- 0
- 0
- 3
質問
-
Pマーク取得における情報システム環境の要件とは?
質問
現在、私もPマーク取得の会社に応援業務しています。参考になればと思います。
記載されていた機器環境で書いてみました。
・ファイルサーバ2台〜
●情報共有資源に対してアクセス権限とオブジェクト監査(成功・失敗)等の構成をし、アクセスログをきっちり取得する。それと、ログは1年位は継続記録出来るようにする。セキュリティイベントログを使用するなら、ログの管理を検討した方がよいでしょう。
※私は、マイクロソフトの無償ツールで「Log Parser 2.2 日本語版」とSQLServer2000SP4でログIDを指定してSQL出力。データベースで保管して必要な時に検索できるようにアクセス2003と連携しています。製品購入しないでやってます。
・サーバルーム及びラックなどは特に無し。〜
●ラックあった方が良いと思います。情報資産があるサーバーの重要度があれば、対策を講じるのは必須と思います。ないよりあった方が有利。
・サーバ、クライアントは全てウインドウズ系だがドメインではなくワークグループで運用
・クライアントPCは30台程度〜
●クライアントOSがWinXPProであれば、ActiveDirctryを構成して、ドメインユーザーのポリシー管理を構成した方が良い。ユーザー管理はきっちりした方が良い。
パスワードも各個人しか分らない様にし、パスワード文字数、パスワード変更要求日数。
・ウイルス対策ソフトは全コンピュータに導入すみ。〜
●ウイルス更新管理で、クライアントPCの更新状況の把握をする事も必要でしょう。
・ブロードバンドルータでインターネット接続〜
●ファイアーウオールは、商品が多数ある為、最低限の構成を組める商品、
何を防御するかの検討をした方が良いのでは?
・メール、ホームページはホスティング利用〜
●ホームページが会社の顔です。業務の表現と個人情報の収集する目的があれば、きっちり対策を取った方が良いでしょう。収集であれば、SSLを導入するとか。そして、Pマークに関わる個人情報の明記と会社・部署・連絡先・窓口などもきっちり表現した方が良いでしょう!
他にも会社内での情報資産の洗い出しやリスクやその他諸々あります。
簡単に書きましたが、参考になればと思いました。
表現が悪く、分りにくい所があればすみません。
ハード面での対策はobatalixさんが書かれたとおりと思います。特に重要なのは、ワークグループ運用の停止→ドメイン運用への変更でしょうか。
他に、最も重要なのは「情報セキュリティポリシー」と「情報セキュリティ規程」の策定でしょう。「ない」と答えた時点で、審査員の心証は悪くなると思われます。
お世話になります。
Pマークの規定が普及しておらず、アクセスログ管理システムを導入しましたが、
担当者は設定してログ収集のみしか行われていません。
何から改善すればいいでしょうか。
よろしくお願いいたします。
お役に立ちましたか?他にもたくさんの ノウハウが共有されています。
質問
こんばんは。
Pマーク取得における情報システム環境の要件について皆さんのご意見を聞かせてください。
現在Pマーク取得にあたって、情報システム環境をどうしたらいいのかを調査中なのですが、いまいち何をどうしたらいいのかはっきりしないのです。
例えば、次のようなIT環境でPマークを取得しようとした場合、情報システムの仕組み及び運用だけに的を絞ると、どんな対策をとるのが適切でしょうか?
・ファイルサーバ2台
・サーバルーム及びラックなどは特に無し。
・クライアントPCは30台程度
・ブロードバンドルータでインターネット接続
・メール、ホームページはホスティング利用
・サーバ、クライアントは全てウインドウズ系だがドメインではなくワークグループで運用
・ウイルス対策ソフトは全コンピュータに導入すみ。
・ID、PASSWORDは個別設定
プライバシーマーク推進センター発行の
「JIS Q 15001:2006のポイントと個人情報保護マネジメントシステム構築の留意点」の「個人情報の適正管理」の項を見ると、
「情報システムのアクセス制御」とか「アクセスログの取得・点検」などの記載の後に「これらを出来る範囲で実施する」とあって、
結局、具体的な安全管理措置の最低ラインみたいなものは無いのかとも受け取れます。
例えば、極端な話、うちの会社で出来るのは
「簡単なパスワードを禁止する」くらいです。
とかでも通用するのでしょうか?
#もちろん、堅牢なシステムを構築するに越した事は無いと思うのですが、、、