| Item type |
Journal(1) |
| 公開日 |
2016-09-15 |
| タイトル |
|
|
タイトル |
デルタISMSモデルの提案――事故データベースに基づく全社的情報セキュリティマネジメントの強化 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Proposal of Delta ISMS Model-Enhancement to Company-wide Information Security Management Using Accident Database |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:社会の変革に挑戦するセキュリティ技術とプライバシー保護技術] 情報セキュリティマネジメントシステム(ISMS),事故データベース,情報セキュリティインシデント,リスクアセスメント,情報セキュリティガバナンス |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
株式会社エヌ・ティ・ティ・データ |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
株式会社東芝 |
| 著者所属 |
|
|
|
日本電信電話株式会社 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
NTT DATA Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
TOSHIBA CORPORATION |
| 著者所属(英) |
|
|
|
en |
|
|
NIPPON TELEGRAPH AND TELEPHONE CORPORATION |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者名 |
堀川, 博史
大谷, 尚通
髙橋, 雄志
加藤, 岳久
間形, 文彦
勅使河原, 可海
佐々木, 良一
西垣, 正勝
|
| 著者名(英) |
Hiroshi, Horikawa
Hisamichi, Ohtani
Yuji, Takahashi
Takehisa, Kato
Fumihiko, Magata
Yoshimi, Teshigawara
Ryoichi, Sasaki
Masakatsu, Nishigaki
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
本論文は,事故データベースに基づき全社的情報セキュリティマネジメントを強化する「デルタISMSモデル」を提案する.ISMSでは,情報セキュリティインシデントからの学習を求めているが,ISMS認証を取得している組織でも情報セキュリティ事故が減らず,改善が効果的に働かない組織もある.筆者らは改善が効果的に働かない理由は学習の具体的な方法が手順化されていないことにあると考える.そこで本論文では,事故データベースの運用,事故データからの年間予想損失額の算出,事故原因と対策のマトリクスを用いた定期的な対策改善案の選定,対策選定の判断材料となる情報の経営陣への提示からなる一連の方法・手順を解決策として提示する.実担当者の評価,情報セキュリティガバナンスのモニタリング項目との比較,デジタルフォレンジックとの関係の検討を通じ,提案方式の有効性を評価する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In this paper, we propose “Delta ISMS model” which strengthens company-wide information security management using accident database. ISMS requires learning from information security incidents, however, ISMS certified organizations where information securities accidents do not always diminish in number because of ineffective improvements from learning. We recognize insufficiency of the detailing of learning procedures does not make an appropriate improvement. Therefore, we consider detailing of learning procedures is the solution to make appropriate improvements. Regarding detailing of learning procedures, we show a series of such procedures as operation of an accident database, calculation of the annual loss expectation, periodical selection of the countermeasure using a matrix of accidents and countermeasures and offering information to executive for making a decision of countermeasure selection. We evaluate the validity of the proposed system through evaluation by the person in charge, comparison of monitoring by information security governance with those items by the processed Delta ISMS method, and consideration of the relation with digital forensics. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 57,
号 9,
p. 2099-2109,
発行日 2016-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5709026.pdf (1.5 MB)
