JP2008171256A - 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム - Google Patents

情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム Download PDF

Info

Publication number
JP2008171256A
JP2008171256A JP2007004643A JP2007004643A JP2008171256A JP 2008171256 A JP2008171256 A JP 2008171256A JP 2007004643 A JP2007004643 A JP 2007004643A JP 2007004643 A JP2007004643 A JP 2007004643A JP 2008171256 A JP2008171256 A JP 2008171256A
Authority
JP
Japan
Prior art keywords
information
information security
function
management system
document
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007004643A
Other languages
English (en)
Inventor
Naoki Mori
直樹 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HABU KK
RISK MANAGE CO Ltd
Original Assignee
HABU KK
RISK MANAGE CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HABU KK, RISK MANAGE CO Ltd filed Critical HABU KK
Priority to JP2007004643A priority Critical patent/JP2008171256A/ja
Publication of JP2008171256A publication Critical patent/JP2008171256A/ja
Pending legal-status Critical Current

Links

Abstract

【課題】情報セキュリティマネジメントシステムを情報セキュリティコンサル機能システムに応用する。
【解決手段】情報セキュリティのコンサル機能において、初年度にISO27001で認証を取得しかつ2年度以降に日本国内及び海外の支店又は子会社にISO27001の適用範囲を拡大する際に、チャット・ビデオチャット・メール等の機能と共に資料をクリップボードでネットワーク上で共有することにより、仮想的に主張して対面できる機能を有することを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供。
【選択図】図1

Description

本発明は情報管理システムに関するが、詳しくは情報セキュリティマネジメントシステムに関するものである。
従来の情報管理システムには、例えば特開2002−13290号公報で開示されている「ISO9000シリーズ品質管理システム構築方法とそのシステム」がある。この従来システムは、いわゆるISO9000シリーズの品質管理システムに関するものであり、その課題はISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと利用企業の端末(契約者端末)を情報通信網で接続し、当該品質管理システムの構築を支援するものであり、その解決手段はISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと、利用企業である契約者端末とを情報通信網で接続し、契約者端末からサービスセンターのホームページ等を利用して当該契約者の品質管理システムの構築に関わる各種のデータを登録する。サービスセンターは、登録された上記データをもとに品質管理システムの構築のための最適な文書を契約者端末に提供し、また外部コンサルタント端末から指導と助言を提供することにより利用企業の品質管理システムの構築を支援するところにある。
特開2002−132902号公報 この従来公知のシステムは、ISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターと、このサービスセンターを利用する利用企業の端末および不特定の一般端末とを情報通信網で接続し、前記企業から委託される前記ISO9000シリーズ品質管理システムの構築を行うISO9000シリーズ品質管理システム構築支援システムであって、前記サービスセンターはサービスを利用しようとする企業の端末に対してサービスセンターのホームページ上でサービスセンターの利用に必要な企業情報の入力を促し入力された当該企業情報を登録する企業情報登録手段と、前記利用企業の端末でISO9000シリーズ品質管理システムに関わる文書を作成する文書作成手段と、前記利用企業からの当該品質管理システムの構築に係る指導と助言の要求に対するアドバイスを行うコンサルティング手段と、前記利用企業が作成したISO9000シリーズ品質管理システムに関わる文書をチェックしチェック結果を当該前記利用企業に提供するシステムチェック手段と、前記利用企業及び不特定端末から提供されるISO9000シリーズ品質管理システムに関わる参考文書のファイルを登録する文書登録手段と、前記アドバイス、チェック結果または参考文書等のファイルを電子メール送信やファイル転送によって利用企業側の端末に転送するファイル転送手段と、前記利用企業の端末から収集した企業情報を格納する企業情報データベース、前記利用企業が作成中のISO9000シリーズ品質管理システムに関わる文書情報を格納する文書作成データベース、コンサルティング手段でアドバイスした情報を格納するコンサルティングデータベース、ISO9000シリーズ品質管理システムに関わる文書チェックの情報を格納する品質管理システムチェックデータベース、前記利用企業の端末あるいは前記不特定端末から収集したISO9000シリーズ品質管理システムに関わる参考文書の情報を格納する完成版文書データベースと、を備えたことを特徴とするISO9000シリーズ品質管理システム構築支援システムである。
いわゆる従来公知のシステムは、情報通信網を通じてISO9000シリーズ品質管理システム構築するための仕組みをを提供するISO9000シリーズ品質管理システム構築支援方法とそのシステムに関するものであり、具体的にはISO9000シリーズ品質管理システム構築の仕組みを持つサービスセンターとこのサービスを利用しようとする利用企業の端末をインターネット等の情報通信網で接続し、当該サービスセンターのホームページ上で利用企業の担当者が上記ISO9000シリーズ品質管理システムに関わる参考文書例をみながら自社に取り入れたい文書を選択して当該ISO9000シリーズ品質管理システムの所要の文書を作成するとともに必要に応じて参考情報の提供や作成された実際の文書の分析(チェック)結果を基に助言・指導を行う機能を提供し、また利用期間等に応じて課金が行われるようにしたISO9000品質管理システムに関するものである。
このような従来公知のシステムは、いわゆる「ISO9000品質管理システム」の構築支援にあり、他の関連システムでは活用することができない。そこで、情報管理システムにおける情報セキュリティのマネジメントシステムを開発したところに本願発明が解決しようとする課題を有する。
本発明は上記の如き課題を解決するために開発したものであって、情報セキュリティのコンサル機能において、初年度にISO27001で認証を取得しかつ2年度以降に日本国内及び海外の支店又は子会社にISO27001の適用範囲を拡大する際に、チャット・ビデオチャット・メール等の機能と共に資料をクリップボードでネットワーク上で共有することにより、仮想的に主張して対面できる機能を有することを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、また前記情報セキュリティのコンサル機能システムにおける情報資産管理機能が分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、また前記情報セキュリティのコンサル機能システムにおけるリスク分析機能が登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、また前記情報セキュリティのコンサル機能システムにおけるリスク分析機能が選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、また前記情報セキュリティのコンサル機能システムにおける管理対応手順書作成機能がISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、また前記情報セキュリティのコンサル機能システムにおける適用宣言書作成機能がリスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、また前記情報セキュリティのコンサル機能システムにおけるISMS文書管理機能が文書内容を変更しかつ版更新の自動管理を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、また前記情報セキュリティのコンサル機能システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にあり、更に前記情報セキュリティのコンサル機能システムにおいて情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムの提供にある。
本発明は、情報セキュリティのコンサル機能において初年度にISO27001で認証を取得しかつ2年度以降に日本国内及び海外の支店又は子会社にISO27001の適用範囲を拡大する際にチャット・ビデオチャット・メール等の機能と共に資料をクリップボードでネットワーク上で共有することにより、仮想的に主張して対面できる機能を有することを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、また前記情報セキュリティのコンサル機能システムにおける情報資産管理機能が分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減しかつ個人情報保護法による対応を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、また前記情報セキュリティのコンサル機能システムにおけるリスク分析機能が登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、また前記情報セキュリティのコンサル機能システムにおけるリスク分析機能が選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、また前記情報セキュリティのコンサル機能システムにおける管理対応手順書作成機能がISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、また前記情報セキュリティのコンサル機能システムにおける適用宣言書作成機能がリスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、また前記情報セキュリティのコンサル機能システムにおけるISMS文書管理機能が文書内容を変更しかつ版更新の自動管理を可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、また前記情報セキュリティのコンサル機能システムにおける電子決裁機能がISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであり、更に前記情報セキュリティのコンサル機能システムにおいて情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システムであるから、従来システムでは得られない次のような多くの効果が得られる。
本発明システム導入のメリット
・ブラウザでの操作の為、ソフトのインストールが不要
(ID、Passwordを一例とするユーザー認証機能さえあれば、どのPCか らも操作可能)
・導入実績のある、確かな雛形文書が手軽にダウンロード可能
・固有名詞挿入機能により、雛形文書の修正が殆ど不要
・複数部署による整合性の取れた資産管理が可能
・リスク分析結果の品質均一化
・リスク分析のシュミレーション機能
・データベースでの情報一元管理
・リモートサイトとの情報共有が可能(距離の制約無し)
・コミニュケーション機能
以上のような多くのメリットから、専任者が不要となりコストの削減が可能となる。また構築期間の短縮とセキュリティ品質の向上を図ることができる。
本発明の最良な実施形態は、情報管理システムにおける情報セキュリティマネジメントシステムであるから、その基本的な技術は一般的なビジネスモデル技術を活用したところに特徴を有している。従って、本発明システムの特徴を説明し更にそのシステムを実施するための管理システムについて説明することにする。
まず、本発明システムの基本的な考え方は情報セキュリティマネジメントシステム(ISMS:Iaformation Security Management System)のスタンダードであり、そのうち本発明は主要なものとしてISO27001WebのISO27001支援のポータルサイト及びASPサービスにより、構築・運用時の作業負荷を低減させたものである。そのサービス形態・利用イメージ・リスク分析シュミレーション機能は図1に示されている。このASPサービスの主要機能は、情報資産台帳の登録・管理を行う情報資産管理と、情報資産価値・育成・脆弱性評価・リスク評価等を行うリスク分析と、リスク対応・管理策選択を行うリスクマネジメントと、リスクマネジメントに基づいた手順書の自動作成を行う管理対策手順書作成と、適用宣言書の自動作成を行う適用宣言書作成と、各種文書のバージョン管理を行う文書管理と、決裁手順の電子化を行う電子決裁とから構成されている。その結果、ISMS構築時における作業負荷は次のとおりである。
ISMS構築時の作業負荷
情報資産台帳の作成
従業員各々の資産リストの取りまとめ
台帳の維持更新
リスクアセスメント
情報資産価値の評価
脅威・脆弱性の評価
リスク値の算出・リスク対応
規程・基準文書の作成
リスクアセスメントに従った文書の作成
バージョン管理
作業時間の短縮
リスク分析結果の品質均一化
データベースでの情報一元管理
ASPにより距離・環境の制約を受けてない
ISMS関連情報のセキュリティ向上
また、本発明の基本システムを応用したものについて説明する。
(1)情報セキュリティコンサルティング事業の構築支援
前記のマネジメントシステムにおいて、情報セキュリティ・マネジメン・システム( ISMS Ver 2.0 /ISO27001(JISQ27001))の情報セキュリ ティ認証取得・情報セキュリティ戦略立案・セキュリティ脆弱性診断等の情報セキュリ ティコンサルティング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(2)研修教育・Eランニング事業の構築支援
前記のマネジメントシステムにおいて、ISO27001とプライバシーマーク総合 コンサルティング・JIPDEC認定ISO27001(JISQ27001)審査員 養成員研修・クラッカーズ対応コース・ISMS/プライバシーマーク関連研修等の研 修教育/Eラーニング事業の構築を支援する情報管理システムにおける情報セキュリテ ィのマネジメントシステムである。
(3)情報セキュリティの監査支援
前記のマネジメントシステムにおいて、情報セキュリティルールの順守と改善・情報 技術の変化と業務変化に応じた維持管理・内部監査体制の確立・企業情報管理体制に対 する信頼獲得等の情報セキュリティ監査を支援する情報管理システムにおけるマネジメ ントシステムである。
(4)災害対策事業管理コンサルティングの構築支援
前記のマネジメントシステムにおいて、事業継続計画策定・災害対応システム設計・ 災害対策システム構築等の災害対策事業管理コンサルティングの構築を支援する情報管 理システムにおける情報セキュリティのマネジメントシステムである。
(5)情報管理の機能支援
前記のマネジメントシステムにおいて、ISO27001の情報管理・文書管理・リ スク分析・リスクマネジメント等の情報管理機能を支援する情報管理システムにおける 情報セキュリティのマネジメントシステムである。
次に本発明の最良の実施形態について説明すれば、本発明の基本的な構成は情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムにおいて、前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と、利用企業に必要な企業情報を登録する企業情報登録手段と、利用企業に必要な情報管理システムの文書作成手段と、利用企業からの必要な情報管理システムのコンサルティング手段と、前記文書チェック結果を利用企業に提供するシステムチェック手段と、利用企業から提供される参考文書のファイルを登録する文書登録手段と、前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えていることを特徴とする情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて情報セキュリティ・マネジメン・システム(ISMS Ver 2.0 /ISO27001(JISQ27001))のプライバシーマーク認証取得・情報セキュリティ戦略立案・セキュリティ脆弱性診断等の情報セキュリティコンサルティング事業の構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいてISO27001とプライバシーマーク総合コンサルティング・JIPDEC認定ISO27001(JISQ27001)審査員養成員研修・クラッカーズ対応コース・ISMS/プライバシーマーク関連研修等の研修教育/Eラーニング事業の構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて情報セキュリティルールの順守と改善・情報技術の変化と業務変化に応じた維持管理・内部監査体制の確立・企業情報管理体制に対する信頼獲得等の情報セキュリティ監査を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて事業継続計画策定・災害対応システム設計・災害対策システム構築等の災害対策事業管理コンサルティングの構築を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであり、また前記のマネジメントシステムにおいて、主治医ISO27001の情報管理・文書管理・リスク分析・リスクマネジメント等の情報管理機能を支援する情報管理システムにおける情報セキュリティのマネジメントシステムであるから、そのシステムの基本シムテムは従来から多用されているインターネット・メールHPプロトコル・ラジオチャートなどの端末とそのソフトウェアとから構成されており、いわゆるビジネスモデルの技術・発明に関するものといえる。
更に本発明の最良な実施形態について図1から図10によって説明することにする。まず図1はISO27001のサービス形態であり、図2にISO27001の使用イメージであり、図3はISO27001の構成であり、図4は情報資産管理機能であり、図5はリスク分析機能であり、図6はリスクマネジメント機能であり、図7は管理策対応手順書作成機能であり、図8は適用宣言書作成機能であり、図9はISMS文書管理機能であり、図10は電子決裁機能である。ISO27001のサービス形態は、ASPサーバでありお客様サイトと接続されている。ISO27001の使用イメージは、決裁者・ISMS事務局・運用担当者と資産台帳・加減DB・脆弱性DBのリスクアセスメントと接続されており、更に該リスクアセスメントは文書テンプレートと接続されており、該文書テンプレートはISMS文書とも接続されている。ISO27001の構成は、クライアント端末のWebベースインターフェイスからなるオフィスサイドと情報資産管理・リスクマネジメント・文書管理・適用宣言書作成・手順書作成の詳細管理策対応実施策作成を有するデータベースからなるサーバーサイドから構成されている。
更にISO27001システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減しかつ個人情報保護法による対応を可能とし、またリスク分析機能が登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可能性ごとにリスク値を算出して厳密なリスクアセスメントを可能とし、またリスク分析機能が選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIA等ごとのリスク値の比較検討を可能とし、また管理対応手順書作成機能がISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とし、また適用宣言書作成機能がリスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とし、またISMS文書管理機能が文書内容を変更しかつ版更新の自動管理を可能としまた電子決裁機能がISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする構成になっている情報セキュリティマネジメントシステムにおける主治医ISO27001システムである。
なお、本発明の具体的な実施例は従来公知技術である特開2002−132902号公報で開示されているシステムを応用できるので、以下図11のシステム機能ブロックと図12のシステムフローチャートとによって説明することにする。
まず、図11に示すISO9000シリーズ品質管理システム構築支援ウェブサイトが運用するサービスセンター1は、文書作成手段11、データベース管理手段12、コンサルティング手段13、システムチェック手段14、文書登録手段15、課金情報手段16、企業情報登録手段17、文書作成データベース21、コンサルティングデータベース22、品質管理システムチェックデータベース23、完成版文書データベース24、課金情報データ25、企業情報デーアベース26、およびファイル転送手段20で構成される。また、上記サービスセンター1を利用する企業の端末3、外部コンサルタント端末4、不特定の一般端末5は、それぞれ契約者アクセス手段、外部コンサルタントアクセス手段、不特定の一般アクセス手段を持ち、インターネット等の情報通信網6を介してサービスセンター1にアクセスして接続可能に構成されている。また文書作成手段11は、ISO9000シリーズ品質管理システムに関わる文書をこれから作成しようとする企業(利用企業)の契約者端末3からホームページ等の上で提供される入力指示やデータに基づいて必要な当該ISO9000シリーズ品質管理システムに関わる文書を作成する手段である。データベース管理手段12は利用企業端末3、コンサルタント端末4及び不特定の一般端末5から収集した文書作成データ、コンサルティングデータ、品質管理システムチェックデータ、完成版文書データ、課金情報データ、企業情報をデータベース21〜26に蓄積し管理する手段である。またコンサルティング手段13は、契約者端末3に対してコンサルティングデータベースに格納された代表的な質問、疑問等に応答する事項を提供し、あるいは外部コンサルタント端末4が行う助言、指導の内容を蓄積し提供する手段である。またシステムチェック手段14は、契約者端末3が作成した品質管理システムに関わる文書に対して品質管理システムデータベース23に格納されたISO9000シリーズ規格に照らし、あるいは外部コンサルタント端末4がISO9000シリーズ規格に照らしてチェックする手段である。また文書登録手段15は、契約者端末3ならびに不特定の一般端末5からの閲覧および品質管理文書の登録の手段である。また課金情報手段16は、利用登録された企業に対する課金情報を管理する手段である。また企業情報登録手段17は、これから利用しようとする企業の利用企業端末3に対して利用登録に必要な企業情報を登録される手段である。またファイル転送手段20は、作成した文書や参考資料のファイルを電子メール送信やファイル転送によって利用企業側の所定端末に転送する手段である。また文書作成データベース21は、利用企業の企業名ID、ISO9000シリーズ品質管理文書の種類、規格NO.、作成した文書を記憶するデータベースである。またコンサルティングデータベース22は、契約者端末3からの質問に対する回答事項を蓄積し、また外部コンサルタント端末4がコンサルティングした結果を格納して蓄積するデータベース23は、利用企業端末3が作成した品質管理システムに関わる文書をチェックした結果を格納するデータベースである。また完成版文書データベース24は、契約者端末3及び不特定の一般端末5が保有しているISO9000シリーズ品質管理システム関連文書を格納するデータベースである。また課金情報データベース25は、本サービスセンター1の利用内容に応じて利用企業に対する課金のための情報を記録するデータベースである。また企業情報データベース26は、上記したように本サービスセンター1の利用企業に関する情報を記録するデータベースである。また契約者端末3の契約者アクセス31は、サービスセンター1の文書作成手段11から企業情報登録手段17までのすべての登録ならびに閲覧手段にアクセスする手段である。また外部コンサルタント端末4のコンサルタントアクセス手段は、コンサルティング手段13ならびにシステムチェック手段14にアクセスする手段、不特定の一般端末5の不特定の一般アクセス手段は文書登録手段15にアクセスする手段である。なお、図11において図番が記入されていないところが本発明の改良部分である。
次に、図12は契約者端末からサービスサンターに対し企業登録から、コンサルティングの結果及び品質管理システムチェックの結果までを一人で処理した場合の画面表示の流れを示すフローチャートである。まず、契約者端末3からサービスセンター1へ接続するとサービスセンター1では契約者端末3へエントリー画面を送信する。サービスセンター1では企業情報登録メニュー選択の指示情報を受信し企業情報登録画面を送信する。企業情報等登録画面は、企業名、住所、契約者名、メールアドレス、パスワード等を登録する画面である。契約者端末3では企業情報登録画面を受信して表示し(S−103)、その企業情報登録画面により企業情報を入力し、入力した企業情報をサービスセンター1へ送信する。サービスセンター1では、企業情報を受信しこれを企業情報データベース26に格納し登録確認メールを管理者宛てに送信する。登録確認メール企業情報の受信およびその登録内容を管理者に通知するための電子メールである。契約者端末3では、登録確認メールを受信し企業情報登録を終了する。利用を開始する場合には、エントリー画面からログイン画面選択の指示情報を送信する。更に、サービスセンター1では、ログインメニュー選択の指示情報を受信しログイン画面を送信する。契約者端末3では、ログイン画面を受信し表示し(S−102)、利用企業認証情報を入力し利用企業認証情報サービスセンター1へ送信する。利用企業認証情報は、企業ID、考課者パスポート等の情報である。またサービスセンター1では利用企業認証情報を受信し、これをもとに企業情報データベース26を検索して認証を行う。続いて、サービスセンター1は契約者端末3へメニュー画面を送信する。また契約者端末3では、メニュー画面を受信し表示する(S−104)。ここで、文書作成、コンサルティングサービスにおよび品質システムチェックサービスのなかからいずれかを選択する。契約者は、メニュー画面からメニュー項目を選択し指示情報を送信する。またサービスセンター1では、文書作成を受信すると契約者端末3では文書作成画面を受信し表示する(S105)。次に、契約者端末3では文書作成画面で品質管理文書を作成し送信する。またサービスセンター1では、作成された文書の確認のため作成文書確認画面を表示をする(S−106)。
一方、契約者端末からの外部コンサルタントのサービスを依頼しサービスセンター1がこのコンサルティングサービスを受信すると、契約者端末3にコンサルティングの依頼内容を入力して送信する。またサービスセンター1では、コンサルティング依頼内容の情報を受信するとその情報をコンサルティングデータベース22へ格納すると共に、外部コンサルタント端末にコサルティング依頼がある旨を示すコンサルティング実行画面(S−108)を送信する。外部コンサルタント端末4では、コンサルティング実行画面(S−108)を受信しコンサルティングの依頼に対して解決案をサービスセンター1宛に送信する。またサービスセンター1では、解決案をコンサルティングデータベース22に登録する。契約者端末3では、コンサルティングの解決案をみるためコンサルティング結果画面(S−109)を受信する。
またサービスサンター1は、品質システムチェックの依頼を受信すると、契約者端末3では品質管理システムチェック依頼画面を受信し表示する(S−110)。そこで、契約者端末3は依頼内容を上記品質システムチェック依頼画面に入力し、サービスセンター宛に送信する。サービスセンター1が品質システムチェックの依頼内容の情報を受信すると、その情報を品質システムチェックデータベース23へ格納すると共に品質管理システムチェック実行画面を外部コンサルタント端末4に送信する。またサービスセンター1では、品質管理システムチェックで問題がないものについては契約者へ品質文書登録画面(S113)を送信する。契約者端末3は、この品質文書登録画面を受信し契約者の判断で作成した品質文書の登録の意思を送信する。サービスサンター1では、送信された登録事項が登録条件を満たしていて登録可であれば、完成版文書データベース24にこれを登録する。なお、図12において枠外のところが本発明の改良部分である。
本発明システムのサービス形態を示した概要図。 本発明システムの使用イメージを示した概要図。 本発明システムの構成を示した概要図。 本発明システムの情報資産管理機能を示した概要図。 本発明システムのリスク分析機能を示した概要図。 本発明システムのリスクマネジメント機能を示した概要図。 本発明システムの管理策対応手順書作成機能を示した概要図。 本発明システムの適用宣言作成機能を示した概要図。 本発明システムのISMS文書管理機能を示した概要図。 本発明システムの電子決裁機能を示した概要図。 本発明システムに関連する従来システムのブロック図。 本発明システムに関連する従来システムのフローチャート。
符号の説明
1 サービスセンター 3 契約者端末
4 外部コンサルタント端末 5 不特定の一般端末
6 情報返信網 11 文書作成手段
12 データベース管理手段 13 コンサルティング手段
14 システムチェック手段 15 文書登録手段
16 課金情報手段 17 企業情報登録手段
20 ファイル転送手段 21 文書作成データベース
22 コンサルティングデータベース 23 品質管理システムチェックデータベース
24 完成版文書データベース 25 課金情報データベース
26 企業情報データベース

Claims (9)

  1. 情報セキュリティのコンサル機能において、初年度にISO27001で認証を取得しかつ2年度以降に日本国内及び海外の支店又は子会社にISO27001の適用範囲を拡大する際に、チャット・ビデオチャット・メール等の機能と共に資料をクリップボードでネットワーク上で共有することにより、仮想的に主張して対面できる機能を有することを特徴とする情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  2. 請求項1記載の情報セキュリティのコンサル機能システムにおける情報資産管理機能が、分類マスターを一元管理して整合性の取れた資産管理を可能にしかつ資産価値の計算方法を数種類から選択可能にして様々なニーズに応え、更に機密性・完全性・可用性等の評価値登録時における過去の履歴から選択を可能にして評価者による差異を削減し、かつ個人情報保護法による対応を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  3. 請求項1記載の情報セキュリティのコンサル機能システムにおけるリスク分析機能が、登録した資産に対して体系的にリスク分析を可能としかつ資産に対して脆弱性の自動的な抽出を可能とし、更にリスク対策も画面上から選択を効率的にしかつ機密性・完全性・可用性等ごとにリスク値を算出して厳密なリスクアセスメントを可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  4. 請求項1記載の情報セキュリティのコンサル機能システムにおけるリスク分析機能が、選択したCIA値により情報資産の取扱い方法を自動設定しかつ対策前と対策後におけるそれぞれの脆弱性・脅威・管理策・CIAごとのリスク値の比較検討を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  5. 請求項1記載の情報セキュリティのコンサル機能システムにおける管理対応手順書作成機能が、ISMSの運用に必要な文書雛型を用意しかつ会社独自の固有名詞を文書内に自動挿入させる機能を持たせて雛型文書の手直を不要とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  6. 請求項1記載の情報セキュリティのコンサル機能システムにおける適用宣言書作成機能が、リスク分析で選択した管理策を基に各部署ごとの適用宣言書を自動作成しかつ提供理由・適用除外理由例文の自動挿入を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  7. 請求項1記載の情報セキュリティのコンサル機能システムにおけるISMS文書管理機能が、文書内容を変更しかつ版更新の自動管理を可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  8. 請求項1記載の情報セキュリティのコンサル機能システムにおける電子決裁機能が、ISMS構築上でワークフローごとに決裁者を設定して確実な構築運営を可能としかつ該決裁機能により現在のステータスが一目で確認することを可能とする請求項1記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
  9. 請求項1記載の情報セキュリティのコンサル機能システムにおいて、情報管理システムのサービスセンターと情報のサービスとを情報通信網を介して必要な情報データを検索して活用する情報管理システムからなり、更に前記サービスンターのホームページに必要な企業情報を登録する企業情報登録手段と利用企業に必要な企業情報を登録する企業情報登録手段と利用企業に必要な情報管理システムの文書作成手段と利用企業からの必要な情報管理システムのコンサルティング手段と前記文書チェック結果を利用企業に提供するシステムチェック手段と利用企業から提供される参考文書のファイルを登録する文書登録手段と前記文書等のファイルを利用企業側の端末に転送するファイル転送手段と、から構成される各種データベースを備えている請求項1乃至8記載の情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム。
JP2007004643A 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム Pending JP2008171256A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007004643A JP2008171256A (ja) 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007004643A JP2008171256A (ja) 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム

Publications (1)

Publication Number Publication Date
JP2008171256A true JP2008171256A (ja) 2008-07-24

Family

ID=39699286

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007004643A Pending JP2008171256A (ja) 2007-01-12 2007-01-12 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム

Country Status (1)

Country Link
JP (1) JP2008171256A (ja)

Similar Documents

Publication Publication Date Title
US10430740B2 (en) Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US9059982B2 (en) Authentication federation system and ID provider device
US8806656B2 (en) Method and system for secure and selective access for editing and aggregation of electronic documents in a distributed environment
CN110875922B (zh) 一站式办公管理系统
JP2005503596A (ja) リソース共有システムと方法
US10776517B2 (en) Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
JP2002117215A (ja) 特許管理システム
US20210241215A1 (en) Data processing systems for generating and populating a data inventory
JP2006330846A (ja) アクセス制御装置、アクセス制御方法及びプログラム
JP2008171253A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム
JP2021033670A (ja) プログラム、補助金請求支援方法、申請側装置、承認側装置
Ciclosi et al. The data protection officer: a ubiquitous role that no one really knows
Baldwin et al. Assurance for federated identity management
JP2008171255A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティ・ポータルサイトシステム
JP2008171256A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティコンサル機能システム
Bochnia et al. Self-Sovereign Identity for Organizations: Requirements for Enterprise Software
JP2008171254A (ja) 情報セキュリティマネジメントシステムにおける情報セキュリティ・ポータルサイト機能システム
JP4119463B2 (ja) 有償サービス対価決済システム
JP2008158927A (ja) 情報セキュリティマネジメントシステムにおける主治医iso27001システム
JPH11143963A (ja) 電子承認方法およびその方法の各工程をコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体
Tryfonas et al. Standardising business application security assessments with pattern-driven audit automations
JP2005339386A (ja) ディスクロージャ文書作成支援方法及びディスクロージャ文書作成支援プログラム
US11544667B2 (en) Data processing systems for generating and populating a data inventory
JP2008217740A (ja) Erpユーザ情報管理方法と装置およびerpシステムとプログラム
ABDI CASE FILE MANAGEMENT SYSTEM