2015年11月06日
このエントリーをはてなブックマークに追加
僕は主に中小企業相手の仕事をしています。その中で求められる情報セキュリティというのは、法令に定められているような内容はともかくとして、それ以外については、ニーズに即したことを求められます。

もちろん企業の規模によっては、ISOの基準を満たすためとかISMSの基準に定められているから、それを満たすためにシステムを導入したいという話があります。ただし中小企業の場合には、基準ありきではなく、実際の業務に利用しなければならない。そういう理由がほとんどです。たとえば案外多いのは、「ファイルサーバーにあるはずのファイルが無くなった」と。その場合に小規模であれば、とにかく復旧できればいい。そのように考えることがほとんどです。

もう少し規模が大きくなってくると、今度は「どのような理由でファイルが無くなったのか」を突き止めたいと言うことになるのです。だいたいはユーザーの誤操作で削除されているので、誰がいつ消したのか。というのを突き止めるため、事前にログを取得しておく必要があります。

※ただしこれで誤操作した人が判明しても、通常それについての罰則などはなく、口頭にて状況の確認をして再発防止の啓発を行う程度がほとんどです。犯人捜しをして、その人をつるし上げるようなことになったのを見たことはありません。

先日、ガイドラインについて、聞かれることがありました。正直不勉強であり、個別の部分については満たすことが多いと思うのですが、全体像は把握していません。

ということで調べてみました。
経済産業省:情報セキュリティガバナンス施策ツール
経済産業省:関連報告書・ガイドライン類一覧
経済産業省:情報セキュリティに関する政策、緊急情報
経済産業省:法律、ガイドライン等
IPA:中小企業の情報セキュリティ対策ガイドライン

公表が古いものもあります。なかなか種類も多く難しいですね。


stock_value at 11:25│Comments(0)TrackBack(0)技術:2015年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔