情報セキュリティマネジメントシステム（後期2単位）

教授　原田 要之助

１．授業のねらい・到達目標

　組織にとって、情報セキュリティの計画、設計・導入、運用・保守、見直し（PDCAサイクル）のマネジメントサイクルを構築することが重要となっている。この方法論として、情報セキュリティマネジメントシステム（ISMS)があり、ISO/IECの国際基準にもなっている。このISMSは、組織の意志決定に必要な管理体制（マネジメントの仕組み）が導入されいてること及び、情報セキュリティのリスクを低減するためのコントロール（管理策）が適切に維持・管理されていることを目的としている。
　授業では、最初に、ISMSを整備・運用するために必要なリスクマネジメントの考え方から始め、実際の管理策について講義形式で知識を習得させる。その後、演習形式でケーススタディに取り組み、理解を深める。
　とくに，ISO/IEC27001は、2013年の改訂で，それまで情報資産をベースとする管理から情報をベースとする管理に変わった。また、リスクマネジメントがISO31000をベースとするものに変わった。これらについても、授業では取り上げて理解を深めさせる。
　受講者は、講義とケーススタディを通じて、情報セキュリティ管理（体制，管理策）を実践できるようになる。

２．授業計画

講義形式での授業と、グループでの討論で構成する。

1. オリエンテーション（概要、目標ほか）と情報セキュリティマネジメントの背景、制度の理解
2. 国際規格ISO/IEC27001を中心とする体系について（2013年の改定の概要、JISや情報セキュリティ管理基準との関係、ISMS認証との関係）
3. 情報セキュリティマネジメントの体系（27001のリスクマネジメント）
4. 情報セキュリティ管理策の理解(1) 情報セキュリティの基本方針群、組織
5. 情報セキュリティ管理策の理解(2) 人的セキュリティ、資産の管理
6. 情報セキュリティ管理策の理解(3) 物理的及び環境的セキュリティ
7. 情報セキュリティ管理策の理解(4) 運用のセキュリティ
8. 情報セキュリティ管理策の理解(5) アクセス制御と通信のセキュリティ
9. 情報セキュリティ管理策の理解(6) システムの取得、開発および保守
10. 情報セキュリティ管理策の理解(7) 供給者関係、BCMにおける情報セキュリティの側
11. 情報セキュリティ管理策の理解(8) 情報セキュリティインシデント管理
12. 情報セキュリティ管理策の理解(9) 順守、クラウドセキュリティの管理策
13. ケーススタディ(1)ケースの背景と事件・事故の理解
14. ケーススタディ(2)ケースに対する改善策の検討と提案
15. ケーススタディ(3)問題点の指摘と改善策の発表・質疑

３．教科書

• 中尾康二監修　原田ほか、ISO/IEC27002:2013情報セキュリティ管理策の実践のための規範　解説と活用ガイド、日本規格協会、2014年（ISBN978-4-542-70177-9）
• 国際規格やJIS（JIS Q.27000:2014、JIS Q.27001:2014、JIS Q.27002:2014、ISO/IEC27004:2009、ISO/IEC27005:2011）

４．参考書

参考文献、URLなどは適宜紹介する。
ISMSユーザーズガイド

５．関連科目

本科目は組織における情報セキュリティ管理体制の確立をマネジメントの観点からとらえたもので、基本的なITに関する知識やリスクマネジメントについて概要を知っていることがましい。

６．成績評価の方法

出席状況、受講態度、レポート、ケーススタディ（グループ討論と発表）への取組を総合的に判断し、評価する。

７．その他

授業では、情報セキュリティのリスクマネジメントと管理策を中心に講義する。講義では、管理策の由来についてより深く理解するために、ISO/IECでの会議での議論の背景などについても触れる。すなわち、国際規格の管理策が、国際的なコンセンサスによるため、ものによってはグレイな表現となっているものがあり、なかなか理解出来ないことがあるためである。