情報セキュリティにおいて、認可された者だけが、情報をアクセス・使用できるという特性

情報セキュリティにおいて、情報・処理方法が、正確・完全であるという特性

情報セキュリティにおいて、認可された者が要求した時に、いつでもアクセス・使用ができるという特性

情報セキュリティにおいて、偽造やなりすましでなく、主張する通りの本物であるという特性

情報セキュリティにおいて、意図した通りの結果が得られるという特性

情報セキュリティにおいて、だれが、どのように関与したのかを追跡できる特性

情報セキュリティにおいて、後で「私じゃない」と否定されないようにする特性

資産として価値のある情報

情報資産に対して攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となるもの

情報資産や管理策に内在している弱点

システムの企画・設計段階から、情報セキュリティ対策を組み込んでおこうという考え方

システムの企画・設計段階から、個人情報保護の仕組みを組み込んでおこうという考え方

組織の情報資産の脆弱性を突く脅威によって、組織が損失を被る可能性

リスクを組織的に管理していくこと

情報資産に対するリスクを分析し・評価し、リスク受容基準に照らして対応が必要かどうかを判断していくこと

リスクアセスメントにおいて、保護すべき情報資産から組織に存在するリスクを洗い出すこと

リスクアセスメントにおいて、リスクの発生確率と影響度から、リスクの大きさ(リスクレベル)を算定する

リスクの大きさとリスク受容基準を比較して、リスク対応が必要かどうか判断する。必要な場合、リスクの大きさによって優先順位をつける

リスク評価を受け、実際にどのようなリスク対応を選択するか決定すること

リスク対応において、リスクの発生確率やリスクの大きさを小さくする方法

リスク対応において、損失を補填するために金銭的な手当をする方法

リスク対応において、リスクの損失額や発生確率を低く抑える

リスク対応において、リスクの原因を除去する

リスク対応において、リスクを第三者へ移転・転嫁する

リスク対応において、影響度が小さいため、許容範囲として保有・受容する

災害などの予期せぬ事態によって、特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価すること

組織内の情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言するもの

経済産業省が策定した、情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目が規定されているもの

組織で扱う個人情報の扱い方について規定を設けるため定めるもの

企業や官公庁などに設けるセキュリティチーム。セキュリティ事故の防止や被害の最小化のため

組織における情報セキュリティに対する取り組みに対して、ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威

操作ミス、紛失、内部関係者による不正使用、怠慢など、人による脅威

人的脅威のうち、人の心理の隙をついて機密情報を入手すること

離席時に画面をロックすること

書類が盗まれてもすぐにわかるように机を整頓しておくこと

不正行為が行われる3つの条件

情報漏洩、データ破壊、盗聴、改ざん、なりすまし、消去など、コンピュータウイルスやサイバー攻撃などのIT技術を使った脅威

悪意を持って作成された不正なプログラムの総称

画面を覗き見して機密情報を入手すること

ゴミ箱に捨てられた紙から機密情報を入手すること

ワープロや表計算ソフトなどのマクロ機能を悪用する

ネットワークやリムーバブルメディア(USBなど持ち運べる記憶媒体)を媒介として、自ら感染を広げる自己繁殖機能を持つ

ウイルスに感染したPCを、インターネットなどのネットワークを通じて外部から操る。

有益なソフトウェアと見せかけてユーザにインストールさせ、特定の条件になるまで活動をせずに待機した後、悪意のある動作をする

利用者の意図に反してPCにインストールされ、利用者の個人情報やアクセス履歴などの情報を収集する

勝手にPCのファイルを暗号化して読めなくし、戻すためのパスワードと引き換えに金銭を要求する

キーボードの入力履歴を不正に記録し、利用者IDやパスワードを盗み出す

バックドアを作り、侵入の痕跡を隠蔽するなどの機能を持つ不正なプログラムやツール