TOPページ >
情報セキュリティマネジメントの支援 > 情報セキュリティ基本方針の策定支援
情報セキュリティ基本方針の策定支援
達成指標
- セキュリティ管理者の行う次の作業を技術的に支援していること
開発プロセスの各段階において、機密性、完全性、可用性が失われた際の影響度、影響範囲の識別、重要度に応じた分類
開発における情報セキュリティポリシからの要求事項の識別
開発対象システムに対するセキュリティ対策に必要なコスト試算
開発においてセキュリティを維持するために必要な、構成管理、緊急時対応、教育、リスクアセスメントなどの計画策定
セキュリティ維持のための詳細管理策策定
計画および詳細管理策についての文書化
定期的なセキュリティの評価
評価のフィードバックによる継続的なセキュリティの改善
開発中の継続したセキュリティ侵犯監視
開発終了時に行う、廃棄すべき情報と、維持管理すべき情報の識別
開発終了時に不要となる記録媒体、ハードウェア、ソフトウェアの適切な処分
要求される知識
- リスクの種類と原因に関する知識
- セキュリティ対策のコスト算定に関する知識
- 危機管理に関する知識
- 機密漏洩に関する知識
- 機密情報の管理手順に関する知識
- 文書管理に関する知識
- 記録媒体に関する知識
- バックアップツールに関する知識
- リスクアセスメントに関する知識
- 教育計画に関する知識
- 構成管理に関する知識
- 緊急時対応に関する知識
- 記録媒体の処分に関する知識
- ハードウェアに関する知識
- ソフトウェアに関する知識
- ネットワークに関する知識
- データベースに関する知識
- セキュリティに関する次の知識
ネットワーク保護技術(ファイアウォール、侵入検知技術、ネットワークの分割など)
パスワード・アカウント管理
暗号技術、認証技術
バイオメトリックス
ディジタル署名技術
暗号システムの運用
マルウェア(ウイルス、スパイウェア、ワーム、アドウェア)
ログ監視技術
アクセス制御
特権の最小化
攻撃手法(なりすまし、サービス妨害攻撃、盗聴、ソーシャルエンジニアリングなど)
セキュリティツール(フリー、商用)
要求される技能
- IT資産損失の損害(失われた資産価値、原因究明および復旧費用、社会的説明費用)を算定・評価する能力
- バックアップデータやセキュリティ監視データの保管方法を決定する能力
- 情報セキュリティ対策基準から、セキュリティを実際に運用する場面で用いる手続きを作成する能力
- 合理的にリスクと対策を整理する能力
情報セキュリティ基本方針の策定支援 分野の演習問題