JP2008171253A - 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム - Google Patents
情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム Download PDFInfo
- Publication number
- JP2008171253A JP2008171253A JP2007004640A JP2007004640A JP2008171253A JP 2008171253 A JP2008171253 A JP 2008171253A JP 2007004640 A JP2007004640 A JP 2007004640A JP 2007004640 A JP2007004640 A JP 2007004640A JP 2008171253 A JP2008171253 A JP 2008171253A
- Authority
- JP
- Japan
- Prior art keywords
- information
- information security
- management system
- document
- audit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 155
- 238000012550 audit Methods 0.000 title claims abstract description 87
- 230000006870 function Effects 0.000 claims abstract description 58
- 230000004044 response Effects 0.000 claims abstract description 14
- 238000005516 engineering process Methods 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims abstract description 9
- 238000012423 maintenance Methods 0.000 claims abstract description 8
- 230000008520 organization Effects 0.000 claims abstract description 7
- 238000004458 analytical method Methods 0.000 claims abstract description 4
- 238000010276 construction Methods 0.000 claims description 34
- 238000012502 risk assessment Methods 0.000 claims description 30
- 238000000034 method Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 11
- 238000012546 transfer Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000011156 evaluation Methods 0.000 claims description 4
- 230000007717 exclusion Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 238000009472 formulation Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000011835 investigation Methods 0.000 claims description 3
- 239000000203 mixture Substances 0.000 claims description 3
- 230000009897 systematic effect Effects 0.000 claims description 3
- 238000001038 ionspray mass spectrometry Methods 0.000 claims 3
- 238000002360 preparation method Methods 0.000 abstract description 5
- 230000008859 change Effects 0.000 abstract description 3
- 238000003326 Quality management system Methods 0.000 description 32
- 238000010586 diagram Methods 0.000 description 12
- 238000003908 quality control method Methods 0.000 description 12
- 238000012549 training Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000006872 improvement Effects 0.000 description 4
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000010191 image analysis Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000012925 reference material Substances 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】情報セキュリティマネジメントシステムを情報セキュリティ監査システムに応用する。
【解決手段】情報セキュリティマネジメントの監査サービスシステムであって、組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供。
【選択図】図1
【解決手段】情報セキュリティマネジメントの監査サービスシステムであって、組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供。
【選択図】図1
Description
本発明は情報管理システムに関するが、詳しくは情報セキュリティマネジメントシステムに関するものである。
従来の情報管理システムには、例えば特開2002−13290号公報で開示されている「ISO9000シリーズ品質管理システム構築方法とそのシステム」がある。この従来システムは、いわゆるISO9000シリーズの品質管理システムに関するものであり、その課題はISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと利用企業の端末(契約者端末)を情報通信網で接続し、当該品質管理システムの構築を支援するものであり、その解決手段はISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと、利用企業である契約者端末とを情報通信網で接続し、契約者端末からサービスセンターのホームページ等を利用して当該契約者の品質管理システムの構築に関わる各種のデータを登録する。サービスセンターは、登録された上記データをもとに品質管理システムの構築のための最適な文書を契約者端末に提供し、また外部コンサルタント端末から指導と助言を提供することにより利用企業の品質管理システムの構築を支援するところにある。
特開2002−132902号公報 この従来公知のシステムは、ISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと、このサービスセンターを利用する利用企業の端末および不特定の一般端末とを情報通信網で接続し、前記企業から委託される前記ISO9000シリーズ品質管理システムの構築を行うISO9000シリーズ品質管理システム構築支援システムであって、前記サービスセンターはサービスを利用しようとする企業の端末に対してサービスセンターのホームページ上でサービスセンターの利用に必要な企業情報の入力を促し入力された当該企業情報を登録する企業情報登録手段と、前記利用企業の端末でISO9000シリーズ品質管理システムに関わる文書を作成する文書作成手段と、前記利用企業からの当該品質管理システムの構築に係る指導と助言の要求に対するアドバイスを行うコンサルティング手段と、前記利用企業が作成したISO9000シリーズ品質管理システムに関わる文書をチェックしチェック結果を当該前記利用企業に提供するシステムチェック手段と、前記利用企業及び不特定端末から提供されるISO9000シリーズ品質管理システムに関わる参考文書のファイルを登録する文書登録手段と、前記アドバイス、チェック結果または参考文書等のファイルを電子メール送信やファイル転送によって利用企業側の端末に転送するファイル転送手段と、前記利用企業の端末から収集した企業情報を格納する企業情報データベース、前記利用企業が作成中のISO9000シリーズ品質管理システムに関わる文書情報を格納する文書作成データベース、コンサルティング手段でアドバイスした情報を格納するコンサルティングデータベース、ISO9000シリーズ品質管理システムに関わる文書チェックの情報を格納する品質管理システムチェックデータベース、前記利用企業の端末あるいは前記不特定端末から収集したISO9000シリーズ品質管理システムに関わる参考文書の情報を格納する完成版文書データベースと、を備えたことを特徴とするISO9000シリーズ品質管理システム構築支援システムである。
いわゆる従来公知のシステムは、情報通信網を通じてISO9000シリーズ品質管理システム構築するための仕組みをを提供するISO9000シリーズ品質管理システム構築支援方法とそのシステムに関するものであり、具体的にはISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターとこのサービスを利用しようとする利用企業の端末をインターネット等の情報通信網で接続し、当該サービスセンターのホームページ上で利用企業の担当者が上記ISO9000シリーズ品質管理システムに関わる参考文書例をみながら自社に取り入れたい文書を選択して当該ISO9000シリーズ品質管理システムの所要の文書を作成するとともに必要に応じて参考情報の提供や作成された実際の文書の分析(チェック)結果を基に助言・指導を行う機能を提供し、また利用期間等に応じて課金が行われるようにしたISO9000品質管理システムに関するものである。
このような従来公知のシステムは、いわゆる「ISO9000品質管理システム」の構築支援にあり、他の関連システムでは活用することができない。そこで、情報管理システムにおける情報セキュリティのマネジメントシステムを開発したところに本願発明が解決しようとする課題を有する。
本発明は上記の如き課題を解決するために開発したものであり、情報セキュリティマネジメントの監査サービスシステムであって組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおけるリスク分析機能が、登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおけるリスク分析機能が、選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける管理対応手順書作成機能が、ISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける適用宣言書作成機能が、リスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおけるISMS文書管理機能が、文書内容を変更しかつ版更新の自動管理を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、また前記情報セキュリティ監査システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にあり、更に前記情報セキュリティ監査システムにおいて情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムの提供にある。
本発明は、情報セキュリティマネジメントの監査サービスシステムであって、組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおけるリスク分析機能が、登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記を情報セキュリティ監査システムにおけるリスク分析機能が、選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける管理対応手順書作成機能が、ISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける適用宣言書作成機能が、リスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおけるISMS文書管理機能が、文書内容を変更しかつ版更新の自動管理を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、また前記情報セキュリティ監査システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであり、更に前記情報セキュリティ監査システムにおいて情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている情報セキュリティマネジメントシステムにおける情報セキュリティ監査システムであるから、従来システムでは得られない次のような多くの効果が得られる。
本発明システム導入のメリット
・ブラウザでの操作の為、ソフトのインストールが不要
(ID、Passwordを一例とするユーザー認証機能さえあれば、どのPCか らも操作可能)
・導入実績のある、確かな雛形文書が手軽にダウンロード可能
・固有名詞挿入機能により、雛形文書の修正が殆ど不要
・複数部署による整合性の取れた資産管理が可能
・リスク分析結果の品質均一化
・リスク分析のシュミレーション機能
・データベースでの情報一元管理
・リモートサイトとの情報共有が可能(距離の制約無し)
・コミニュケーション機能
以上のような多くのメリットから、専任者が不要となりコストの削減が可能となる。また構築期間の短縮とセキュリティ品質の向上を図ることができる。
・ブラウザでの操作の為、ソフトのインストールが不要
(ID、Passwordを一例とするユーザー認証機能さえあれば、どのPCか らも操作可能)
・導入実績のある、確かな雛形文書が手軽にダウンロード可能
・固有名詞挿入機能により、雛形文書の修正が殆ど不要
・複数部署による整合性の取れた資産管理が可能
・リスク分析結果の品質均一化
・リスク分析のシュミレーション機能
・データベースでの情報一元管理
・リモートサイトとの情報共有が可能(距離の制約無し)
・コミニュケーション機能
以上のような多くのメリットから、専任者が不要となりコストの削減が可能となる。また構築期間の短縮とセキュリティ品質の向上を図ることができる。
本発明の最良な実施形態は、情報管理システムにおける情報セキュリティマネジメントシステムであるから、その基本的な技術は一般的なビジネスモデル技術を活用したところに特徴を有している。従って、本発明システムの特徴を説明し更にそのシステムを実施するための管理システムについて説明することにする。
まず、本発明システムの基本的な考え方は情報セキュリティマネジメントシステム(ISMS:Iaformation Security Management System)のスタンダードであり、そのうち本発明は主要なものとしてISO27001WebのISO27001支援のポータルサイト及びASPサービスにより、構築・運用時の作業負荷を低減させたものである。そのサービス形態・利用イメージ・リスク分析シュミレーション機能(図示せず)は別に示される。このASPサービスの主要機能は、情報資産台帳の登録・管理を行う情報資産管理と、情報資産価値・育成・脆弱性評価・リスク評価等を行うリスク分析と、リスク対応・管理策選択を行うリスクマネジメントと、リスクマネジメントに基づいた手順書の自動作成を行う管理対策手順書作成と、適用宣言書の自動作成を行う適用宣言書作成と、各種文書のバージョン管理を行う文書管理と、決裁手順の電子化を行う電子決裁とから構成されている。その結果、ISMS構築時における作業負荷は次のとおりである。
ISMS構築時の作業負荷
情報資産台帳の作成
従業員各々の資産リストの取りまとめ
台帳の維持更新
リスクアセスメント
情報資産価値の評価
脅威・脆弱性の評価
リスク値の算出・リスク対応
規程・基準文書の作成
リスクアセスメントに従った文書の作成
バージョン管理
作業時間の短縮
リスク分析結果の品質均一化
データベースでの情報一元管理
ASPにより距離・環境の制約を受けてない
ISMS関連情報のセキュリティ向上
また、本発明の基本システムを応用したものについて説明する。
(1)情報セキュリティコンサルティング事業の構築支援
前記のマネジメントシステムにおいて、情報セキュリティ・マネジメン・システム( ISMS Ver 2.0 /ISO27001(JISQ27001))の情報セキュリ ティ認証取得・情報セキュリティ戦略立案・セキュリティ脆弱性診断等の情報セキュリ ティコンサルティング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(2)研修教育・Eランニング事業の構築支援
前記のマネジメントシステムにおいて、ISO27001とプライバシーマーク総合 コンサルティング・JIPDEC認定ISO27001(JISQ27001)審査員 養成員研修・クラッカーズ対応コース・ISMS/プライバシーマーク関連研修等の研 修教育/Eラーニング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(3)情報セキュリティの監査支援
前記のマネジメントシステムにおいて、情報セキュリティルールの順守と改善・情報 技術の変化と業務変化に応じた維持管理・内部監査体制の確立・企業情報管理体制に対 する信頼獲得等の情報セキュリティ監査を支援する情報管理システムにおけるマネジメ ントシステムである。
(4)災害対策事業管理コンサルティングの構築支援
前記のマネジメントシステムにおいて、事業継続計画策定・災害対応システム設計・ 災害対策システム構築等の災害対策事業管理コンサルティングの構築を支援する情報管 理システムにおける情報セキュリティのマネジメントシステムである。
(5)情報管理の機能支援
前記のマネジメントシステムにおいて、情報管理・文書管理・リスク分析・リスクマ ネジメント等の情報管理機能を支援する情報管理システムにおける情報セキュリティの マネジメントシステムである。
ISMS構築時の作業負荷
情報資産台帳の作成
従業員各々の資産リストの取りまとめ
台帳の維持更新
リスクアセスメント
情報資産価値の評価
脅威・脆弱性の評価
リスク値の算出・リスク対応
規程・基準文書の作成
リスクアセスメントに従った文書の作成
バージョン管理
作業時間の短縮
リスク分析結果の品質均一化
データベースでの情報一元管理
ASPにより距離・環境の制約を受けてない
ISMS関連情報のセキュリティ向上
また、本発明の基本システムを応用したものについて説明する。
(1)情報セキュリティコンサルティング事業の構築支援
前記のマネジメントシステムにおいて、情報セキュリティ・マネジメン・システム( ISMS Ver 2.0 /ISO27001(JISQ27001))の情報セキュリ ティ認証取得・情報セキュリティ戦略立案・セキュリティ脆弱性診断等の情報セキュリ ティコンサルティング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(2)研修教育・Eランニング事業の構築支援
前記のマネジメントシステムにおいて、ISO27001とプライバシーマーク総合 コンサルティング・JIPDEC認定ISO27001(JISQ27001)審査員 養成員研修・クラッカーズ対応コース・ISMS/プライバシーマーク関連研修等の研 修教育/Eラーニング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(3)情報セキュリティの監査支援
前記のマネジメントシステムにおいて、情報セキュリティルールの順守と改善・情報 技術の変化と業務変化に応じた維持管理・内部監査体制の確立・企業情報管理体制に対 する信頼獲得等の情報セキュリティ監査を支援する情報管理システムにおけるマネジメ ントシステムである。
(4)災害対策事業管理コンサルティングの構築支援
前記のマネジメントシステムにおいて、事業継続計画策定・災害対応システム設計・ 災害対策システム構築等の災害対策事業管理コンサルティングの構築を支援する情報管 理システムにおける情報セキュリティのマネジメントシステムである。
(5)情報管理の機能支援
前記のマネジメントシステムにおいて、情報管理・文書管理・リスク分析・リスクマ ネジメント等の情報管理機能を支援する情報管理システムにおける情報セキュリティの マネジメントシステムである。
次に本発明の最良の実施形態について説明すれば、本発明の基本的な構成は情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムにおいて、前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と、利用企業に必要な企業情報を登録する企業情報登録手段と、利用企業に必要な情報管理システムの文書作成手段と、利用企業からの必要な情報管理システムのコンサルティング手段と、前記文書チェック結果を利用企業に提供するシステムチェック手段と、利用企業から提供される参考文書のファイルを登録する文書登録手段と、前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えていることを特徴とする情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて情報セキュリティ・マネジメン・システム(ISMS Ver 2.0 /ISO27001(JISQ27001))のプライバシーマーク認証取得・情報セキュリティ戦略立案・セキュリティ脆弱性診断等の情報セキュリティコンサルティング事業の構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいてISO27001とプライバシーマーク総合コンサルティング・JIPDEC認定ISO27001(JISQ27001)審査員養成員研修・クラッカーズ対応コース・ISMS/プライバシーマーク関連研修等の研修教育/Eラーニング事業の構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて情報セキュリティルールの順守と改善・情報技術の変化と業務変化に応じた維持管理・内部監査体制の確立・企業情報管理体制に対する信頼獲得等の情報セキュリティ監査を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて事業継続計画策定・災害対応システム設計・災害対策システム構築等の災害対策事業管理コンサルティングの構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて、情報管理・文書管理・リスク分析・リスクマネジメント等の情報管理機能を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであるから、そのシステムの基本シムテムは従来から多用されているインターネット・メールHPプロトコル・ラジオチャートなどの端末とそのソフトウェアとから構成されており、いわゆるビジネスモデルの技術・発明に関するものといえる。
更に本発明の最良な実施形態について図1から図9によって説明することにする。まず図1は本発明の検査サービス組織概要図であり、図2はその情報セキュリティ監査サービスの支援概要図である。また図3は情報資産管理機能であり、図4はリスク分析機能であり、図5はリスクマネジメント機能であり、図6は管理策対応手順書作成機能であり、図7は適用宣言書作成機能であり、図8はISMS文書管理機能であり、図9は電子決裁機能である。まず監査サービスシステムは、組織の情報セキュリティ対策の現状について既定基準のとおり有効に機能しかつ適切に実施されているか否かを点検し評価するものであり、RM監査ゲームが基準と組織の情報セキュリティ対策とを比較してCaPを介して改善をアドバイスする。すなわち、情報セキュリティ監査サービスとは情報セキュリティルールの順守状況の確認と改善、情報技術の変化と業務の変化に応じた維持管理及び内部監査体制の確立にある。次に監査サービスの支援は、情報セキュリティ現状調査サービスと技術的検証サービスと情報セキュリティ監査サービスとから構成されており、図2のような方法で内部監査支援サービスがなされている。
更に情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減しかつ個人情報保護法による対応を可能とし、またリスク分析機能が登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可能性ごとにリスク値を算出して厳密なリスクアセスメントを可能とし、またリスク分析機能が選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIA等ごとのリスク値の比較検討を可能とし、また管理対応手順書作成機能がISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とし、また適用宣言書作成機能がリスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とし、またISMS文書管理機能が文書内容を変更しかつ版更新の自動管理を可能としまた電子決裁機能がISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする構成になっている。
なお、本発明の具体的な実施例は従来公知技術である特開2002−132902号公報で開示されているシステムを応用できるので、以下図11のシステム機能ブロックと図12のシステムフローチャートとによって説明することにする。
まず、図11に示すISO9000シリーズ品質管理システム構築支援ウェブサイトが運用するサービスセンター1は、文書作成手段11、データベース管理手段12、コンサルティング手段13、システムチェック手段14、文書登録手段15、課金情報手段16、企業情報登録手段17、文書作成データベース21、コンサルティングデータベース22、品質管理システムチェックデータベース23、完成版文書データベース24、課金情報データ25、企業情報デーアベース26、およびファイル転送手段20で構成される。また、上記サービスセンター1を利用する企業の端末3、外部コンサルタント端末4、不特定の一般端末5は、それぞれ契約者アクセス手段、外部コンサルタントアクセス手段、不特定の一般アクセス手段を持ち、インターネット等の情報通信網6を介してサービスセンター1にアクセスして接続可能に構成されている。また文書作成手段11は、ISO9000シリーズ品質管理システムに関わる文書をこれから作成しようとする企業(利用企業)の契約者端末3からホームページ等の上で提供される入力指示やデータに基づいて必要な当該ISO9000シリーズ品質管理システムに関わる文書を作成する手段である。データベース管理手段12は利用企業端末3、コンサルタント端末4及び不特定の一般端末5から収集した文書作成データ、コンサルティングデータ、品質管理システムチェックデータ、完成版文書データ、課金情報データ、企業情報をデータベース21〜26に蓄積し管理する手段である。またコンサルティング手段13は、契約者端末3に対してコンサルティングデータベースに格納された代表的な質問、疑問等に応答する事項を提供し、あるいは外部コンサルタント端末4が行う助言、指導の内容を蓄積し提供する手段である。またシステムチェック手段14は、契約者端末3が作成した品質管理システムに関わる文書に対して品質管理システムデータベース23に格納されたISO9000シリーズ規格に照らし、あるいは外部コンサルタント端末4がISO9000シリーズ規格に照らしてチェックする手段である。また文書登録手段15は、契約者端末3ならびに不特定の一般端末5からの閲覧および品質管理文書の登録の手段である。また課金情報手段16は、利用登録された企業に対する課金情報を管理する手段である。また企業情報登録手段17は、これから利用しようとする企業の利用企業端末3に対して利用登録に必要な企業情報を登録される手段である。またファイル転送手段20は、作成した文書や参考資料のファイルを電子メール送信やファイル転送によって利用企業側の所定端末に転送する手段である。また文書作成データベース21は、利用企業の企業名ID、ISO9000シリーズ品質管理文書の種類、規格NO.、作成した文書を記憶するデータベースである。またコンサルティングデータベース22は、契約者端末3からの質問に対する回答事項を蓄積し、また外部コンサルタント端末4がコンサルティングした結果を格納して蓄積するデータベース23は、利用企業端末3が作成した品質管理システムに関わる文書をチェックした結果を格納するデータベースである。また完成版文書データベース24は、契約者端末3及び不特定の一般端末5が保有しているISO9000シリーズ品質管理システム関連文書を格納するデータベースである。また課金情報データベース25は、本サービスセンター1の利用内容に応じて利用企業に対する課金のための情報を記録するデータベースである。また企業情報データベース26は、上記したように本サービスセンター1の利用企業に関する情報を記録するデータベースである。また契約者端末3の契約者アクセス31は、サービスセンター1の文書作成手段11から企業情報登録手段17までのすべての登録ならびに閲覧手段にアクセスする手段である。また外部コンサルタント端末4のコンサルタントアクセス手段は、コンサルティング手段13ならびにシステムチェック手段14にアクセスする手段、不特定の一般端末5の不特定の一般アクセス手段は文書登録手段15にアクセスする手段である。なお、図11において図番が記入されていないところが本発明の改良部分である。
次に、図12は契約者端末からサービスサンターに対し企業登録から、コンサルティングの結果及び品質管理システムチェックの結果までを一人で処理した場合の画面表示の流れを示すフローチャートである。まず、契約者端末3からサービスセンター1へ接続するとサービスセンター1では契約者端末3へエントリー画面を送信する。サービスセンター1では企業情報登録メニュー選択の指示情報を受信し企業情報登録画面を送信する。企業情報等登録画面は、企業名、住所、契約者名、メールアドレス、パスワード等を登録する画面である。契約者端末3では企業情報登録画面を受信して表示し(S−103)、その企業情報登録画面により企業情報を入力し、入力した企業情報をサービスセンター1へ送信する。サービスセンター1では、企業情報を受信しこれを企業情報データベース26に格納し登録確認メールを管理者宛てに送信する。登録確認メール企業情報の受信およびその登録内容を管理者に通知するための電子メールである。契約者端末3では、登録確認メールを受信し企業情報登録を終了する。利用を開始する場合には、エントリー画面からログイン画面選択の指示情報を送信する。更に、サービスセンター1では、ログインメニュー選択の指示情報を受信しログイン画面を送信する。契約者端末3では、ログイン画面を受信し表示し(S−102)、利用企業認証情報を入力し利用企業認証情報サービスセンター1へ送信する。利用企業認証情報は、企業ID、考課者パスポート等の情報である。またサービスセンター1では利用企業認証情報を受信し、これをもとに企業情報データベース26を検索して認証を行う。続いて、サービスセンター1は契約者端末3へメニュー画面を送信する。また契約者端末3では、メニュー画面を受信し表示する(S−104)。ここで、文書作成、コンサルティングサービスにおよび品質システムチェックサービスのなかからいずれかを選択する。契約者は、メニュー画面からメニュー項目を選択し指示情報を送信する。またサービスセンター1では、文書作成を受信すると契約者端末3では文書作成画面を受信し表示する(S105)。次に、契約者端末3では文書作成画面で品質管理文書を作成し送信する。またサービスセンター1では、作成された文書の確認のため作成文書確認画面を表示をする(S−106)。
一方、契約者端末からの外部コンサルタントのサービスを依頼しサービスセンター1がこのコンサルティングサービスを受信すると、契約者端末3にコンサルティングの依頼内容を入力して送信する。またサービスセンター1では、コンサルティング依頼内容の情報を受信するとその情報をコンサルティングデータベース22へ格納すると共に、外部コンサルタント端末にコサルティング依頼がある旨を示すコンサルティング実行画面(S−108)を送信する。外部コンサルタント端末4では、コンサルティング実行画面(S−108)を受信しコンサルティングの依頼に対して解決案をサービスセンター1宛に送信する。またサービスセンター1では、解決案をコンサルティングデータベース22に登録する。契約者端末3では、コンサルティングの解決案をみるためコンサルティング結果画面(S−109)を受信する。
またサービスサンター1は、品質システムチェックの依頼を受信すると、契約者端末3では品質管理システムチェック依頼画面を受信し表示する(S−110)。そこで、契約者端末3は依頼内容を上記品質システムチェック依頼画面に入力し、サービスセンター宛に送信する。サービスセンター1が品質システムチェックの依頼内容の情報を受信すると、その情報を品質システムチェックデータベース23へ格納すると共に品質管理システムチェック実行画面を外部コンサルタント端末4に送信する。またサービスセンター1では、品質管理システムチェックで問題がないものについては契約者へ品質文書登録画面(S113)を送信する。契約者端末3は、この品質文書登録画面を受信し契約者の判断で作成した品質文書の登録の意思を送信する。サービスサンター1では、送信された登録事項が登録条件を満たしていて登録可であれば、完成版文書データベース24にこれを登録する。なお、図12において枠外のところが本発明の改良部分である。
1 サービスセンター 3 契約者端末
4 外部コンサルタント端末 5 不特定の一般端末
6 情報返信網 11 文書作成手段
12 データベース管理手段 13 コンサルティング手段
14 システムチェック手段 15 文書登録手段
16 課金情報手段 17 企業情報登録手段
20 ファイル転送手段 21 文書作成データベース
22 コンサルティングデータベース 23 品質管理システムチェックデータベース
24 完成版文書データベース 25 課金情報データベース
26 企業情報データベース
4 外部コンサルタント端末 5 不特定の一般端末
6 情報返信網 11 文書作成手段
12 データベース管理手段 13 コンサルティング手段
14 システムチェック手段 15 文書登録手段
16 課金情報手段 17 企業情報登録手段
20 ファイル転送手段 21 文書作成データベース
22 コンサルティングデータベース 23 品質管理システムチェックデータベース
24 完成版文書データベース 25 課金情報データベース
26 企業情報データベース
Claims (9)
- 情報セキュリティマネジメントの監査サービスシステムであって、組織の情報セキュリティ対策の現状について監査基準を有効に機能しかつ適切に実施されているか否かを点検評価する情報セキュリティルールの順守・確認・改善等と、情報の技術変化・業務変化に応じた維持管理及び内部監査体制の確立とを図り、更にヒアリング・Fit&Cap分析の情報セキュリティ現状調査サービスと、技術的な検証をする技術的検証サービスと、監査計画書の策定・内部検査・外部監査の情報セキュリティ監査サービスと、から構成されることを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおけるリスク分析機能が、登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおけるリスク分析機能が、選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおける管理対応手順書作成機能が、ISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおける適用宣言書作成機能が、リスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおけるISMS文書管理機能が、文書内容を変更しかつ版更新の自動管理を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
- 請求項1記載の情報セキュリティ監査システムにおいて、情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている請求項1乃至8記載の情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007004640A JP2008171253A (ja) | 2007-01-12 | 2007-01-12 | 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007004640A JP2008171253A (ja) | 2007-01-12 | 2007-01-12 | 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008171253A true JP2008171253A (ja) | 2008-07-24 |
Family
ID=39699283
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007004640A Pending JP2008171253A (ja) | 2007-01-12 | 2007-01-12 | 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008171253A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010165099A (ja) * | 2009-01-14 | 2010-07-29 | Mitsubishi Electric Corp | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
KR101560259B1 (ko) | 2015-02-27 | 2015-10-15 | 주식회사 씨에이에스 | 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 |
CN108416532A (zh) * | 2018-03-23 | 2018-08-17 | 珠海科明智能科技有限公司 | 能源审计电子化信息系统 |
CN112148252A (zh) * | 2020-09-03 | 2020-12-29 | 杭州云徙科技有限公司 | 一种基于软件研发需求全生命周期的管理系统及跟踪方法 |
-
2007
- 2007-01-12 JP JP2007004640A patent/JP2008171253A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010165099A (ja) * | 2009-01-14 | 2010-07-29 | Mitsubishi Electric Corp | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
KR101560259B1 (ko) | 2015-02-27 | 2015-10-15 | 주식회사 씨에이에스 | 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 |
CN108416532A (zh) * | 2018-03-23 | 2018-08-17 | 珠海科明智能科技有限公司 | 能源审计电子化信息系统 |
CN112148252A (zh) * | 2020-09-03 | 2020-12-29 | 杭州云徙科技有限公司 | 一种基于软件研发需求全生命周期的管理系统及跟踪方法 |
CN112148252B (zh) * | 2020-09-03 | 2024-02-09 | 广东云徙智能科技有限公司 | 一种基于软件研发需求全生命周期的管理系统及跟踪方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11334682B2 (en) | Data subject access request processing systems and related methods | |
US20200285770A1 (en) | Data subject access request processing systems and related methods | |
US10430740B2 (en) | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods | |
Alberts et al. | Managing information security risks: the OCTAVE approach | |
US20220277103A1 (en) | Data subject access request processing systems and related methods | |
JP2003162612A (ja) | 資格情報の管理方法及び管理装置 | |
US10776517B2 (en) | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods | |
US7966350B2 (en) | Evidence repository application system and method | |
JP2008171253A (ja) | 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム | |
Bochnia et al. | Self-Sovereign Identity for Organizations: Requirements for Enterprise Software | |
Bizimana | E-government Readiness Assessment for Government institutions in Burundi | |
Oda et al. | Enterprise information security architecture a review of frameworks, methodology, and case studies | |
Oppermann et al. | Digital transformation in legal metrology: An approach to a distributed architecture for consolidating metrological services and data | |
Beres et al. | On identity assurance in the presence of federated identity management systems | |
Kog | Legal issues of integrated network for construction and real estate sector | |
Baldwin et al. | Assurance for federated identity management | |
Spears et al. | Is security requirements identification from conceptual models in systems analysis and design: The Fun & Fitness, Inc. case | |
JP2008171255A (ja) | 情報セキュリティマネジメントシステムにおける情報セキュリティ・ポータルサイトシステム | |
Vidor et al. | A maturity assessment model for cyber security education in Europe | |
JP2008171256A (ja) | 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム | |
JP2008158927A (ja) | 情報セキュリティマネジメントシステムにおける主治医iso27001システム | |
JP2008171254A (ja) | 情報セキュリティマネジメントシステムにおける情報セキュリティ・ポータルサイト機能システム | |
Mustonen | Designing a security framework for enhanced monitoring and secure development during the software life cycle | |
Tryfonas et al. | Standardising business application security assessments with pattern-driven audit automations | |
Mahncke et al. | Developing and validating a healthcare information security governance framework |