情報セキュリティ監査制度情報セキュリティ管理基準(平成20年改正版)(平成20年経済産業省告示第246号、平成21年2月1日適用)【PDF形式】
第5回 外部委託管理とその監査(後編)
監修・NPO日本ネットワークセキュリティ協会セキュリティ監査WG 文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人) 今回は、外部委託管理とその監査について、6つの重要な考慮事項(検討すべきコントロールポイント)について解説していきます。「6つ」というのは具体的には、(1)委託先の選定プロセスセス、(2)財務的安定性・経営的安定性、(3)サービスレベル合意書(SLA)、(4)個人情報保護条例等との関係、(5)複製データの管理、(6)監査の権利です。さらに外部委託先管理についての監査についても簡単に解説します。 (1)委託先の選定プロセス 地方公共団体においては、調達を一般競争入札(最低価格落札方式など)により行うことが多いと思われます。調達についての判断条件としては、委託する業務を遂行する能力と価格が重要な判断指標となる場合が多くなりますが、重要な個人情報の取扱を行う業務
サーバーを立てて、そのサーバーが踏み台にされた場合、責任は誰にあるのでしょうか?
踏み台にされた人は、要するに迷惑なお間抜けさんです。 犯罪になるのは攻撃してる人ですね。 間抜けは犯罪じゃないですから、法的に責任は問われないでしょう。 まあ、自分のサーバーが迷惑になってるのに気付いてて、 それを放置してたら責任を問われるでしょうけど。 でも他人に迷惑をかけて悪くないかっていうと、そりゃあ悪いでしょうね。 違法じゃなければいい、責任はない、って事にはならないでしょう。 迷惑を受けた側からすれば、勉強不足のままノコノコ出てくるお間抜けさんは、 はっきり言って攻撃者そのものより鬱陶しいでしょう。 なにせ犯罪者に武器を供給してるのと同じですからね。
情報セキュリティマネジメントとPDCAサイクル:IPA 独立行政法人 情報処理推進機構
リスク対応では、リスク評価の作業で明確になったリスクに対して、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて「リスクの低減」「リスクの保有」「リスクの回避」「リスクの移転」の4つがあります。 (1) リスクの低減 「リスクの低減」とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。 (2) リスクの保有 「リスク保有」とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。「許容できるリスクのレベル」を超えるものの、現状におい
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
