Q:情報セキュリティとはそもそも何ですか?
「情報の機密性、完全性、可用性を維持すること」と定義しています。 もう少し単純に言うと、「@情報漏れがないようにしっかり管理すること(機密性)、A情報が正しく・間違いがないように管理すること(完全性)、B情報を利用する人が必要な時に利用できるようにすること(可用性)」ということです。 “セキュリティ”という日本語での響きには、漏れないように守ること(機密性)だけのように聞こえますが、「完全性」、「可用性」とのバランスをとった、会社とって経営戦略的な取り組みが必要ですし、可能です。
「情報」には、パソコンに入っている情報、インターネット上の情報、印刷物など、いろいろな形態があります。一方、「セキュリティ」とは「安全」「防犯」「安全保障」のことをいいます。つまり「情報セキュリティ」とは情報を安全に守ることを意味しています。情報社会の中で活動をするためのルールとして生まれたのが、「情報セキュリティ」の考え方です。 情報セキュリティという言葉に含まれる意味は幅広く、個人情報を中心として企業の機密情報、著作権など、さまざまな情報に対する取扱い責任を指します。
ISO27001:2005には情報セキュリティの定義として、「情報の機密性、完全性及び可用性を維持すること」と定義しています。また、「さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を含めてもよい」としています。機密性とは許可された正当な人(法人も含む。)だけが、情報にアクセスすることができること、完全性とは情報や処理結果が正確であり、誤登録や改ざんがないこと、可用性とは必要な情報資産(情報そのものや情報システム)が必要な時に使用でき、紛失や故障などから守られていることを意味します。 真正性、責任追跡性、否認防止とは電子商取引において特に重視されるセキュリティ要素です。電子メールで発注や作業指示が行われている状況で、送ったメールは間違いだったと否認されたらどうなるのかということを考えていただければ、その重要性をご理解いただけるのではないでしょうか。
組織が関係する重要な資産の機密性・完全性・可用性を保護することです。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めても良い(JIS Q 27002:2006)
ざっくり訳すと、重要な情報が紛失したり漏れないように(機密性)、間違ったデータが受け渡されないように(某証券会社の事態)、情報システムが使えなくて困ることがないように(某証券市場のシステムダウン、航空管制塔システムのダウン)することです。
情報全般を組織の資産(情報資産)と考え、それを保護することが情報セキュリティです。従って、技術的対策をはじめ、物理的/人的なセキュリティにも関連しています。データベースに大切に保管されている情報もあれば、紙上の記録、通勤電車内・給湯室・居酒屋などで会話される情報といったあらゆる情報が保護対象範囲です。 一昔前までの、情報セキュリティは、バックアップ、ウイルス対策、暗号、ファイアウォールなどの技術対策が中心でしたが、現在のように、情報が世界中を飛び回る時代では、技術だけではカバーできなくなってきています。
(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)
この情報を登録しますか?
コメント: (スタイル用のHTMLタグが使えます)
「情報の機密性、完全性、可用性を維持すること」と定義しています。
もう少し単純に言うと、「@情報漏れがないようにしっかり管理すること(機密性)、A情報が正しく・間違いがないように管理すること(完全性)、B情報を利用する人が必要な時に利用できるようにすること(可用性)」ということです。
“セキュリティ”という日本語での響きには、漏れないように守ること(機密性)だけのように聞こえますが、「完全性」、「可用性」とのバランスをとった、会社とって経営戦略的な取り組みが必要ですし、可能です。
「情報」には、パソコンに入っている情報、インターネット上の情報、印刷物など、いろいろな形態があります。一方、「セキュリティ」とは「安全」「防犯」「安全保障」のことをいいます。つまり「情報セキュリティ」とは情報を安全に守ることを意味しています。情報社会の中で活動をするためのルールとして生まれたのが、「情報セキュリティ」の考え方です。 情報セキュリティという言葉に含まれる意味は幅広く、個人情報を中心として企業の機密情報、著作権など、さまざまな情報に対する取扱い責任を指します。
ISO27001:2005には情報セキュリティの定義として、「情報の機密性、完全性及び可用性を維持すること」と定義しています。また、「さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を含めてもよい」としています。機密性とは許可された正当な人(法人も含む。)だけが、情報にアクセスすることができること、完全性とは情報や処理結果が正確であり、誤登録や改ざんがないこと、可用性とは必要な情報資産(情報そのものや情報システム)が必要な時に使用でき、紛失や故障などから守られていることを意味します。
真正性、責任追跡性、否認防止とは電子商取引において特に重視されるセキュリティ要素です。電子メールで発注や作業指示が行われている状況で、送ったメールは間違いだったと否認されたらどうなるのかということを考えていただければ、その重要性をご理解いただけるのではないでしょうか。
組織が関係する重要な資産の機密性・完全性・可用性を保護することです。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めても良い(JIS Q 27002:2006)
ざっくり訳すと、重要な情報が紛失したり漏れないように(機密性)、間違ったデータが受け渡されないように(某証券会社の事態)、情報システムが使えなくて困ることがないように(某証券市場のシステムダウン、航空管制塔システムのダウン)することです。
情報全般を組織の資産(情報資産)と考え、それを保護することが情報セキュリティです。従って、技術的対策をはじめ、物理的/人的なセキュリティにも関連しています。データベースに大切に保管されている情報もあれば、紙上の記録、通勤電車内・給湯室・居酒屋などで会話される情報といったあらゆる情報が保護対象範囲です。
一昔前までの、情報セキュリティは、バックアップ、ウイルス対策、暗号、ファイアウォールなどの技術対策が中心でしたが、現在のように、情報が世界中を飛び回る時代では、技術だけではカバーできなくなってきています。