シラバス
| 授業科目名 | 年度 | 学期 | 開講曜日・時限 | 学部・研究科など | 担当教員 | 教員カナ氏名 | 配当年次 | 単位数 |
|---|---|---|---|---|---|---|---|---|
| 情報セキュリティの管理と監査 | 2024 | 後期 | 金2 | 理工学研究科博士課程前期課程 | 相羽 律子 | アイバ リツコ | 1年次配当 | 2 |
科目ナンバー
SG-PI5-8C95
履修条件・関連科目等
情報セキュリティのリスク対策について学習したい意向があること、また、情報セキュリティ監査に興味があること
授業で使用する言語
日本語
授業で使用する言語(その他の言語)
授業の概要
前半は、情報セキュリティマネジメントについて学習する。まず、情報セキュリティマネジメントに欠かせないリスク及びリスクマネジメントについて、一般論及び情報セキュリティ観点でのリスク、リスクマネジメントを学ぶ。次に、情報セキュリティリスクへの具体的な対策について、組織で広く用いられているISO/IEC 27002の管理策をベースに学習する。管理策は90を超える数があり、組織的、人的、物理的、技術的に分類されている。各々の管理策の目的、内容、想定するリスクなどを理解することで、情報セキュリティ対策の全体像を学ぶ。
後半は、企業や組織における情報セキュリティの実施状況をチェックし、問題点を発見し是正に繋げるための取り組みとして、監査について学習する。情報セキュリティ監査は、国内において制度化されている。この制度で用いられる基準類や制度の内容についても学習する。
定義や概念は、国際規格や業界標準などを参照し、それらに基づいて説明する。また、企業の情報セキュリティ報告書などから、具体的な取り組み事例も参照する。
科目目的
このコースの目的は、組織における情報セキュリティをどのように考え、導入し、運用していくかについて、実践的に学習することである。組織において、情報セキュリティが正しく実装され、運用されるためのしくみとして、情報セキュリティマネジメントが、さらに,これを担保するしくみとして情報セキュリティ監査がある。情報セキュリティマネジメント及び情報セキュリティ監査について、理論・実践の両面で理解することを目指す。
到達目標
組織における情報セキュリティリスクリスク評価方法の基礎、及びリスクへの対応として広く用いられている情報セキュリティ管理策を理解し、活用できるようになること
組織において情報セキュリティを正しく実装、運用・維持するための情報セキュリティマネジメントの概念を理解し、これを担保するしくみとしての情報セキュリティ監査について、規格する標準類や制度の内容を理解し、活用できるようになること。
授業計画と内容
第1回 情報セキュリティとリスクマネジメント
第2回 リスクマネジメントの要素:リスク分析とリスク対応
第3回 リスク対応と情報セキュリティ対策
第4回 情報セキュリティマネジメントシステム(ISMS):制度と基準
第5回 情報セキュリティ管理策とは
第6回 情報セキュリティ管理策:組織的管理策
第7回 情報セキュリティ管理策:人的管理策
第8回 情報セキュリティ管理策:物理的管理策
第9回 情報セキュリティ管理策:技術的管理策
第10回 情報セキュリティ監査とは
第11回 情報セキュリティ監査と制度
第12回 情報セキュリティ監査の進め方
第13回 情報セキュリティ監査:演習1 文書監査
第14回 情報セキュリティ監査:演習2 現地監査
なお、授業の中では、内容の進捗に合わせて、項目の順序を入れ替えることがある。
授業時間外の学修の内容
指定したテキストやレジュメを事前に読み込むこと
授業時間外の学修の内容(その他の内容等)
毎回授業前に掲載する授業で実施する内容のレジュメに必ず目を通した上で出席すること。
授業時間外の学修に必要な時間数/週
・毎週1回の授業が半期(前期または後期)または通年で完結するもの。1週間あたり4時間の学修を基本とします。
・毎週2回の授業が半期(前期または後期)で完結するもの。1週間あたり8時間の学修を基本とします。
成績評価の方法・基準
| 種別 | 割合(%) | 評価基準 |
|---|---|---|
| 期末試験(到達度確認) | 40 | 情報セキュリティマネジメント及び監査についての基礎知識、情報セキュリティ管理策の内容、及び情報セキュリティ監査のプロセス・技法に関する理解度を評価する。 |
| 平常点 | 30 | 授業への出席状況を評価する。 |
| その他 | 30 | 授業中のケーススタディ等への参加状況を評価する。 |
成績評価の方法・基準(備考)
60-69点:情報セキュリティマネジメント及び監査について概要を説明できる
70-79点:加えて、情報セキュリティ管理策について説明できる
80-89点:加えて、情報セキュリティ監査フレームワークを理解し説明できる
90-100点:加えて、情報セキュリティ監査のプロセス、技法、助言型監査、保証型監査について説明でき,監査報告書を読んで理解できる
課題や試験のフィードバック方法
授業時間内で講評・解説の時間を設ける/授業時間に限らず、manabaでフィードバックを行う
課題や試験のフィードバック方法(その他の内容等)
アクティブ・ラーニングの実施内容
PBL(課題解決型学習)/ディスカッション、ディベート
アクティブ・ラーニングの実施内容(その他の内容等)
授業におけるICTの活用方法
実施しない
授業におけるICTの活用方法(その他の内容等)
実務経験のある教員による授業
はい
【実務経験有の場合】実務経験の内容
情報セキュリティマネジメントシステム導入コンサルテーション
情報セキュリティリスクマネジメント実施コンサルテーション
組織内情報セキュリティ監査の実施
【実務経験有の場合】実務経験に関連する授業内容
企業や組織での実務経験のない学生が理解しやすいよう実務経験に基づく具体的な事例などを交えて説明を行う。
テキスト・参考文献等
テキスト:
資料を事前に配布する
参考文献:
(1) 情報セキュリティ監査公式ガイドブック (情報セキュリティライブラリ)
大木 栄二郎 (監修)、日本セキュリティ監査協会 (編集)、日科技連出版社
(2) 情報セキュリティ監査基準 実施基準ガイドライン Ver1.0
以下からダウンロード可能
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
(3) 情報セキュリティ管理基準 (平成28年改正版)
以下からダウンロード可能
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
(4) ISO/IEC 27002:2013(JIS Q 27002:2014)情報セキュリティ管理策の実践のための規範 解説と活用ガイド
中尾 康二 他 (著)、日本規格協会