掲示板お問い合わせランダムジャンプ

Google広告

2006年06月19日
モバイルコードに対する管理策

モバイルコードとは、インターネットを利用してダウンロードされ自動実行されるプログラムのことらしい。ACTIVE-XとかJAVAとかで作成されたプログラムもその類。

実際に有用なものもあれば、悪意のあるソフトが紛れ込むこともある。要はどのように作りこむかで迷惑な話になる。(場合によってはバグもある)

管理策「A10.42 モバイルコードに対する管理策」では、動作を認可するものとしないものを分けて適切に管理しろとある。

問題は、認可の是非を何を持って行うかだ。

証明書があればOKで、無ければNGか
他に確認する術があるのか

方法が無ければ管理策として成立しない。

証明書があっても悪い札が付いていたら排除しなければならないし。証明書が無いから排除したとして業務インパクトとの関連は理解しておかないと排除の妥当性が掴めない。

要は、施策/方法論だけで検討を始めると話は空回りです。



[ 投稿者:ISMSNEWS at 20:09 | (道草) | コメント(0) | トラックバック(0) ]

証明書の輸出規制

詳細管理策に「A.15.16暗号化機能に対する規則」と言うのがある。

分からないのはこの管理策に関連して、デジタル証明書を海外に送ったら、特に中国に送った場合、何か問題になることがあるのかどうか。

証明書の妥当性は日本側のサーバーで行うので、暗号技術を利用といっても国内の話のはず。どういう難癖が成立するだろう。何かあれば管理策が必要になる。

*


[ 投稿者:ISMSNEWS at 20:07 | (道草) | コメント(0) | トラックバック(0) ]

ISMS「始めの一歩」に戻る



構築の意味

・文書化された管理体系の策定(確立)

その文書に従えば正しい行いが出来る=運用が出来る。

・運用開始�案

文書化された体系に頭から従えば、適用範囲・方針・リスクアセスから始まる一連を実施する。

・運用開始�案

全員が揃って正しい活動が出来る前提で考えると、関連する計画の策定が終わっていること。また力量がレディになっていること(必要な教育が完了していること)

運用に必要なコンテンツが洗い出されている状態。

�と�は違うことを言っているようで実際は同じかも。運用可能な文書化レベルってミニマム�まで進んでいないと無理だろう。実質的なシミュレーションに相当。

初回構築はそんなものだ。

2回目からは、リスク対応計画などを踏まえリニューアルされたISMSでの運用開始を経営者は宣言する図になる。ISMSの運用バージョンが概念的に存在する。



[ 投稿者:ISMSNEWS at 20:06 | (道草) | コメント(0) | トラックバック(0) ]