた「対策基準」を策定する際に活用できる、レベル感の異なる3つのアプローチ手法(Lv.1 クイックアプローチ、Lv.2 ベースラインアプローチ、Lv.3 網羅的アプローチ)を説明しています。
7-1. 対策基準の策定
セキュリティ対策基準の概要
情報セキュリティポリシーは、「基本方針」「対策基準」「実施手順・運用規則など」で構成されます。「対策基準」を外部に公開することで、セキュリティ対策の実施を内外に⽰し、説明責任を果たせます。対策基準の内容を定める際は、網羅的なフレームワークを参考にすることが推奨されます。
図107. 情報セキュリティポリシーの全体像
対策基準策定のアプローチ方法
対策基準を作成するアプローチ方法には、レベル感の異なる3つの手法(Lv.1 クイックアプローチ、Lv.2 ベースラインアプローチ、Lv.3 網羅的アプローチ)があります。
【アプローチ手法】Lv.1 クイックアプローチ
低コスト、短期間で実施可能。包括的ではないが即効性がある。 想定される適用ケース ⾃社で発⽣する可能性が⾼い、または、発⽣したときの被害が大きいと考えられるインシデントに対して暫定的対策を⾏う場合。
【アプローチ手法】Lv.2 ベースラインアプローチ
ガイドラインやひな型を参考とし、対策基準を策定。
規制遵守の観点から⼀定の安全性が確保できる。
コストパフォーマンスがよい。 想定される適用ケース 組織的に⼀定以上の対策基準を策定する場合。
包括的な対策は過剰で、基本的な⽔準の対策が適切だと判断される場合。
【アプローチ手法】Lv.3 網羅的アプローチ
訴求ポイント
章を通した気づき・学び
「基本方針」「対策基準」「実施手順・運用規則など」で構成されるセキュリティポリシーを策定し、セキュリティ対策の実施を内外に⽰すため、基本方針と対策基準を公開します。同時に、状況に応じて適切なサイバーセキュリティ対策のアプローチ手法を選択し、セキュリティ対策を実施する必要があります。
認識していただきたい実施概要
