セキィリティーの認識の甘さ(日本の甘さを指摘するIMDの記事)を解くには認証しかないと判断しISMS：情報セキュリティマネジメントシステム（ISO27001）の取得を目指す事にしました。自社のセキュリティーレベルを上げて、お客様に納得頂く会社を目指しております。

この記事はISMSでの忘れそうな事項を記事に書き足しております。

ISMS基本　日本で申請であるの行政機関の国内規格に沿ってISOで申請のカタチになり。

構造

ISMS—JISQ27001＝ISO27001
∟ JISQ15001

JISQが日本国内のセキュリティーや個人情報保護に関わる規格になるのでISOの取得を目指していてもJIQチェックは必須、いや法的準拠の徹底を行わなければならない。

CIAに関して

1992年にOECDで制定開始され今に至る

特定の組織ではなく、

機密性（Confidentiality）

通信を取りあってる状態を第三者に抜かれない、盗聴されないようにする

例：技術的には専用線でつながった同志や暗号化通信などがこれにあたると思います。

完全性（Integrity）

データー更新内容が担保される。通信最中に書き換えられない様にする。

例：制作中のファイル自体を誰かに送る際に暗号化してデーターの安全性を担保したり

可用性（Availability）　

いつでも使える状態にする。

DDoS攻撃対策とか、社内であればプライオティー経路とセカンダリー経路が常に回線が使える状態を指すようです。

という情報セキュリティの三大要素を表わした頭字語です。

まさるの勉強部屋onYOUTUBEが簡単で分かり易いですね

CIAに関する参照URL

ASCII 情報セキュリティのCIAを知っていますか？

ARCH 情報セキュリティの３要素とは

情報資産台帳とリスク評価シート

前記までを元に、

情報資産台帳(保管場所とデーター)厳秘と秘密などに分類と

リスク評価シートを作成してCIAに分類と

を作成する。

社内で管理体制を作る→実際の環境に合わせないといけないので結構大変です。

情報資産台帳、リスク評価シートなどは少なくとも年1回の見直しをする必要があります。台帳自体はエビデンス（自社で担保された記録）ですので、見直した時点の状態を表し、都度、追加更新して行って行かないといけません。業務が全く同じ状態で毎年出来るならいいですがそれはまず不可能でしょうから。ある程度見直した時点でファイリングされたISO書類の台帳の「作成」「確認」「承認」欄に名前と日付を入力して行く。

この記事は日を改めて更新すると思います。ご理解とご協力をお願い申し上げます。

2021.3/21　投稿開始
2021.6/30　更新