情報セキュリティマネジメントシステム(後期2単位)

客員教授 原田 要之助

1.授業のねらい

本科目では、組織における情報セキュリティのリスクを管理するのに必要な管理体制(マネジメントの仕組み)が導入及び、リスクを低減するためのコントロール(管理策)が適切に維持・管理方法の習得すること目的としている。併せて、国際規格であるISO/IEC27001及び27002についての策定の背景、議論、国際的なコンセンサス形成などのプロセスについても概説する。

2.到達目標

受講者は、講義とケーススタディ(3回)を通じて、以下を理解できるようになる。
  • 情報セキュリティ管理(体制,管理策)を理解できる。
  • 情報セキュリティ管理策を導入できるようになる。
  • ISO/IEC27001及び27002の管理策を理解できる。

3.授業計画

講義形式での授業と、グループでの討論で構成する。

  1. オリエンテーション(概要、目標ほか)と情報セキュリティマネジメントの背景、制度の理解
  2. 国際規格ISO/IEC27001を中心とする体系について(2013年の改定の概要、JISや情報セキュリティ管理基準との関係、ISMS認証との関係)
  3. 情報セキュリティマネジメントの体系(27001のリスクマネジメント)
  4. 情報セキュリティ管理策の理解(1) 情報セキュリティの基本方針群、組織
  5. 情報セキュリティ管理策の理解(2) 人的セキュリティ、資産の管理
  6. 情報セキュリティ管理策の理解(3) 物理的及び環境的セキュリティ
  7. 情報セキュリティ管理策の理解(4) 運用のセキュリティ
  8. 情報セキュリティ管理策の理解(5) アクセス制御と通信のセキュリティ
  9. 情報セキュリティ管理策の理解(6) システムの取得、開発および保守
  10. 情報セキュリティ管理策の理解(7) 供給者関係、BCMにおける情報セキュリティの側
  11. 情報セキュリティ管理策の理解(8) 情報セキュリティインシデント管理
  12. 情報セキュリティ管理策の理解(9) 順守、クラウドセキュリティの管理策
  13. ケーススタディ(1)27002の管理策についての理解
  14. ケーススタディ(2)ケースに対する分析と改善策の検討
  15. ケーススタディ(3)問題点の指摘と改善策の発表・質疑

4.教科書

  • 中尾康二監修 原田ほか、ISO/IEC27002:2013情報セキュリティ管理策の実践のための規範 解説と活用ガイド、日本規格協会、2014年(ISBN978-4-542-70177-9)
  • 国際規格やJIS(JIS Q.27000:2014、JIS Q.27001:2014、JIS Q.27002:2014、ISO/IEC27004:2009、ISO/IEC27005:2011)

5.参考書

参考文献、URLなどは適宜紹介する。
ISMSユーザーズガイド

6.関連科目

セキュリティ経営とガバナンスを受講していることが望ましい。

7.成績評価の方法

到達目標を充足しているかどうかを評価の基準として、中間レポート(30%)、ケーススタディ(グループ討論と発表)(40%)。なお、出席及び講義への積極的な参加も評価対象とする(30%)。

8.その他

授業では、情報セキュリティのリスクマネジメントと管理策を中心に講義する。講義では、管理策の由来についてより深く理解するために、ISO/IECでの会議での議論の背景などについても触れる。すなわち、国際規格の管理策が、国際的なコンセンサスによるため、ものによってはグレイな表現となっているものがあり、文章を読んでもなかなか理解出来ないことがある。このような場合の読み方についてもガイダンスする。