【セキスペ#1】情報セキュリティの定義
社内情報システム担当がセキスペの勉強しながら、普段の業務との関連付けを行っていきます。できてないことたくさんありそう😂
セキュリティの大事なこと
技術だけでなくマネジメントも大事。ファイヤーフォールや暗号化などの技術的な対策も重要であるが、組織の全員がルールを守ることが大事。その仕組づくり、教育をしていく必要がある。
ウイルス感染や情報漏えいはヒューマンエラーによって起きているよね。今の会社でもヒューマンエラーによってそういった事象が発生してしまうことがあります。自分も講師として情報セキュリティ教育を全社員向けに行ってます。
ISMS(情報セキュリティマネジメントシステム)
情報セキュリティを運用していく上で大事な3要素(CIA)があります!
機密性(Confidentiality)
認可されていない個人、エンティティまたはプロセスに対して情報を使用させず、また、開示しない特性
簡単に言うと、認められた人しか情報を見れないようにすること。
完全性(Integrity)
正確さ及び完全さの特性
簡単に言うと、データが改ざんされたりしないようにすること。
可用性(Availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
簡単に言うと、いつでも情報が見れるようにすること。サーバの二重化などの対策とかも可用性の一つになります。
あとは真正性、責任追跡性、否認防止、信頼性もあります。
PDCA(Plan Do Check Action)
情報セキュリティもPDCAが大事。当社のセキュリティのグループはできているのかな…?毎年本社からのセキュリティ教育内容が変わらないので、自分で追加で最近の動向の話を話しています。一昨年はEmotetの流行とか、去年はテレワーク時の注意など、その時必要なものや事象の動向などを見て注意喚起・教育しています。同じ話を毎年しても、またこれかとなってしまうので、見せる教材や事例の紹介を変えたりと記憶に残るように工夫してます。自分は教育の現場でしか関わってないから本来の意味での情報セキュリティのPDCAではないとは思うけどね。
応援ありがとー!😃つづく