JP2008171253A - 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム - Google Patents

情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム Download PDF

Info

Publication number
JP2008171253A
JP2008171253A JP2007004640A JP2007004640A JP2008171253A JP 2008171253 A JP2008171253 A JP 2008171253A JP 2007004640 A JP2007004640 A JP 2007004640A JP 2007004640 A JP2007004640 A JP 2007004640A JP 2008171253 A JP2008171253 A JP 2008171253A
Authority
JP
Japan
Prior art keywords
information
information security
management system
document
audit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007004640A
Other languages
English (en)
Inventor
Naoki Mori
直樹 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HABU KK
RISK MANAGE CO Ltd
Original Assignee
HABU KK
RISK MANAGE CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HABU KK, RISK MANAGE CO Ltd filed Critical HABU KK
Priority to JP2007004640A priority Critical patent/JP2008171253A/ja
Publication of JP2008171253A publication Critical patent/JP2008171253A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】情報セキュリティマネジメントシステムを情報セキュリティ監査システムに応用する。
【解決手段】情報セキュリティマネジメントの監査サービスシステムであって、組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供。
【選択図】図1

Description

本発明は情報管理システムに関するが、詳しくは情報セキュリティマネジメントシステムに関するものである。
従来の情報管理システムには、例えば特開2002−13290号公報で開示されている「ISO9000シリーズ品質管理システム構築方法とそのシステム」がある。この従来システムは、いわゆるISO9000シリーズの品質管理システムに関するものであり、その課題はISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと利用企業の端末(契約者端末)を情報通信網で接続し、当該品質管理システムの構築を支援するものであり、その解決手段はISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと、利用企業である契約者端末とを情報通信網で接続し、契約者端末からサービスセンターのホームページ等を利用して当該契約者の品質管理システムの構築に関わる各種のデータを登録する。サービスセンターは、登録された上記データをもとに品質管理システムの構築のための最適な文書を契約者端末に提供し、また外部コンサルタント端末から指導と助言を提供することにより利用企業の品質管理システムの構築を支援するところにある。
特開2002−132902号公報 この従来公知のシステムは、ISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと、このサービスセンターを利用する利用企業の端末および不特定の一般端末とを情報通信網で接続し、前記企業から委託される前記ISO9000シリーズ品質管理システムの構築を行うISO9000シリーズ品質管理システム構築支援システムであって、前記サービスセンターはサービスを利用しようとする企業の端末に対してサービスセンターのホームページ上でサービスセンターの利用に必要な企業情報の入力を促し入力された当該企業情報を登録する企業情報登録手段と、前記利用企業の端末でISO9000シリーズ品質管理システムに関わる文書を作成する文書作成手段と、前記利用企業からの当該品質管理システムの構築に係る指導と助言の要求に対するアドバイスを行うコンサルティング手段と、前記利用企業が作成したISO9000シリーズ品質管理システムに関わる文書をチェックしチェック結果を当該前記利用企業に提供するシステムチェック手段と、前記利用企業及び不特定端末から提供されるISO9000シリーズ品質管理システムに関わる参考文書のファイルを登録する文書登録手段と、前記アドバイス、チェック結果または参考文書等のファイルを電子メール送信やファイル転送によって利用企業側の端末に転送するファイル転送手段と、前記利用企業の端末から収集した企業情報を格納する企業情報データベース、前記利用企業が作成中のISO9000シリーズ品質管理システムに関わる文書情報を格納する文書作成データベース、コンサルティング手段でアドバイスした情報を格納するコンサルティングデータベース、ISO9000シリーズ品質管理システムに関わる文書チェックの情報を格納する品質管理システムチェックデータベース、前記利用企業の端末あるいは前記不特定端末から収集したISO9000シリーズ品質管理システムに関わる参考文書の情報を格納する完成版文書データベースと、を備えたことを特徴とするISO9000シリーズ品質管理システム構築支援システムである。
いわゆる従来公知のシステムは、情報通信網を通じてISO9000シリーズ品質管理システム構築するための仕組みをを提供するISO9000シリーズ品質管理システム構築支援方法とそのシステムに関するものであり、具体的にはISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターとこのサービスを利用しようとする利用企業の端末をインターネット等の情報通信網で接続し、当該サービスセンターのホームページ上で利用企業の担当者が上記ISO9000シリーズ品質管理システムに関わる参考文書例をみながら自社に取り入れたい文書を選択して当該ISO9000シリーズ品質管理システムの所要の文書を作成するとともに必要に応じて参考情報の提供や作成された実際の文書の分析(チェック)結果を基に助言・指導を行う機能を提供し、また利用期間等に応じて課金が行われるようにしたISO9000品質管理システムに関するものである。
このような従来公知のシステムは、いわゆる「ISO9000品質管理システム」の構築支援にあり、他の関連システムでは活用することができない。そこで、情報管理システムにおける情報セキュリティのマネジメントシステムを開発したところに本願発明が解決しようとする課題を有する。
本発明は上記の如き課題を解決するために開発したものであり、情報セキュリティマネジメントの監査サービスシステムであって組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおけるリスク分析機能が、登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおけるリスク分析機能が、選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける管理対応手順書作成機能が、ISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける適用宣言書作成機能が、リスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおけるISMS文書管理機能が、文書内容を変更しかつ版更新の自動管理を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、更に前記情報セキュリティ監査システムにおいて情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にある。
本発明は、情報セキュリティマネジメントの監査サービスシステムであって、組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおけるリスク分析機能が、登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記を情報セキュリティ監査システムにおけるリスク分析機能が、選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける管理対応手順書作成機能が、ISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける適用宣言書作成機能が、リスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおけるISMS文書管理機能が、文書内容を変更しかつ版更新の自動管理を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、更に前記情報セキュリティ監査システムにおいて情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであるから、従来システムでは得られない次のような多くの効果が得られる。
本発明システム導入のメリット
・ブラウザでの操作の為、ソフトのインストールが不要
(ID、Passwordを一例とするユーザー認証機能さえあれば、どのPCか らも操作可能)
・導入実績のある、確かな雛形文書が手軽にダウンロード可能
・固有名詞挿入機能により、雛形文書の修正が殆ど不要
・複数部署による整合性の取れた資産管理が可能
・リスク分析結果の品質均一化
・リスク分析のシュミレーション機能
・データベースでの情報一元管理
・リモートサイトとの情報共有が可能(距離の制約無し)
・コミニュケーション機能
以上のような多くのメリットから、専任者が不要となりコストの削減が可能となる。また構築期間の短縮とセキュリティ品質の向上を図ることができる。
本発明の最良な実施形態は、情報管理システムにおける情報セキュリティマネジメントシステムであるから、その基本的な技術は一般的なビジネスモデル技術を活用したところに特徴を有している。従って、本発明システムの特徴を説明し更にそのシステムを実施するための管理システムについて説明することにする。
まず、本発明システムの基本的な考え方は情報セキュリティマネジメントシステム(ISMS:Iaformation Security Management System)のスタンダードであり、そのうち本発明は主要なものとしてISO27001WebのISO27001支援のポータルサイト及びASPサービスにより、構築・運用時の作業負荷を低減させたものである。そのサービス形態・利用イメージ・リスク分析シュミレーション機能(図示せず)は別に示される。このASPサービスの主要機能は、情報資産台帳の登録・管理を行う情報資産管理と、情報資産価値・育成・脆弱性評価・リスク評価等を行うリスク分析と、リスク対応・管理策選択を行うリスクマネジメントと、リスクマネジメントに基づいた手順書の自動作成を行う管理対策手順書作成と、適用宣言書の自動作成を行う適用宣言書作成と、各種文書のバージョン管理を行う文書管理と、決裁手順の電子化を行う電子決裁とから構成されている。その結果、ISMS構築時における作業負荷は次のとおりである。
ISMS構築時の作業負荷
情報資産台帳の作成
従業員各々の資産リストの取りまとめ
台帳の維持更新
リスクアセスメント
情報資産価値の評価
脅威・脆弱性の評価
リスク値の算出・リスク対応
規程・基準文書の作成
リスクアセスメントに従った文書の作成
バージョン管理
作業時間の短縮
リスク分析結果の品質均一化
データベースでの情報一元管理
ASPにより距離・環境の制約を受けてない
ISMS関連情報のセキュリティ向上
また、本発明の基本システムを応用したものについて説明する。
(1)情報セキュリティコンサルティング事業の構築支援
前記のマネジメントシステムにおいて、情報セキュリティ・マネジメン・システム( ISMS Ver 2.0 /ISO27001(JISQ27001))の情報セキュリ ティ認証取得・情報セキュリティ戦略立案・セキュリティ脆弱性診断等の情報セキュリ ティコンサルティング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(2)研修教育・Eランニング事業の構築支援
前記のマネジメントシステムにおいて、ISO27001とプライバシーマーク総合 コンサルティング・JIPDEC認定ISO27001(JISQ27001)審査員 養成員研修・クラッカーズ対応コース・ISMS/プライバシーマーク関連研修等の研 修教育/Eラーニング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(3)情報セキュリティの監査支援
前記のマネジメントシステムにおいて、情報セキュリティルールの順守と改善・情報 技術の変化と業務変化に応じた維持管理・内部監査体制の確立・企業情報管理体制に対 する信頼獲得等の情報セキュリティ監査を支援する情報管理システムにおけるマネジメ ントシステムである。
(4)災害対策事業管理コンサルティングの構築支援
前記のマネジメントシステムにおいて、事業継続計画策定・災害対応システム設計・ 災害対策システム構築等の災害対策事業管理コンサルティングの構築を支援する情報管 理システムにおける情報セキュリティのマネジメントシステムである。
(5)情報管理の機能支援
前記のマネジメントシステムにおいて、情報管理・文書管理・リスク分析・リスクマ ネジメント等の情報管理機能を支援する情報管理システムにおける情報セキュリティの マネジメントシステムである。
次に本発明の最良の実施形態について説明すれば、本発明の基本的な構成は情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムにおいて、前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と、利用企業に必要な企業情報を登録する企業情報登録手段と、利用企業に必要な情報管理システムの文書作成手段と、利用企業からの必要な情報管理システムのコンサルティング手段と、前記文書チェック結果を利用企業に提供するシステムチェック手段と、利用企業から提供される参考文書のファイルを登録する文書登録手段と、前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えていることを特徴とする情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて情報セキュリティ・マネジメン・システム(ISMS Ver 2.0 /ISO27001(JISQ27001))のプライバシーマーク認証取得・情報セキュリティ戦略立案・セキュリティ脆弱性診断等の情報セキュリティコンサルティング事業の構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいてISO27001とプライバシーマーク総合コンサルティング・JIPDEC認定ISO27001(JISQ27001)審査員養成員研修・クラッカーズ対応コース・ISMS/プライバシーマーク関連研修等の研修教育/Eラーニング事業の構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて情報セキュリティルールの順守と改善・情報技術の変化と業務変化に応じた維持管理・内部監査体制の確立・企業情報管理体制に対する信頼獲得等の情報セキュリティ監査を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて事業継続計画策定・災害対応システム設計・災害対策システム構築等の災害対策事業管理コンサルティングの構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて、情報管理・文書管理・リスク分析・リスクマネジメント等の情報管理機能を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであるから、そのシステムの基本シムテムは従来から多用されているインターネット・メールHPプロトコル・ラジオチャートなどの端末とそのソフトウェアとから構成されており、いわゆるビジネスモデルの技術・発明に関するものといえる。
更に本発明の最良な実施形態について図1から図9によって説明することにする。まず図1は本発明の検査サービス組織概要図であり、図2はその情報セキュリティ監査サービスの支援概要図である。また図3は情報資産管理機能であり、図4はリスク分析機能であり、図5はリスクマネジメント機能であり、図6は管理策対応手順書作成機能であり、図7は適用宣言書作成機能であり、図8はISMS文書管理機能であり、図9は電子決裁機能である。まず監査サービスシステムは、組織の情報セキュリティ対策の現状について既定基準のとおり有効に機能しかつ適切に実施されているか否かを点検し評価するものであり、RM監査ゲームが基準と組織の情報セキュリティ対策とを比較してCaPを介して改善をアドバイスする。すなわち、情報セキュリティ監査サービスとは情報セキュリティルールの順守状況の確認と改善、情報技術の変化と業務の変化に応じた維持管理及び内部監査体制の確立にある。次に監査サービスの支援は、情報セキュリティ現状調査サービスと技術的検証サービスと情報セキュリティ監査サービスとから構成されており、図2のような方法で内部監査支援サービスがなされている。
更に情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減しかつ個人情報保護法による対応を可能とし、またリスク分析機能が登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可能性ごとにリスク値を算出して厳密なリスクアセスメントを可能とし、またリスク分析機能が選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIA等ごとのリスク値の比較検討を可能とし、また管理対応手順書作成機能がISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とし、また適用宣言書作成機能がリスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とし、またISMS文書管理機能が文書内容を変更しかつ版更新の自動管理を可能としまた電子決裁機能がISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする構成になっている。
なお、本発明の具体的な実施例は従来公知技術である特開2002−132902号公報で開示されているシステムを応用できるので、以下図11のシステム機能ブロックと図12のシステムフローチャートとによって説明することにする。
まず、図11に示すISO9000シリーズ品質管理システム構築支援ウェブサイトが運用するサービスセンター1は、文書作成手段11、データベース管理手段12、コンサルティング手段13、システムチェック手段14、文書登録手段15、課金情報手段16、企業情報登録手段17、文書作成データベース21、コンサルティングデータベース22、品質管理システムチェックデータベース23、完成版文書データベース24、課金情報データ25、企業情報デーアベース26、およびファイル転送手段20で構成される。また、上記サービスセンター1を利用する企業の端末3、外部コンサルタント端末4、不特定の一般端末5は、それぞれ契約者アクセス手段、外部コンサルタントアクセス手段、不特定の一般アクセス手段を持ち、インターネット等の情報通信網6を介してサービスセンター1にアクセスして接続可能に構成されている。また文書作成手段11は、ISO9000シリーズ品質管理システムに関わる文書をこれから作成しようとする企業(利用企業)の契約者端末3からホームページ等の上で提供される入力指示やデータに基づいて必要な当該ISO9000シリーズ品質管理システムに関わる文書を作成する手段である。データベース管理手段12は利用企業端末3、コンサルタント端末4及び不特定の一般端末5から収集した文書作成データ、コンサルティングデータ、品質管理システムチェックデータ、完成版文書データ、課金情報データ、企業情報をデータベース21〜26に蓄積し管理する手段である。またコンサルティング手段13は、契約者端末3に対してコンサルティングデータベースに格納された代表的な質問、疑問等に応答する事項を提供し、あるいは外部コンサルタント端末4が行う助言、指導の内容を蓄積し提供する手段である。またシステムチェック手段14は、契約者端末3が作成した品質管理システムに関わる文書に対して品質管理システムデータベース23に格納されたISO9000シリーズ規格に照らし、あるいは外部コンサルタント端末4がISO9000シリーズ規格に照らしてチェックする手段である。また文書登録手段15は、契約者端末3ならびに不特定の一般端末5からの閲覧および品質管理文書の登録の手段である。また課金情報手段16は、利用登録された企業に対する課金情報を管理する手段である。また企業情報登録手段17は、これから利用しようとする企業の利用企業端末3に対して利用登録に必要な企業情報を登録される手段である。またファイル転送手段20は、作成した文書や参考資料のファイルを電子メール送信やファイル転送によって利用企業側の所定端末に転送する手段である。また文書作成データベース21は、利用企業の企業名ID、ISO9000シリーズ品質管理文書の種類、規格NO.、作成した文書を記憶するデータベースである。またコンサルティングデータベース22は、契約者端末3からの質問に対する回答事項を蓄積し、また外部コンサルタント端末4がコンサルティングした結果を格納して蓄積するデータベース23は、利用企業端末3が作成した品質管理システムに関わる文書をチェックした結果を格納するデータベースである。また完成版文書データベース24は、契約者端末3及び不特定の一般端末5が保有しているISO9000シリーズ品質管理システム関連文書を格納するデータベースである。また課金情報データベース25は、本サービスセンター1の利用内容に応じて利用企業に対する課金のための情報を記録するデータベースである。また企業情報データベース26は、上記したように本サービスセンター1の利用企業に関する情報を記録するデータベースである。また契約者端末3の契約者アクセス31は、サービスセンター1の文書作成手段11から企業情報登録手段17までのすべての登録ならびに閲覧手段にアクセスする手段である。また外部コンサルタント端末4のコンサルタントアクセス手段は、コンサルティング手段13ならびにシステムチェック手段14にアクセスする手段、不特定の一般端末5の不特定の一般アクセス手段は文書登録手段15にアクセスする手段である。なお、図11において図番が記入されていないところが本発明の改良部分である。
次に、図12は契約者端末からサービスサンターに対し企業登録から、コンサルティングの結果及び品質管理システムチェックの結果までを一人で処理した場合の画面表示の流れを示すフローチャートである。まず、契約者端末3からサービスセンター1へ接続するとサービスセンター1では契約者端末3へエントリー画面を送信する。サービスセンター1では企業情報登録メニュー選択の指示情報を受信し企業情報登録画面を送信する。企業情報等登録画面は、企業名、住所、契約者名、メールアドレス、パスワード等を登録する画面である。契約者端末3では企業情報登録画面を受信して表示し(S−103)、その企業情報登録画面により企業情報を入力し、入力した企業情報をサービスセンター1へ送信する。サービスセンター1では、企業情報を受信しこれを企業情報データベース26に格納し登録確認メールを管理者宛てに送信する。登録確認メール企業情報の受信およびその登録内容を管理者に通知するための電子メールである。契約者端末3では、登録確認メールを受信し企業情報登録を終了する。利用を開始する場合には、エントリー画面からログイン画面選択の指示情報を送信する。更に、サービスセンター1では、ログインメニュー選択の指示情報を受信しログイン画面を送信する。契約者端末3では、ログイン画面を受信し表示し(S−102)、利用企業認証情報を入力し利用企業認証情報サービスセンター1へ送信する。利用企業認証情報は、企業ID、考課者パスポート等の情報である。またサービスセンター1では利用企業認証情報を受信し、これをもとに企業情報データベース26を検索して認証を行う。続いて、サービスセンター1は契約者端末3へメニュー画面を送信する。また契約者端末3では、メニュー画面を受信し表示する(S−104)。ここで、文書作成、コンサルティングサービスにおよび品質システムチェックサービスのなかからいずれかを選択する。契約者は、メニュー画面からメニュー項目を選択し指示情報を送信する。またサービスセンター1では、文書作成を受信すると契約者端末3では文書作成画面を受信し表示する(S105)。次に、契約者端末3では文書作成画面で品質管理文書を作成し送信する。またサービスセンター1では、作成された文書の確認のため作成文書確認画面を表示をする(S−106)。
一方、契約者端末からの外部コンサルタントのサービスを依頼しサービスセンター1がこのコンサルティングサービスを受信すると、契約者端末3にコンサルティングの依頼内容を入力して送信する。またサービスセンター1では、コンサルティング依頼内容の情報を受信するとその情報をコンサルティングデータベース22へ格納すると共に、外部コンサルタント端末にコサルティング依頼がある旨を示すコンサルティング実行画面(S−108)を送信する。外部コンサルタント端末4では、コンサルティング実行画面(S−108)を受信しコンサルティングの依頼に対して解決案をサービスセンター1宛に送信する。またサービスセンター1では、解決案をコンサルティングデータベース22に登録する。契約者端末3では、コンサルティングの解決案をみるためコンサルティング結果画面(S−109)を受信する。
またサービスサンター1は、品質システムチェックの依頼を受信すると、契約者端末3では品質管理システムチェック依頼画面を受信し表示する(S−110)。そこで、契約者端末3は依頼内容を上記品質システムチェック依頼画面に入力し、サービスセンター宛に送信する。サービスセンター1が品質システムチェックの依頼内容の情報を受信すると、その情報を品質システムチェックデータベース23へ格納すると共に品質管理システムチェック実行画面を外部コンサルタント端末4に送信する。またサービスセンター1では、品質管理システムチェックで問題がないものについては契約者へ品質文書登録画面(S113)を送信する。契約者端末3は、この品質文書登録画面を受信し契約者の判断で作成した品質文書の登録の意思を送信する。サービスサンター1では、送信された登録事項が登録条件を満たしていて登録可であれば、完成版文書データベース24にこれを登録する。なお、図12において枠外のところが本発明の改良部分である。
本発明システムの監査サービス組織を示した概要図。 本発明システムの監査サービス支援を示した概要図。 本発明システムの情報資産管理機能を示した概要図。 本発明システムのリスク分析機能を示した概要図。 本発明システムのリスクマネジメント機能を示した概要図。 本発明システムの管理策対応手順書作成機能を示した概要図。 本発明システムの適用宣言作成機能を示した概要図。 本発明システムのISMS文書管理機能を示した概要図。 本発明システムの電子決裁機能を示した概要図。 本発明システムに関連する従来システムのブロック図。 本発明システムに関連する従来システムのフローチャート。
符号の説明
1 サービスセンター 3 契約者端末
4 外部コンサルタント端末 5 不特定の一般端末
6 情報返信網 11 文書作成手段
12 データベース管理手段 13 コンサルティング手段
14 システムチェック手段 15 文書登録手段
16 課金情報手段 17 企業情報登録手段
20 ファイル転送手段 21 文書作成データベース
22 コンサルティングデータベース 23 品質管理システムチェックデータベース
24 完成版文書データベース 25 課金情報データベース
26 企業情報データベース

Claims (9)

  1. 情報セキュリティマネジメントの監査サービスシステムであって、組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  2. 請求項1記載の情報セキュリティ監査システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  3. 請求項1記載の情報セキュリティ監査システムにおけるリスク分析機能が、登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  4. 請求項1記載の情報セキュリティ監査システムにおけるリスク分析機能が、選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  5. 請求項1記載の情報セキュリティ監査システムにおける管理対応手順書作成機能が、ISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  6. 請求項1記載の情報セキュリティ監査システムにおける適用宣言書作成機能が、リスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  7. 請求項1記載の情報セキュリティ監査システムにおけるISMS文書管理機能が、文書内容を変更しかつ版更新の自動管理を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  8. 請求項1記載の情報セキュリティ監査システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
  9. 請求項1記載の情報セキュリティ監査システムにおいて、情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている請求項1乃至8記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
JP2007004640A 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム Pending JP2008171253A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007004640A JP2008171253A (ja) 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007004640A JP2008171253A (ja) 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム

Publications (1)

Publication Number Publication Date
JP2008171253A true JP2008171253A (ja) 2008-07-24

Family

ID=39699283

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007004640A Pending JP2008171253A (ja) 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム

Country Status (1)

Country Link
JP (1) JP2008171253A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010165099A (ja) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
KR101560259B1 (ko) 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
CN108416532A (zh) * 2018-03-23 2018-08-17 珠海科明智能科技有限公司 能源审计电子化信息系统
CN112148252A (zh) * 2020-09-03 2020-12-29 杭州云徙科技有限公司 一种基于软件研发需求全生命周期的管理系统及跟踪方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010165099A (ja) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
KR101560259B1 (ko) 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
CN108416532A (zh) * 2018-03-23 2018-08-17 珠海科明智能科技有限公司 能源审计电子化信息系统
CN112148252A (zh) * 2020-09-03 2020-12-29 杭州云徙科技有限公司 一种基于软件研发需求全生命周期的管理系统及跟踪方法
CN112148252B (zh) * 2020-09-03 2024-02-09 广东云徙智能科技有限公司 一种基于软件研发需求全生命周期的管理系统及跟踪方法

Similar Documents

Publication Publication Date Title
US11334682B2 (en) Data subject access request processing systems and related methods
US20200285770A1 (en) Data subject access request processing systems and related methods
US10430740B2 (en) Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
Alberts et al. Managing information security risks: the OCTAVE approach
US20220277103A1 (en) Data subject access request processing systems and related methods
JP2003162612A (ja) 資格情報の管理方法及び管理装置
US10776517B2 (en) Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US7966350B2 (en) Evidence repository application system and method
JP2008171253A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム
Bochnia et al. Self-Sovereign Identity for Organizations: Requirements for Enterprise Software
Bizimana E-government Readiness Assessment for Government institutions in Burundi
Oda et al. Enterprise information security architecture a review of frameworks, methodology, and case studies
Oppermann et al. Digital transformation in legal metrology: An approach to a distributed architecture for consolidating metrological services and data
Beres et al. On identity assurance in the presence of federated identity management systems
Kog Legal issues of integrated network for construction and real estate sector
Baldwin et al. Assurance for federated identity management
Spears et al. Is security requirements identification from conceptual models in systems analysis and design: The Fun & Fitness, Inc. case
JP2008171255A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティ・ポータルサイトシステム
Vidor et al. A maturity assessment model for cyber security education in Europe
JP2008171256A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム
JP2008158927A (ja) 情報セキュリティマネジメントシステムにおける主治医iso27001システム
JP2008171254A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティ・ポータルサイト機能システム
Mustonen Designing a security framework for enhanced monitoring and secure development during the software life cycle
Tryfonas et al. Standardising business application security assessments with pattern-driven audit automations
Mahncke et al. Developing and validating a healthcare information security governance framework