JP2003099602A - セキュリティポリシー策定支援方法およびシステム - Google Patents

セキュリティポリシー策定支援方法およびシステム

Info

Publication number
JP2003099602A
JP2003099602A JP2002068256A JP2002068256A JP2003099602A JP 2003099602 A JP2003099602 A JP 2003099602A JP 2002068256 A JP2002068256 A JP 2002068256A JP 2002068256 A JP2002068256 A JP 2002068256A JP 2003099602 A JP2003099602 A JP 2003099602A
Authority
JP
Japan
Prior art keywords
evaluation
security policy
evaluation result
policy document
draft
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002068256A
Other languages
English (en)
Inventor
Kazuhiro Okamoto
一弘 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2002068256A priority Critical patent/JP2003099602A/ja
Publication of JP2003099602A publication Critical patent/JP2003099602A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 情報システムの実体と人的組織等の管理状況
を含めた総合的な評価に基づくセキュリティポリシーを
容易に策定可能なように支援すること。 【解決手段】 コンピュータネットワークシステムに関
する設定及び動作状況を実システム上で検査し、評価す
るシステム評価ステップと、人的組織等の管理状況を質
問項目の回答として入力し、評価するチェックリスト評
価ステップと、前記システム評価ステップとチェックリ
スト評価ステップの評価項目における観点の相違を調整
し、両者をまとめた総合的評価結果を作成する評価結果
統合ステップと、前記総合的評価結果に基づいてセキュ
リティポリシー文書の案を生成するポリシー文書案生成
ステップとを備える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、セキュリティポリ
シー策定支援方法およびシステムに関わり、特に、コン
ピュータネットワークシステム及び人的組織等の管理状
況に対する評価に基づきセキュリティポリシー文書の案
を作成するセキュリティポリシー策定支援方法およびシ
ステムに関するものである。
【0002】
【従来の技術】情報資産を取扱う組織でのセキュリティ
管理については組織的な対策と技術的な対策の両面から
取り組む必要がある。組織は現状のセキュリティ管理に
ついての対策状況を正しく評価し、その管理方針となる
セキュリティポリシーを明確に文書化することが求めら
れる。このようなセキュリティの評価及びセキュリティ
ポリシーの策定については、これを支援するツールの作
成が進められ、利用されている。このようなツールは主
に2種類ある。1つはチェックリスト形式で組織の状況
等に関する質問を行い、その回答に基づいた評価を行う
もの、もう1つは組織の情報システム上の機器やネット
ワークの設定等を検査し、その結果に基づいた評価を行
うものである。
【0003】
【発明が解決しようとする課題】前者のツールでは、組
織の人間的な管理の問題なども扱うことができるため、
その結果を基にセキュリティの評価だけでなく、セキュ
リティポリシーの文書案を作成することもできる。その
反面、組織の情報システムの実態を調べてはいないの
で、その点が正確に評価されているとは限らない。
【0004】一方、後者のツールでは、組織の情報シス
テムの実態を把握できるが、人間的な管理の状況を評価
することはできない。また、前者のツールによる評価結
果はセキュリティ管理の一般化された評価項目で示され
るのに対し、後者のツールによる評価結果は情報システ
ム中の個々の機器やネットワークの設定に関する評価項
目で示される。したがって、2種類の支援ツールの評価
結果を組合せて利用し、総合的な評価に基づくセキュリ
ティポリシーを策定しようとすると、両者の評価観点の
違いを人手で整理する必要があり、容易に総合的な評価
に基づくセキュリティポリシーを策定することができな
いという問題がある。
【0005】本発明の目的は、情報システムの実体と人
的組織等の管理状況を含めた総合的な評価に基づくセキ
ュリティポリシーを容易に策定可能なように支援するこ
とができるセキュリティポリシー策定支援方法およびシ
ステムを提供することにある。
【0006】
【課題を解決するための手段】上記目的を達成するため
に、本発明は、システムの検査に基づく支援ツールが出
力する「個別の機器やシステムの評価項目」をチェック
リストの回答に基づく支援ツールが出力する「組織に関
する一般的な評価項目」に置き換えた上で両者を統合
し、その統合された評価結果を基にポリシー文書案の生
成を行うようにしたものである。すなわち、本発明のセ
キュリティポリシー策定支援方法は、コンピュータネッ
トワークシステム及び人的組織等の管理状況に対する評
価に基づきセキュリティポリシー文書の案を作成するセ
キュリティポリシー策定支援方法であって、コンピュー
タネットワークシステムに関する設定及び動作状況を実
システム上で検査し、評価するシステム評価ステップ
と、人的組織等の管理状況を質問項目の回答として入力
し、評価するチェックリスト評価ステップと、前記シス
テム評価ステップとチェックリスト評価ステップの評価
項目における観点の相違を調整し、両者をまとめた総合
的評価結果を作成する評価結果統合ステップと、前記総
合的評価結果に基づいてセキュリティポリシー文書の案
を生成するポリシー文書案生成ステップとを備えること
を特徴とする。そして、前記評価結果統合ステップは、
前記システム評価ステップで得られた個別の機器やシス
テムの評価項目を前記チェックリスト評価ステップで得
られる評価出力と同等の人的組織での一般的な評価項目
に置換することにより、評価項目の観点の相違を調整す
るものであることを特徴とする。また、前記システム評
価ステップで得られる評価項目の置換を、前記チェック
リスト評価ステップにおける評価項目の観点調整用のデ
ータを用いて行うことを特徴とする。また、前記ポリシ
ー文書案生成ステップは、前記総合的評価結果の評価項
目とポリシー文書を構成する文の間の対応関係を示すデ
ータを用いてセキュリティポリシー文書の案を生成する
ものであることを特徴とする。また、前記ポリシー文書
案生成ステップで生成したセキュリティポリシー文書の
案に対し、セキュリティポリシーの策定に関わる料金を
課金するステップをさらに備えることを特徴とする。
【0007】本発明に係るセキュリティポリシー策定支
援システムは、コンピュータネットワークシステムに関
する設定及び動作状況を実システム上で検査し、評価す
るシステム評価手段と、人的組織等の管理状況を質問項
目の回答として入力し、評価するチェックリスト評価手
段と、前記システム評価手段とチェックリスト評価手段
の評価項目における観点の相違を調整し、両者をまとめ
た総合的評価結果を作成する評価結果統合手段と、前記
総合的評価結果に基づいてセキュリティポリシー文書の
案を生成するポリシー文書案生成手段とを備えることを
特徴とする。そして、前記評価結果統合手段は、前記シ
ステム評価手段から出力される個別の機器やシステムの
評価項目を前記チェックリスト評価手段から出力される
評価出力と同等の人的組織での一般的な評価項目に置換
することにより、評価項目の観点の相違を調整するもの
であることを特徴とする。また、前記評価結果統合手段
は、前記システム評価手段と前記チェックリスト評価手
段における評価項目の観点調整用のデータテーブルを備
え、前記システム評価手段から出力される評価項目の置
換を、前記観点調整用のデータテーブルを用いて行うこ
とを特徴とする。また、前記ポリシー文書案生成手段
は、前記総合的評価結果の評価項目とポリシー文書を構
成する文の間の対応関係を示すデータテーブルを備え、
前記総合的評価結果を前記データテーブルを用いてセキ
ュリティポリシー文書の案を生成するものであることを
特徴とする。また、前記ポリシー文書案生成手段で生成
したセキュリティポリシー文書の案に対し、セキュリテ
ィポリシーの策定に関わる料金を課金する課金手段をさ
らに備えることを特徴とする。また、前記評価結果統合
手段と前記ポリシー文書案生成手段で2回目以降の総合
的評価結果作成およびポリシー文書案生成を行う場合
に、前回と今回の総合的評価結果の変化した箇所を抽出
し、そこに対応するポリシー文書案の文をポリシー文書
の修正候補箇所として提示する手段を備えることを特徴
とする。
【0008】
【発明の実施の形態】以下、図を用いて本発明の一実施
形態について説明する。図1は、本発明のセキュリティ
ポリシー策定支援方法を実現する情報処理システムの一
実施の形態を示すブロック図である。この実施形態のシ
ステムは、システム評価ツール1、チェックリスト評価
ツール2、統合評価・ポリシー案作成ツール3の3個ツ
ールからなり、これらのツール1〜3が取扱うデータ及
び情報システムとして、セキュリティ管理対象システム
4、チェックリスト項目回答5、システム評価結果6、
チェックリスト評価結果7、ポリシー文書案8、統合評
価結果9がある。
【0009】システム評価ツール1は、セキュリティ管
理対象システム4上の機器やネットワークの設定等を検
査し、その結果に基づいた評価をシステム評価結果6と
して出力するものである。このシステム評価ツール1は
例えばSymantec社のセキュリティ管理ツールを
用いることができる。チェックリスト評価ツール2は、
チェックリスト項目回答5の内容に基づいた評価をチェ
ックリスト評価結果7として出力するものである。この
チェックリスト評価ツール2は、既に内部ツールとして
実現されているものを用いることができる。統合評価・
ポリシー案作成ツール3は、システム評価結果6とチェ
ックリスト評価結果7を基に統合評価結果9及びポリシ
ー文書案8を出力するものである。ここで、システム評
価ツール1とチェックリスト評価ツール2は、従来技術
で挙げた2種類の支援ツールに相当するものであり、統
合評価・ポリシー案作成ツール3は本発明に独自のもの
である。
【0010】統合評価・ポリシー案作成ツール3につい
て詳しく説明する。図2は統合評価・ポリシー案作成ツ
ール3の構成図である。統合評価・ポリシー案作成ツー
ル3は項目観点調整部31、項目観点調整用データテー
ブル32、評価統合部33、文案作成部34、文案作成
用データテーブル35からなる。統合評価・ポリシー案
作成ツール3に対する入力データはシステム評価結果6
とチェックリスト評価結果7である。システム評価結果
6の一例を図3に示す。システム評価結果6は問題範囲
301、問題箇所302、問題点303の3項目からな
り、例えば、問題範囲301が「クライアントB」、問
題箇所302が「OS」、問題点303が「システムの
パッチが最新でない」といった個別の機器等に関する評
価データが含まれている。
【0011】一方、チェックリスト評価結果7は、図4
にその一例を示すように、評価内容401、判定402
の2項目からなり、例えば、評価内容401が「使用す
るソフトウェア/パッチのバージョンが最新である」、
判定402が「○」といった組織の管理一般に関する評
価データが含まれている。このような入力データに対
し、まず項目観点調整部31ではシステム評価結果6の
個別的な評価項目のデータをチェックリスト評価結果7
のような一般的な評価項目のデータに変換し、項目の観
点を調整する。項目の観点の調整には項目観点調整用デ
ータテーブル32を用いる。
【0012】項目観点調整用データテーブル32は、図
5に一例を示すように、問題箇所501、問題点50
2、評価内容503の3項目からなり、例えば、問題箇
所501が「OS」、問題点502が「システムのパッ
チが最新でない」、評価内容503が「使用するソフト
ウェア/パッチのバージョンが最新でない」のようにシ
ステム評価結果6の項目(個別の機器等に関わる「問題
範囲」の項目を除く)とチェックリスト評価結果7の項
目(評価内容)を対応付けるデータが含まれている。
【0013】一方、評価統合部33ではチェックリスト
評価結果7の評価データと項目観点調整部31で評価観
点の調整(あるいは整合)を行ったシステム評価結果6
の評価データを統合し、統合評価結果9を作成する。統
合評価結果9の一例を図6に示す。統合評価結果9は形
式としてはチェックリスト評価結果7と同様に、評価内
容601と判定602の2項目で構成されている。な
お、ここでは評価観点の調整を行ったシステム評価結果
6に基づく評価データは、評価内容の末尾に「(システ
ム評価)」の記述を付けて区別している。このことによ
って、「システム評価にしかない項目をチェックリスト
評価では漏れていた項目として追加する」、「チェック
リスト評価がシステム評価(実態)と食い違うものを指
摘する」、「チェックリスト評価がシステム評価(実
態)と合っていることを確認する」といった効用があ
る。
【0014】そして、文案作成部34では評価統合部3
3が作成した統合評価結果9からポリシー文書案8を作
成する。文案の作成には文案作成用データテーブル35
を用いる。文案作成用データテーブル35の一例を図7
に示す。文案作成用データテーブル35は評価項目70
1、ポリシー文案702の2項目からなり、例えば、評
価項目701が「使用するソフトウェア/パッチのバー
ジョンが最新である」、ポリシー文案702が「使用す
るソフトウェア及びそこに適用するパッチのバージョン
は最新に保つ」のように統合評価結果9の項目(評価内
容)とポリシー文書案8の項目(ポリシー文案)を対応
付けるデータが含まれている。ポリシー文書案8の一例
を図8に示す。ポリシー文書案8は、例えば「使用する
ソフトウェア及びそこに適用するパッチのバージョンは
最新に保つ」のような文案データの集合となっている。
項目観点調整部31での評価項目の観点の調整と、評価
統合部33での評価項目の統合による、2種類の評価結
果の統合的な利用が本発明の特徴である。
【0015】次に、統合評価結果9の作成に関する処理
の詳細について説明する。図9は統合評価結果9を作成
する処理を示すフローチャートである。まず、評価統合
部33でチェックリスト評価結果7の内容を統合評価結
果9へとコピーする(ステップ901)。すなわち、チ
ェックリスト評価結果7の項目は全て統合評価結果9の
項目として反映されることになる。次に、項目レベル調
整部31でシステム評価結果6の未処理の行データがあ
るかどうかをチェックし(ステップ902)、残りがな
ければ(ステップ902でN)処理を終了する。
【0016】一方、残りがある場合は(ステップ902
でY)システム評価結果6から未処理の1行分のデータ
を読み込む(ステップ903)。例えば、図3のシステ
ム評価結果に列挙されている「クライアントB」、「サ
ーバB」、「ドメインA」、「クライアントC」といっ
た問題範囲の項目を持つ各行のデータを1行分読み込
む。そして、読み込んだシステム評価結果6の内容に対
応するチェックリストレベルの内容を項目観点調整用デ
ータテーブル32から取り出す(ステップ904)。具
体的には、読み込んだシステム評価結果6の問題箇所3
02および問題点303と一致する問題箇所501及び
問題点502が記述されている評価内容503の欄の値
(文)を取り出す。例えば、図3のシステム評価結果に
列挙されている「クライアントB」といった行のデータ
を読み込んだ場合、この「クライアントB」の問題箇所
302として記述されている「OS」と問題点303と
して記述されている「システムのパッチが最新でない」
という内容と一致する問題箇所501および問題点50
2の項目内容が設定されている観点調整用データテーブ
ル32の「評価内容」503の欄の値(文)である「使
用するソフトウェア/パッチのバージョンが最新でな
い」を取り出す。
【0017】次に、このようにして取り出したチェック
リストレベルの項目(上記例における「使用するソフト
ウェア/パッチのバージョンが最新でない」など)を、
項目観点調整部31から評価統合部33を介して統合評
価結果9の項目として書き出し(ステップ905)、ス
テップ902へ戻る。以上が統合評価結果9の作成処理
である。
【0018】ここで、本実施形態のシステム評価結果6
は問題点だけを出力する形式になっており、全ての項目
(図3のテーブルの全てのデータ行)についてステップ
903からステップ905の処理を行ってよい。もし、
システム評価結果6が問題のない、良好な評価箇所につ
いてのデータも出力する形式(例えば、図4のチェック
リスト評価結果7のように問題のない項目を判定「○」
で、問題のある項目を判定「×」で表す形式)であった
場合は問題点のある評価項目についてだけ上記の処理を
すればよい。
【0019】最後に、セキュリティポリシー文書案8の
作成に関する文案作成部34での処理の詳細について説
明する。図10はポリシー文書案8を作成する処理を示
すフローチャートである。まず、統合評価結果9の未処
理の行データがあるかどうかをチェックし(ステップ1
001)、残りがなければ(ステップ1001でN)処
理を終了する。一方、残りがある場合は(ステップ10
01でY)統合評価結果9から未処理の1行分のデータ
を読み込む(ステップ1002)。そして、読み込んだ
統合評価結果9の内容に対応するポリシー文案を文案作
成用データテーブル35から取り出す(ステップ100
3)。これは、読み込んだ統合評価結果9の評価内容と
「評価項目」が一致するデータの「ポリシー文案」の欄
の値(文)を取り出せばよい。さらに、取り出したポリ
シー文案を、セキュリティポリシー文書案8の項目とし
て書き出し(ステップ1004)、ステップ1001へ
戻る。以上がポリシー文書案8の作成処理である。
【0020】なお、本実施形態では、各評価結果の項目
やポリシー文案を単純な対応付けで表現しているが、こ
れらをもっと構造化し、処理の効率化や柔軟な文書作成
を実現することも可能である。また、セキュリティポリ
シー文書案8と統合評価結果9をセキュリティ管理対象
システム4の運用組織の管理者に提示するに際して、セ
キュリティポリシー文書案8と統合評価結果9の作成に
関わる費用を課金するように構成することができる。
【0021】図11は、図1の構成に対し、課金処理1
0を付加したシステムの例を示す構成図であり、セキュ
リティポリシー文書案8と統合評価結果9の作成処理が
終了したならば、統合評価・ポリシー作成ツール3が課
金処理10を起動し、セキュリティポリシー文書案8と
統合評価結果9の作成に関わる費用を算出させる。この
費用の算出に際しては、課金テーブル11に設定された
データを用いる。課金テーブル11には、セキュリティ
ポリシー文書案8と統合評価結果9の項目数、管理対象
範囲などに応じて異なる課金データが設定されている。
課金処理10は、課金テーブル11に設定された課金デ
ータに基づいてセキュリティポリシー文書案8と統合評
価結果9の作成に関わる費用を算出したならば、料金請
求書12を出力する。
【0022】また、本発明を用いた2回目以降の統合評
価結果作成およびポリシー文書案生成を行う場合に、前
回と今回の評価結果の変化した箇所を抽出し、そこに対
応するポリシー文書案の文をポリシー文書の修正候補箇
所として提示するように構成することができる。
【0023】図12は、図2の構成に対し、差分処理部
36を付加したツールの例を示す構成図であり、セキュ
リティポリシー文書案8と統合評価結果9の作成処理が
終了したならば、差分処理部36にて統合評価結果9と
前回統合評価結果10の比較を行い、評価結果の変化し
た項目についてポリシー文書修正候補を作成し、ポリシ
ー文書修正候補一覧11に出力する処理を行う。
【0024】ポリシー文書修正候補一覧11は、図13
に示すように、評価内容1301、前回判定1302、
今回判定1303、ポリシー文案1304の4項目から
なる。評価内容1301の形式は統合評価結果9の評価
内容601と、前回判定1302および今回判定130
3の形式は統合評価結果9の判定602と、ポリシー文
案1304の形式は文案作成用データテーブル35のポ
リシー文案702と、それぞれ同様である。続いて、ポ
リシー文書修正候補一覧11の作成に関する差分処理部
36での処理の詳細について説明する。
【0025】図14はポリシー文書修正候補一覧11を
作成する処理を示すフローチャートである。まず、統合
評価結果9の未処理の行データがあるかどうかをチェッ
クし(ステップ1401)、残りがなければ(ステップ
1401でN)処理を終了する。一方、残りがある場合
は(ステップ1401でY)統合評価結果9から未処理
の1行分のデータを読み込む(ステップ1402)。こ
こで前回統合評価結果10の同じ評価項目と判定の結果
を比較し(ステップ1403)、同じであれば(ステッ
プ1403でY)ステップ1401へ戻る。一方、結果
が異なる場合は(ステップ1403でN)読み込んだ統
合評価結果9の内容に対応するポリシー文案を文案作成
用データテーブル35から取り出す(ステップ140
4)。さらに、取り出したポリシー文案と統合評価結果
9の処理中の行の内容および前回統合評価結果10の判
定の結果からポリシー文書修正候補の行を作成し、これ
をポリシー文書修正候補一覧11の項目として書き出し
て(ステップ1405)、ステップ1401へ戻る。以
上がポリシー文書修正候補一覧11の作成処理である。
【0026】
【発明の効果】以上の説明から明らかなように、本発明
によれば、チェックリスト評価とシステム評価という2
種類の評価項目間の評価観点の調整と両者の統合の機能
を持った、セキュリティ評価とセキュリティポリシー文
書の案を作成するツールを導入することで、2種類の評
価ツールの特長を生かした総合的な評価に基づくセキュ
リティポリシー策定支援を、人手による作業を伴わずに
一貫したツール利用によって実現することができる。ま
た、評価と文案作成の再実行を行う場合には再評価結果
に基づくポリシー文書の修正候補項目がスムーズに把握
できる。
【図面の簡単な説明】
【図1】本発明のセキュリティポリシー策定支援方法を
実現する情報処理システムの一実施形態を示す構成図で
ある。
【図2】統合評価・ポリシー案作成ツールの構成例を示
す図である。
【図3】システム評価結果の一例を示す図である。
【図4】チェックリスト評価結果の一例を示す図であ
る。
【図5】項目観点調整用データテーブルの例を示す図で
ある。
【図6】統合評価結果の一例を示す図である。
【図7】文案作成用データテーブルの例を示す図であ
る。
【図8】セキュリティポリシー文書案の一例を示す図で
ある。
【図9】統合評価結果を作成する処理を示すフローチャ
ートである。
【図10】ポリシー文書案を作成する処理を示すフロー
チャートである。
【図11】図1の実施形態に対し課金処理を付加した構
成を示す図である。
【図12】図2のツールの構成に対しポリシー文書の修
正候補一覧の作成処理を付加した構成を示す図である。
【図13】ポリシー文書修正候補一覧の例を示す図であ
る。
【図14】ポリシー文書修正候補一覧を作成する処理を
示すフローチャートである。
【符号の説明】
1…システム評価ツール 2…チェックリスト評価ツール 3…統合評価・ポリシー案作成ツール 4…セキュリティ管理対象システム 5…チェックリスト項目回答 6…システム評価結果 7…チェックリスト評価結果 8…ポリシー文書案 9…統合評価結果 10…前回統合評価結果 11…ポリシー文書修正候補一覧 31…項目観点調整部 32…項目観点調整用データテーブル 33…評価統合部 34…文案作成部 35…文案作成用データテーブル 36…差分処理部

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータネットワークシステム及び
    人的組織等の管理状況に対する評価に基づきセキュリテ
    ィポリシー文書の案を作成するセキュリティポリシー策
    定支援方法であって、 コンピュータネットワークシステムに関する設定及び動
    作状況を実システム上で検査し、評価するシステム評価
    ステップと、 人的組織等の管理状況を質問項目の回答として入力し、
    評価するチェックリスト評価ステップと、 前記システム評価ステップとチェックリスト評価ステッ
    プの評価項目における観点の相違を調整し、両者をまと
    めた総合的評価結果を作成する評価結果統合ステップ
    と、 前記総合的評価結果に基づいてセキュリティポリシー文
    書の案を生成するポリシー文書案生成ステップとを備え
    ることを特徴とするセキュリティポリシー策定支援方
    法。
  2. 【請求項2】 前記評価結果統合ステップは、前記シス
    テム評価ステップで得られた個別の機器やシステムの評
    価項目を前記チェックリスト評価ステップで得られる評
    価出力と同等の人的組織での一般的な評価項目に置換す
    ることにより、評価項目の観点の相違を調整するもので
    あることを特徴とする請求項1に記載のセキュリティポ
    リシー策定支援方法。
  3. 【請求項3】 前記システム評価ステップで得られる評
    価項目の置換を、前記チェックリスト評価ステップにお
    ける評価項目の観点調整用のデータを用いて行うことを
    特徴とする請求項2に記載のセキュリティポリシー策定
    支援方法。
  4. 【請求項4】 前記ポリシー文書案生成ステップは、前
    記総合的評価結果の評価項目とポリシー文書を構成する
    文の間の対応関係を示すデータを用いてセキュリティポ
    リシー文書の案を生成するものであることを特徴とする
    請求項1に記載のセキュリティポリシー策定支援方法。
  5. 【請求項5】 前記ポリシー文書案生成ステップで生成
    したセキュリティポリシー文書の案に対し、セキュリテ
    ィポリシーの策定に関わる料金を課金するステップをさ
    らに備えることを特徴とする請求項1〜4のいずれか一
    項に記載のセキュリティポリシー策定支援方法。
  6. 【請求項6】 コンピュータネットワークシステム及び
    人的組織等の管理状況に対する評価に基づきセキュリテ
    ィポリシー文書の案を作成するセキュリティポリシー策
    定支援システムであって、 コンピュータネットワークシステムに関する設定及び動
    作状況を実システム上で検査し、評価するシステム評価
    手段と、 人的組織等の管理状況を質問項目の回答として入力し、
    評価するチェックリスト評価手段と、 前記システム評価手段とチェックリスト評価手段の評価
    項目における観点の相違を調整し、両者をまとめた総合
    的評価結果を作成する評価結果統合手段と、 前記総合的評価結果に基づいてセキュリティポリシー文
    書の案を生成するポリシー文書案生成手段とを備えるこ
    とを特徴とするセキュリティポリシー策定支援システ
    ム。
  7. 【請求項7】 前記評価結果統合手段は、前記システム
    評価手段から出力される個別の機器やシステムの評価項
    目を前記チェックリスト評価手段から出力される評価出
    力と同等の人的組織での一般的な評価項目に置換するこ
    とにより、評価項目の観点の相違を調整するものである
    ことを特徴とする請求項6に記載のセキュリティポリシ
    ー策定支援システム。
  8. 【請求項8】 前記評価結果統合手段は、前記システム
    評価手段と前記チェックリスト評価手段における評価項
    目の観点調整用のデータテーブルを備え、前記システム
    評価手段から出力される評価項目の置換を、前記観点調
    整用のデータテーブルを用いて行うことを特徴とする請
    求項7に記載のセキュリティポリシー策定支援システ
    ム。
  9. 【請求項9】 前記ポリシー文書案生成手段は、前記総
    合的評価結果の評価項目とポリシー文書を構成する文の
    間の対応関係を示すデータテーブルを備え、前記総合的
    評価結果を前記データテーブルを用いてセキュリティポ
    リシー文書の案を生成するものであることを特徴とする
    請求項6に記載のセキュリティポリシー策定支援システ
    ム。
  10. 【請求項10】 前記ポリシー文書案生成手段で生成し
    たセキュリティポリシー文書の案に対し、セキュリティ
    ポリシーの策定に関わる料金を課金する課金手段をさら
    に備えることを特徴とする請求項6〜9のいずれか一項
    に記載のセキュリティポリシー策定支援システム。
  11. 【請求項11】 前記評価結果統合手段と前記ポリシー
    文書案生成手段で2回目以降の総合的評価結果作成およ
    びポリシー文書案生成を行う場合に、前回と今回の総合
    的評価結果の変化した箇所を抽出し、そこに対応するポ
    リシー文書案の文をポリシー文書の修正候補箇所として
    提示する手段を備えることを特徴とする請求項6〜10
    のいずれか一項に記載のセキュリティポリシー策定支援
    システム。
JP2002068256A 2001-07-17 2002-03-13 セキュリティポリシー策定支援方法およびシステム Pending JP2003099602A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002068256A JP2003099602A (ja) 2001-07-17 2002-03-13 セキュリティポリシー策定支援方法およびシステム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001-216466 2001-07-17
JP2001216466 2001-07-17
JP2002068256A JP2003099602A (ja) 2001-07-17 2002-03-13 セキュリティポリシー策定支援方法およびシステム

Publications (1)

Publication Number Publication Date
JP2003099602A true JP2003099602A (ja) 2003-04-04

Family

ID=26618853

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002068256A Pending JP2003099602A (ja) 2001-07-17 2002-03-13 セキュリティポリシー策定支援方法およびシステム

Country Status (1)

Country Link
JP (1) JP2003099602A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006172181A (ja) * 2004-12-16 2006-06-29 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
JP2006185416A (ja) * 2004-09-30 2006-07-13 Rockwell Automation Technologies Inc 産業用オートメーションのためのスケーラブルで柔軟な情報セキュリティ
JP2006318369A (ja) * 2005-05-16 2006-11-24 Nippon Telegr & Teleph Corp <Ntt> ポリシ自動生成方法および認可装置
US7882537B2 (en) 2004-06-21 2011-02-01 Nec Corporation Method and apparatus for security policy management

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7882537B2 (en) 2004-06-21 2011-02-01 Nec Corporation Method and apparatus for security policy management
JP2006185416A (ja) * 2004-09-30 2006-07-13 Rockwell Automation Technologies Inc 産業用オートメーションのためのスケーラブルで柔軟な情報セキュリティ
US8607307B2 (en) 2004-09-30 2013-12-10 Rockwell Automation Technologies, Inc. Scalable and flexible information security for industrial automation
JP2006172181A (ja) * 2004-12-16 2006-06-29 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
JP2006318369A (ja) * 2005-05-16 2006-11-24 Nippon Telegr & Teleph Corp <Ntt> ポリシ自動生成方法および認可装置
JP4723905B2 (ja) * 2005-05-16 2011-07-13 日本電信電話株式会社 ポリシ自動生成方法および認可装置

Similar Documents

Publication Publication Date Title
US5664183A (en) Application of groupware to ISO 9000 registration via facilitated work sessions
Kitchenham et al. Evaluating guidelines for reporting empirical software engineering studies
US6853975B1 (en) Method of rating employee performance
Leung et al. A process framework for small projects
US20020194059A1 (en) Business process control point template and method
Dell et al. Integrating ODK Scan into the community health worker supply chain in Mozambique
Byerley et al. Accessibility of web‐based library databases: the vendors' perspectives in 2007
Allue et al. QRP: a CMMI appraisal tool for project quality management
Toyin et al. An investigation of barriers to the application of building information modelling in Nigeria
CN113918609A (zh) 试卷创建方法、装置、计算机设备和存储介质
JP2003099602A (ja) セキュリティポリシー策定支援方法およびシステム
TWI222590B (en) Method for ascertaining the status of information system, and apparatus to be used with the method
Elena et al. Requirements culture: a case study on product development and requirement perspectives
Lok et al. Automated tool support for an emerging international software process assessment standard
JP2023078406A (ja) 資料作成装置、資料作成方法及びプログラム
US20090275009A1 (en) System and method for school progress reporting
Monla et al. Maturity Evaluation Methods for BIM-Based AR/VR in Construction Industry: A Literature Review
Conway et al. Creating accessible local government: The process
JP7471760B1 (ja) 情報処理方法、情報処理システム及びプログラム
JP7176657B1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP6081305B2 (ja) 現場作業の支援システム及びその支援方法
JP2002203088A (ja) 環境マネジメント支援システム
Walker et al. SPICE Assessments using the SEAL assessment tool
Widmann 2.5. 2 Key Features of the “Merged” EIA/IS 731–1 Systems Engineering Capability Model
Chomal et al. Software Template to Improve Quality of Database Design on basis of Error Identification from Software Project Documentation