紙の本
具体的な
2017/08/31 09:14
0人中、0人の方がこのレビューが役に立ったと投票しています。
投稿者:igashy - この投稿者のレビュー一覧を見る
攻撃例その他よりも心構えメインの印象。実際の担当者というより、代表者向け。
最後の「第7章 情報セキュリティ監査の受け方」の中に、
・監査人の癖を見る。
という項目があってなんだか笑った。
投稿元:
レビューを見る
★2017年4月2日読了『情報セキュリティの基本』島田裕次著 評価B+
情報セキュリティについて、門外漢の素人に分かりやすくまとめてくれた本。
先週まで内部監査で詰められて苦労したところをもう一度頭を整理するために読んでみた。
以前とは比べものにならないほど、会社内での管理水準の要求は高くなっている。
よって一般者、情報通信部門の人間の啓蒙、管理意識の向上が必須。
以下備忘
情報資産:情報セキュリティで守るべき対象。
情報管理台帳:情報資産の明確化、見える化のために作成する。
その項目:番号、情報資産名称、件数、保管場所、管理責任者、重要度、作成日、保存期間、他
リスク評価: 影響度 X 発生可能性
機密性 可用性 インテグリティ(正確性)
影響度/発生可能性
情報分類: 公開情報、社外秘の情報、機密情報=社内特定部門のみ
WAF:WEB APPLICATION FIREWALL ウェブサイトと利用者間の通信の中身を機械的に検査
ウィルス攻撃からウェブアプリを防御、検出。複数ウェブアプリへの攻撃をまとめて防御
その弱点:あらかじめ許可された通信だけを許可する役割
よって、あらかじめ許可された通信を利用した攻撃には対応できない。EX.バッファーオーバーフロー
バイオメトリクス認証:指紋、手形、静脈、顔、虹彩、声紋、サイン認識
時間がかかるのが弱点 認識用機器と運用に関するセキュリティ強化
経済産業省:事業継続計画策定ガイドライン
マイナンバーの利用範囲、管理ポイント
個人情報保護法 2015年9月改正
1.定義明確化 身体的特徴、要配慮個人情報 信教・門地情報などの機微情報
2.個人を特定できなくすれば第三者への提供可 匿名加工情報
その他 小規模事業者も対象化
CSIRT セキュリティインシデントへの対応組織
サイバー攻撃へ適切な対応を迅速に行うための設置組織
ERM:全社的リスクマネジメント Enterprise Risk Management
SLA:Service Level Agreement サービス提供事業者とその利用者の間で結ばれるサービスのレベル
ITガバナンス:システム監査の対象 ①システム化目的の達成状況 ②ユーザの操作性 ③費用対効果
④戦略性 ⑤有効性 ⑥効率性 ⑦コンプライアンス
情報セキュリティ: 機密性、可用性、インテグリティ
対策: (時間軸)予防的、発見対策、回復対策 (方法)物理的、技術的、管理的対策
コントロール: 回避、提言、移転、受容
J-SOXでは、財務データの正確性を阻害するリスク低減が重要
投稿元:
レビューを見る
2017年8月28日読了。主に企業のセキュリティ担当者(まあ、全社員か)向けに、情報セキュリティの基本を説く本。基本的な内容は一通り網羅されているが、「完璧すぎ・細かすぎて実行不可能なセキュリティ対策は実行されないことによりかえってセキュリティの危機を招く」「チェックリストは形がい化を招きやすく本当に必要な対策が実施されないリスクがある」「訓練のシナリオが毎回同じだと単なるオペレーションの確認になってしまう、毎回シナリオは現実味のあるもので変更していくことが重要」というあたりはその通りと感じる。「何か入れて終わり」ではなく、「今ある資源をいかに頭を使って活用しているか」が重要なんだよなあ。
投稿元:
レビューを見る
セキュリティ屋が辞めてしまったので私もセキュリティの知識付けておこうと思い読む。
内容も難しくないし、皆これくらいのことを理解していてくれれば、良いのだけれどもね。セキュリティエンジニアが20万人近く不足しているとのニュースも有るし、私もセキュリティに力を入れていこうかと思う。
投稿元:
レビューを見る
情報セキュリティ対策について学ぶために手に取りました。重要なことがまとめられていると感じましたが、文章が多く、図が少ないため、仕組みを知りたい方にとっては難しく感じるかもしれません。
情報セキュリティポリシーの制定、入口、出口、内部のサイバーセキュリティ対策などが書かれています、
投稿元:
レビューを見る
p.60 入社時:雇用契約書とは別に情報管理に関する文書に署名させる。毎年実施する。
p.92 データ廃棄方法のルール化。ソフトで消去。廃棄までの仮置場にも注意。廃棄証明書。
p.185 ウイルスに感染したら
IPA「パソコンユーザーのためのウイルス対策7か条」
p.152 情報資産管理台帳の作成 p.25
p.88 経済産業省 事業継続計画策定ガイドライン。訓練でBCの見直しへ
https://www.ipa.go.jp/security/guide/sme/about.html
中小企業
・労基 労働時間の管理(分単位)、時間外管理
・経理 ダブルチェックの穴
・情報セキュリティ ウイルス(メール対策)
・大規模災害時の対応(通勤、職員との連絡)
・労災 労災時の状況・対策をJNFLに報告