情報マネジメントシステム認定センター(ISMS-AC)106-0032 東京都港区六本木一丁目9番9号 六本木ファーストビル内 一般社団法人情報マネジメントシステム認定センター Copyright ISMS-AC All Rights Reserved.
情報セキュリティマネジメントとPDCAサイクル:IPA 独立行政法人 情報処理推進機構
リスク対応では、リスク評価の作業で明確になったリスクに対して、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて「リスクの低減」「リスクの保有」「リスクの回避」「リスクの移転」の4つがあります。 (1) リスクの低減 「リスクの低減」とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。 (2) リスクの保有 「リスク保有」とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。「許容できるリスクのレベル」を超えるものの、現状におい
第2回 ISMSやプライバシーマークとは全く違う
PCI DSSだけでなく,情報セキュリティ対策基準にはISMSやプライバシーマークがある。これらの基準とPCI DSSの違いを解説する。この違いを理解することで,PCI DSSの位置付けが明らかになるだろう。 ISMSは情報資産を保護するための仕組み作りへの指針を,プライバシーマークは情報資産保護に関する法令順守の方針を,それぞれ与えてくれる。しかし,技術的なセキュリティの達成目標の設定は個々の組織に委ねられている。そのため,ISMSあるいはプライバシーマークの認証を取得しているということだけでは,どのレベルの対策が施されているのか判別できない。PCI DSSは,ISMSやプライバシーマークに欠けている,情報セキュリティの技術的な達成目標を明確にしているのである。 ISMS=マネジメント・レベルの基準,PCI DSS=情報システムの基準 PCI DSSとISMSの違いは,大きく三つある。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
