2009/02/16
日常語ISO27001 with セキュリティ新事情 ~用語.番外 セキュリティポリシー
No.204 09.02.16 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ Vistaへの移行が全然進まないWindows OSですが、先月でWindows Xpの代理 店ライセンス販売が一応終了しました。マイクロソフトのWebには2月末で 終了と書いてあるページもありますが、それにしてもそろそろ期限が来ます。 しかし、期限間際に大量購入した代理店もあって、あと半年くらいは手に 入れることが可能な様ですね。あと、ネットブック用のXp homeは次期Windows (Windows 7)発売の1年後または2010年6月末の遅い方まで出荷が継続され ます。 Vistaが欲しいと思っている情報セキュリティ担当者は少ないと思います が、さてどうされますか? 選択肢は3つ。 1.ギリギリまでXpで耐える、Xpが手に入らなくなったらPCの更新は 中断して、Windows 7を待つ。 2.新しくてセキュアなOSなので、この際新規導入PCからVistaに していく。 3.この際Windows OSをやめて、Linuxなどに乗り換える。OSを買う経費 もかからなくなる。 決断の時期ですよ。では、204号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− Googleのマイマップ機能からの個人情報流出を、191、194号で紹介 しましたが、Googleに関して類似の問題がまだあった事が伝えられていまし た。(バックナンバーは新事情INDEXから: http://www.kiriishi.net/7799/jijo.htm) 当方では誰も利用したことがなくて知らなかったのですが、『google カレンダー』という機能もマイマップと同じように、公開されてしまう 仕組みだったのです。公開/非公開の選択が出来るようになっていますが、 googleの検索結果に載せるかどうかの選択だけの様で、URLアドレスを 打ち込むと他人のカレンダーを覗けてしまうとの事です。Yahoo!で検索した ら、きっと引っかかってしまいますよね。 これでスケジュール管理をしていた外科医が、手術内容や患者名を流出 させてしまったり、弁護士が依頼人名や相談内容を流出させてしまったとの 事です。一般企業からの流出例はみかけませんでしたが、おそらく流出が ないというわけではないでしょう。 googleカレンダーから情報を流出させてしまった企業・団体・人には、 情報背キュリティ的に見て、次の問題があったと言えます。 1.インターネット上のサービスを利用するにあたって、安全かどうか吟味 されていない。 2.情報セキュリティ問題の情報入手が不十分か、または入手した情報から 充分な行動が起こせていない。 このメルマガの読者の皆様はgoogleマイマップの問題はご存じで、社員の 皆さんが利用しているサービスの把握作業はされた事でしょう。もしそれで も、googleカレンダー問題が社内で発生していたしたら、安全性の吟味が 不十分だったのか、社員の皆さんが(わざと、あるいは理解不足で)ちゃんと 調査に協力してくれなかったのかどちらかですね。 191号、194号でもお伝えしましたが、この機会にもう一度調査をして、 前回調査の有効性を確認してみると良いでしょう。『情報セキュリティ策の 有効性』をうまく評価できる機会なんてあんまりありません。問題が出て こなくても安全だと確認できるわけではありませんが、ホッと一安心です。 問題が見つかったらならば、それを解消して有効性を上げましょう。 ついでに、情報セキュリティ事務局が把握・関知していない、コンピュー タ周辺機器がないかという事も調査すると良いかもしれませんね。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 3.用語の定義 番外1. 情報セキュリティポリシー 日本規格協会(JIS)訳、JIS版ともに「ISMSの基本方針」と表現している語で す。JIS訳、JIS版ともに”個別方針”(例:クリアデスクの方針、アクセス 制御方針、暗号に関する方針)と区別するために、勝手に”基本”方針と表現 したわけですが、原文では、”基本方針”も”(個別)方針”も両方とも単に ”policy”と表現されています。 もっと正確に言うと、JISが「基本方針」と表現しているものは原文では必ず ”security policy (セキュリティポリシー)”又は”ISMS policy”、JIS/ JIPDECの「(個別)方針」にはsecurity やISMS が付かない形で書かれています。 規格協会の「区別するため」という気持ちはわかりますが、「基本方針」と 言ってしまうと「品質方針や環境方針の様に1枚ペラのもので、飾っておく もの」という誤解をどうしても避けられません。元々ISOだのBSだの言う以前 から情報セキュリティの世界では、『どうやって達成するかは置いておいて、 情報セキュリティ上達成したいレベル』をまとめて10〜50ページくらいに書い たものを情報セキュリティポリシーと呼んでいて、ISO27001はそのようなもの を指すつもりで”policy”と書いてあるのです。 つまり感覚的にとらえれば、ISO9001の品質方針よりは品質マニュアルに近 いものが”security policy (セキュリティポリシー)”であるという事になり ます。 このため、当”日常語ISO27001”では、区別する事、誤解を招かない事の 両方を目指して、原文の直訳的に表現する事にします。 ISO27001原文 当メルマガ JIS security policy = (情報)セキュリティポリシー = 基本方針 ** policy = **ポリシー = 方針 情報セキュリティポリシーは、「情報セキュリティ上こうするのが望ましい んだけど、決まっていないからなぁ。」という事が無い様にするために取り決 める、というのが基本です。例えば、会社から私用でWebページを見る事に ついてはどうでしょうか。「情報収集の為にある程度認める」会社もあるで しょうし、「休憩時間に限って認める」会社もあるでしょうし、「不正プロ グラムが危険なので無条件で禁止」の会社もあるでしょうが、しっかりした 情報セキュリティマネジメントシステムを持っていないところでは、ハッキリ していないのが普通ではないでしょうか。その様な事を、一つ一つ決めて、 まとめて書いたものを『情報セキュリティポリシー』というわけです。 但し、品質マニュアルとは違って、何か管理している事を全て書く必要は ありません。「会社の考え」としておおもとになる事が書かれていれば、結果 的にそれ以上に管理している事柄は書かれていなくてもよいのです。 品質マニュアルに書かなければならない ・ISO文に書かれている事で除外している事柄 ・管理の手だては何という文書に書いたかという事 は、適用宣言書に書く事になっています。 ですから、情報セキュリティポリシーと適用宣言書を合わせると、品質 マニュアルにだいたい相当することになります。 認証機関や審査員によっては、規格には「一枚ペラの、品質方針タイプの セキュリティポリシーは許さない。」とは書いていないと、認められる事も 実際にあるようです。「それは何が何でも間違いだ」と主張するつもりはあり ませんが、それはISO27001の考えているものとは違うものです。話しを単純に するためにも、ここではその様なものは許されないという事にして、話を進め ます。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所では、1月末にWebサーバ、メールサーバの移転を 行いました。何か不具合を発見された方は、ご連絡いただけると幸いです。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、専門職以外の派遣労働廃止は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
