JP2004157697A - Security management system and security management service providing method - Google Patents

Abstract

<P>PROBLEM TO BE SOLVED: To realize a function of checking security etc., as a membership service after guidelines for security are worked out as a part of management support business. <P>SOLUTION: A user terminal 200 is used by a user who uses a security management system among members having contracted the membership service. An operating administrator terminal 300 is used by an operating administrator who operates and manages the security management system among the members having contracted the membership service. A membership service provider terminal 400 is used by a membership service provider of the security management system. A security management system operating device 100 makes it possible to operate the security management system on a network 500 by access from the user terminal 200, operating administrator terminal 300, and membership service provider terminal 400. <P>COPYRIGHT: (C)2004,JPO

Description

Translated fromJapanese

【０００１】
【発明の属する技術分野】
本発明はセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法に関し、特に経営支援ビジネスとしてのセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法に関する。
【０００２】
【従来の技術】
従来のセキュリティマネジメントシステムでは、情報セキュリティポリシーおよび対象システムと管理・監査プログラムとを対応づけたセキュリティ・監査プログラムデータベースを設け、操作者により指定された情報セキュリティポリシーおよび対象システムの範囲に対応する管理・監査プログラムを検索し、自動的に実行するようになっていた（例えば、特許文献１参照）。
【０００３】
また、従来のセキュリティマネジメントシステムの他の例では、ポリシーデータベース，情報セキュリティポリシーおよび対象システムと管理・監査プログラムとを対応付けたセキュリティ管理・監査プログラムデータベース，ポリシー・設定情報マッピングテーブル，ならびに設定情報格納データベースを設け、操作者により指定された情報ポリシーおよび対象システムの範囲に対応する管理・監査プログラムを検索し、自動的に実行するようになっていた（例えば、特許文献２参照）。
【０００４】
【特許文献１】
特開２００１―２７３３８８号公報（第６−７頁、図２）
【特許文献２】
特開２００２―２４７０３３号公報（第６―７頁、図２）
【０００５】
【発明が解決しようとする課題】
上述した従来のセキュリティマネジメントシステムでは、以下の３つの問題点があった。
【０００６】
第１の問題点は、セキュリティマネジメントシステムを企業が導入するのに多大な時間と費用（コンサルテーション費用，ＩＴ（Ｉｎｆｏｒｍａｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ）投資，要員教育等）がかかることである。また、システムの維持および管理についても多くの費用や専門知識を有した運用要員が必要である。このことは、セキュリティマネジメントシステムの企業への導入が一部の大企業にしか普及しないということであり、企業の大半を占める中小企業のセキュリティ対応状況の改善を阻む大きな要因であった。
【０００７】
第２の問題点は、セキュリティマネジメントシステムを導入しても、業務ワークフローと連動していないため、運用が十分行われなかったということである。
【０００８】
第３の問題点は、セキュリティガイドラインの質が策定者の技能レベルによって左右される問題があり、一定の品質を保つための方策が必要であったということである。
【０００９】
本発明の第１の目的は、経営支援ビジネスの一環として、セキュリティガイドラインの策定からセキュリティチェック等の機能をネットワークを利用した会員制サービスとして実現するようにしたセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法を提供することにある。
【００１０】
また、本発明の第２の目的は、会員制サービスが、複数の会員が同一システムを利用できる仕組みとすることやセキュリティガイドライン策定の支援を顧客である会員を直接訪問することなく、すべてネットワークを介して実現できるようにしたセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法を提供することにある。
【００１１】
さらに、本発明の第３の目的は、セキュリティガイドライン策定支援には、業種や規模別に作成されたヒアリングシートとセキュリティガイドラインデータベースとを利用し、策定までに要する時間の大幅短縮を実現するようにしたセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法を提供することにある。
【００１２】
さらにまた、本発明の第４の目的は、業種や規模別に作成されたセキュリティガイドラインデータベースを利用してセキュリティガイドラインを策定できることで、セキュリティガイドラインの質の低下や策定者の技能レベルに質が左右されることを防ぐようにしたセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法を提供することにある。
【００１３】
また、本発明の第５の目的は、クライアントの機器にはインターネットブラウザと電子メールソフトのみあれば、その他の特別なソフトウェアをインストールすること無しに利用できるようにしたセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法を提供することにある。
【００１４】
さらに、本発明の第６の目的は、Ｗｅｂと電子メールを利用したワークフロー機能を有するため、運用の効率化を実現できるようにしたセキュリティマネジメントシステムおよびセキュリティマネジメントサービス提供方法を提供することにある。
【００１５】
【課題を解決するための手段】
本発明のセキュリティマネジメントシステムは、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する利用者によって使用される利用者端末と、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者によって使用される運用管理者端末と、セキュリティマネジメントシステムの会員制サービス提供者によって使用される会員制サービス提供者端末と、前記利用者端末，前記運用管理者端末，および前記会員制サービス提供者端末からのアクセスによりネットワーク上でセキュリティマネジメントシステムの運用を可能にするセキュリティマネジメントシステム運用装置とを有することを特徴とする。
【００１６】
また、本発明のセキュリティマネジメントシステムは、前記セキュリティマネジメントシステム運用装置が、利用者機能である申請依頼処理機能と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能と、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する一次申請者が最終承認者に対して一次申請者所属部門におけるセキュリティマネジメントに必要な各種作業の状況を報告する際に利用する申請情報データベースと、会員の中でセキュリティマネジメントシステムを利用する最終承認者が運用管理者宛てに申請した申請情報の履歴を登録する履歴データベースと、会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する会員の中の利用者を登録，修正，削除する時に使用する利用者データベースと、運用管理者が自分が所属する会員の中の組織情報を登録，修正，削除する時に使用する組織データベースと、運用管理者が自分が所属する会員の中で使用する申請フォームの雛形をメニューとして登録する申請フォームデータベースと、会員制サービス提供者が会員の会員情報を登録する会員データベースと、会員制サービス提供者がセキュリティガイドラインの雛形および運用管理者が作成したセキュリティガイドラインを登録するセキュリティガイドラインデータベースとを有することを特徴とする。
【００１７】
さらに、本発明のセキュリティマネジメントシステムは、前記申請情報データベースのレコードが、申請日，申請者ＩＤ，申請者所属部門コード，申請フォーム区分，申請概要，申請内容，状態フラグ，否認日および否認理由，ならびに承認日および承認者の各フィールドからなることを特徴とする。
【００１８】
さらにまた、本発明のセキュリティマネジメントシステムは、前記履歴データベースのレコードが、申請者所属部門コード，申請者ＩＤ，申請者／一次承認者所属部門コード，申請者／一次承認者ＩＤ，最終承認者所属部門コード，最終承認者ＩＤ，申請フォーム区分，申請概要，申請内容，および報告日の各フィールドからなることを特徴とする。
【００１９】
また、本発明のセキュリティマネジメントシステムは、前記利用者データベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，運用管理者ＩＤ，利用者ＩＤ，パスワード，利用者名，利用者所属部門コード，電子メールアドレス，利用者職制，および申請依頼者設定の各フィールドからなることを特徴とする。
【００２０】
さらに、本発明のセキュリティマネジメントシステムは、前記組織データベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，部門コード，部門名，部門階層，および承認権限設定の各フィールドからなることを特徴とする。
【００２１】
さらにまた、本発明のセキュリティマネジメントシステムは、前記申請フォームデータベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，申請フォーム区分，および申請フォームの各フィールドからなることを特徴とする。
【００２２】
また、本発明のセキュリティマネジメントシステムは、前記会員データベースのレコードが、登録日または最終更新日，企業／団体名，住所，ＴＥＬ／ＦＡＸ，運用管理者ＩＤ，運用管理者パスワード，およびサービス利用形態の各フィールドからなることを特徴とする。
【００２３】
さらに、本発明のセキュリティマネジメントシステムは、前記セキュリティガイドラインデータベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，対応業種，対応企業／団体規模，用途，キーワード，およびセキュリティガイドラインの各フィールドからなることを特徴とする。
【００２４】
さらにまた、本発明のセキュリティマネジメントシステム運用装置は、利用者機能である申請依頼処理機能と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能と、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する一次申請者が最終承認者に対して一次申請者所属部門におけるセキュリティマネジメントに必要な各種作業の状況を報告する際に利用する申請情報データベースと、会員の中でセキュリティマネジメントシステムを利用する最終承認者が運用管理者宛てに申請した申請情報の履歴を登録する履歴データベースと、会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する会員の中の利用者を登録，修正，削除する時に使用する利用者データベースと、運用管理者が自分が所属する会員の中の組織情報を登録，修正，削除する時に使用する組織データベースと、運用管理者が自分が所属する会員の中で使用する申請フォームの雛形をメニューとして登録する申請フォームデータベースと、会員制サービス提供者が会員の会員情報を登録する会員データベースと、会員制サービス提供者がセキュリティガイドラインの雛形および運用管理者が作成したセキュリティガイドラインを登録するセキュリティガイドラインデータベースとを有することを特徴とする。
【００２５】
一方、本発明のプログラムは、コンピュータを、利用者機能である申請依頼処理機能と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能と、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する一次申請者が最終承認者に対して一次申請者所属部門におけるセキュリティマネジメントに必要な各種作業の状況を報告する際に利用する申請情報データベースと、会員の中でセキュリティマネジメントシステムを利用する最終承認者が運用管理者宛てに申請した申請情報の履歴を登録する履歴データベースと、会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する会員の中の利用者を登録，修正，削除する時に使用する利用者データベースと、運用管理者が自分が所属する会員の中の組織情報を登録，修正，削除する時に使用する組織データベースと、運用管理者が自分が所属する会員の中で使用する申請フォームの雛形をメニューとして登録する申請フォームデータベースと、会員制サービス提供者が会員の会員情報を登録する会員データベースと、会員制サービス提供者がセキュリティガイドラインの雛形および運用管理者が作成したセキュリティガイドラインを登録するセキュリティガイドラインデータベースとして機能させることを特徴とする。
【００２６】
他方、本発明のセキュリティマネジメントサービス提供方法は、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する利用者によって使用される利用者端末と、会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者によって使用される運用管理者端末と、セキュリティマネジメントシステムの会員制サービス提供者によって使用される会員制サービス提供者端末と、前記利用者端末，前記運用管理者端末，および前記会員制サービス提供者端末からのアクセスによりネットワーク上でセキュリティマネジメントシステムの運用を可能にするセキュリティマネジメントシステム運用装置とを有するセキュリティマネジメントシステムにおいて、前記セキュリティマネジメントシステム運用装置の処理が、利用者機能である申請依頼処理機能の処理と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能の処理と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能の処理とを含むことを特徴とする。
【００２７】
また、本発明のセキュリティマネジメントサービス提供方法は、前記申請依頼時の処理が、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末で会員コーナ内の申請フォームメニューを選択し利用する申請フォーム区分を選択したときに、セキュリティマネジメントシステム運用装置で申請フォーム区分の申請フォームを申請フォームデータベースから抽出する工程と、利用者端末で抽出された申請フォームに申請情報を登録したときに、セキュリティマネジメントシステム運用装置で申請情報データベースに申請概要および申請内容を登録する工程と、利用者端末で申請情報の登録後に申請ボタンをクリックしたときに、セキュリティマネジメントシステム運用装置で利用者データベースを参照し申請者の申請依頼者を抽出し、申請依頼者の電子メールアドレス宛てに申請依頼メールを送信する工程と、他の利用者端末で申請依頼メールを受信後にセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、他の利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、他の利用者端末で会員コーナ内の申請データ承認メニューを選択したときに、セキュリティマネジメントシステム運用装置で組織データベースを参照し承認権限設定情報を抽出し、申請情報データベースを参照し抽出された承認権限設定情報から承認可能な申請情報を抽出する工程と、他の利用者端末で抽出された申請情報が承認されたときに、セキュリティマネジメントシステム運用装置で申請情報データベース内の申請情報に承認フラグ，承認日および承認者を登録し、履歴データベースにも承認したデータを登録する工程と、他の利用者端末で抽出された申請情報を否認し否認理由が登録されたときに、セキュリティマネジメントシステム運用装置で申請情報データベース内の申請情報に否認フラグ，否認日および否認理由を登録し、申請依頼者の電子メールアドレス向けに否認通知メールを送信する工程と、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末で会員コーナ内の申請否認を選択したときに、セキュリティマネジメントシステム運用装置で利用者が作成した申請情報の中で他の利用者に否認処理されたデータを申請情報データベースから抽出する工程と、利用者端末で否認理由をもとに申請情報を修正したときに、セキュリティマネジメントシステム運用装置で申請情報データベースに修正後の申請概要および申請内容を登録する工程と、利用者端末で申請情報の修正後に申請を実行したときに、セキュリティマネジメントシステム運用装置で利用者データベースを参照し申請者の申請依頼者を抽出し、申請依頼者の電子メールアドレス宛てに申請依頼メールを送信する工程と、利用者端末で申請依頼メールを受信後にセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程とを含むことを特徴とする。
【００２８】
さらに、本発明のセキュリティマネジメントサービス提供方法は、前記利用者マスタの登録，更新，削除時の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内の利用者マスタを選択後に新規会員の登録を選択したときに、セキュリティマネジメントシステム運用装置で新規登録の場合は利用者データベースに利用者ＩＤ，パスワード，利用者名，電子メールアドレス，利用者所属部門コード，利用者職制，および申請依頼者設定の各項目を新規登録する工程と、運用管理者端末で運用管理者コーナ内の利用者マスタを選択後に既存利用者の利用者マスタの修正を選択したときに、セキュリティマネジメントシステム運用装置で利用者ＩＤ，パスワード等の項目を修正することにより利用者データベースが更新される工程と、運用管理者端末で運用管理者コーナ内の利用者マスタを選択後に既存利用者の利用者マスタの削除を選択したときに、セキュリティマネジメントシステム運用装置で削除対象となる利用者ＩＤを指定して削除処理を行うことにより削除した利用者のすべての登録項目が利用者データベースから削除される工程とを含むことを特徴とする。
【００２９】
さらにまた、本発明のセキュリティマネジメントサービス提供方法は、前記セキュリティガイドラインの策定の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内のセキュリティガイドラインを選択し利用するセキュリティガイドラインの雛形を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインの雛形をセキュリティガイドラインデータベースから抽出する工程と、運用管理者端末でセキュリティガイドラインの雛形をもとにセキュリティガイドラインの作成に着手する工程と、運用管理者端末であらかじめ用意されているヒアリングシートを記入し電子メールに添付して会員制サービス提供者に送信したときに、会員制サービス提供者端末でヒアリングシートに基づきセキュリティガイドラインの雛形の修正内容をアドバイスする工程と、運用管理者端末でセキュリティガイドラインの作成終了後に既にセキュリティガイドラインの雛形上で登録されている対応業種，規模，用途，および検索用キーワードを必要であれば修正し新規登録を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインデータベースに対応業種，対応企業／団体規模，用途，キーワード，およびセキュリティガイドラインを登録する工程と、運用管理者端末でセキュリティガイドラインの修正を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインデータベースからログインした運用管理者が作成したセキュリティガイドラインを抽出する工程と、運用管理者端末でセキュリティガイドラインの修正後にセキュリティガイドラインの修正を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインデータベースに修正後の内容を更新する工程とを含むことを特徴とする。
【００３０】
また、本発明のセキュリティマネジメントサービス提供方法は、前記申請フォームの作成の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内の申請フォームを選択後に新規フォームを画面上で作成したときに、セキュリティマネジメントシステム運用装置で新規登録の場合は申請フォームを申請フォームデータベースに新規登録する工程と、運用管理者端末で運用管理者コーナ内の申請フォームを選択後に申請フォームの修正または削除を画面上で選択したときに、セキュリティマネジメントシステム運用装置で申請フォームデータベースからログインした運用管理者が作成した申請フォームを抽出する工程と、運用管理者端末で申請フォームの修正後に申請フォームの修正を選択したときに、セキュリティマネジメントシステム運用装置で申請フォームデータベースに修正後の内容を更新する工程とを含むことを特徴とする。
【００３１】
さらに、本発明のセキュリティマネジメントサービス提供方法は、前記ワークフロー滞留監視機能の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内のワークフロー滞留監視を選択したときに、セキュリティマネジメントシステム運用装置で運用管理者が所属する会員におけるワークフローの滞留状況を集計する工程と、運用管理者端末で集計されたワークフローの滞留状況をチェックし、ワークフローが滞留している部門の部門長宛てに電子メールで処理の促進を督促したときに、利用者端末で運用管理者から自部門のワークフローの滞留状況の報告を電子メールで運用管理者とやりとりする工程とを含むことを特徴とする。
【００３２】
さらにまた、本発明のセキュリティマネジメントサービス提供方法は、前記履歴参照機能の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内の履歴参照を選択後にチェックする部門を選択したときに、セキュリティマネジメントシステム運用装置で選択された部門の履歴のみを履歴データベースから抽出する工程と、運用管理者端末で抽出された履歴情報から参照したいデータを選択し参照する工程とを含むことを特徴とする。
【００３３】
また、本発明のセキュリティマネジメントサービス提供方法は、前記会員マスタ登録・更新・削除機能の処理が、会員制サービス提供者端末でセキュリティマネジメントシステム運用装置上のメンテナンス機能にアクセスし会員マスタを選択したときに、セキュリティマネジメントシステム運用装置で新規登録の場合は会員データベースに企業／団体名，住所，ＴＥＬ／ＦＡＸ，運用管理者ＩＤ，運用管理者パスワード，および会員制サービス利用形態を新規登録する工程と、会員制サービス提供者端末で会員マスタを選択後に会員マスタの修正を選択したときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤ，運用管理者パスワード等の項目の修正により会員データベースが更新される工程と、会員制サービス提供者端末で会員マスタを選択後に会員マスタの削除を選択したときに、セキュリティマネジメントシステム運用装置で削除対象となる運用管理者ＩＤを指定して削除処理を行うことにより削除した会員のすべての登録項目が会員データベースから削除される工程とを含むことを特徴とする。
【００３４】
さらに、本発明のセキュリティマネジメントサービス提供方法は、前記セキュリティガイドライン雛形登録・修正・削除機能の処理が、会員制サービス提供者端末でセキュリティマネジメントシステム運用装置上のメンテナンス機能にアクセスしセキュリティガイドラインを選択したときに、セキュリティマネジメントシステム運用装置で新規登録の場合はセキュリティガイドラインデータベースに対応業種，対応する企業の規模，用途，検索用キーワード，およびセキュリティガイドラインの雛形を登録する工程と、会員制サービス提供者端末でセキュリティガイドラインを選択後にセキュリティガイドラインの雛形の修正を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインの雛形の内容等の項目の修正によりセキュリティガイドラインデータベースが更新される工程と、会員制サービス提供者端末でセキュリティガイドラインを選択後にセキュリティガイドラインの雛形の削除を選択したときに、セキュリティマネジメントシステム運用装置で削除対象となるセキュリティガイドラインの雛形を指定して削除処理を行うことにより削除したセキュリティガイドラインの雛形に付随したすべての登録項目がセキュリティガイドラインデータベースから削除される工程とを含むことを特徴とする。
【００３５】
さらにまた、本発明のセキュリティマネジメントサービス提供方法は、前記利用状況参照機能の処理が、会員制サービス提供者端末でセキュリティマネジメントシステム運用装置上のメンテナンス機能にアクセスし利用状況ログファイルを選択したときに、セキュリティマネジメントシステム運用装置で契約した会員ごとに蓄積された利用状況ログファイルを抽出する工程と、会員制サービス提供者端末で抽出した利用状況ログファイルに対し自動集計を選択したときに、セキュリティマネジメントシステム運用装置で日，週，月単位の利用時間合計や最も利用している時間帯の集計等を行い表示する工程とを含むことを特徴とする。
【００３６】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【００３７】
［第１の実施の形態］
図１を参照すると、本発明の第１の実施の形態に係るセキュリティマネジメントシステムは、セキュリティマネジメントシステム運用装置（以下、ＩＳＭＳ運用装置と記載する）１００と、利用者端末２００と、運用管理者端末３００と、会員制サービス提供者端末４００と、これらを相互に接続するインターネット等のネットワーク５００とから、その主要部が構成されている。
【００３８】
本実施の形態に係るセキュリティマネジメントシステムの利用者は、大きく分けて会員制サービスを提供する会員制サービス提供者と、会員制サービスを契約した会員（企業または団体）とに分けられる。上記会員内には、自らが所属する企業または団体のシステム運用全般を管理する運用管理者（一般的には情報システム部門）と、企業または団体の組織内において会員制サービス提供者が提供する機能を利用する利用者Ａおよび利用者Ｂとの３者が存在する（３者が承認階層によって増える場合もある）。利用者Ａは利用者端末Ａを、利用者Ｂは利用者端末Ｂを利用し、利用者Ａと利用者Ｂとの関係は企業または団体内組織における申請者（部下）と承認者（上司）との関係にある。
【００３９】
ＩＳＭＳ運用装置１００は、ネットワーク５００上でセキュリティマネジメントシステムの運用を可能にするための装置で、ワークステーション，サーバ等の情報処理装置によって構成される。
【００４０】
図２を参照すると、ＩＳＭＳ運用装置１００は、利用者機能である申請依頼処理機能１１１と、運用管理者機能である利用者マスタ登録・更新・削除機能１１２，セキュリティガイドライン策定機能１１３，申請フォーム作成機能１１４，ワークフロー滞留監視機能１１５，および履歴参照機能１１６と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能１１７，セキュリティガイドライン雛形登録・修正・削除機能１１８，および利用状況参照機能１１９と、利用者が申請したデータを申請情報として登録する申請情報データベース１２１と、申請情報を履歴として登録する履歴データベース１２２と、運用管理者が利用者ＩＤ（ＩＤｅｎｔｉｆｉｃａｔｉｏｎ），パスワード，社員情報などを登録する利用者データベース１２３と、組織情報，承認権限情報などを登録する組織データベース１２４と、申請フォームを登録する申請フォームデータベース１２５と、会員制サービス提供者が会員情報を登録する会員データベース１２６と、ヒアリングシートおよびセキュリティガイドラインを登録するセキュリティガイドラインデータベース１２７とを有する。なお、その他、特には図示しなかったが、会員単位に毎月の利用請求額を計算し請求書を発行する請求額計算・請求書発行機能等がＩＳＭＳ運用装置１００に含まれている。
【００４１】
申請情報データベース１２１は、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する利用者Ａ（一次申請者）が利用者Ｘ（最終承認者）に対して利用者Ａ所属部門におけるセキュリティマネジメントに必要な各種作業（パーソナルコンピュータ内ソフトウェアのバージョン情報チェックやパーソナルコンピュータのウイルスチェック等）の状況を報告する際に利用するデータベースである。ここでは、利用者Ａ所属部門内に最終承認者が利用者Ｂという２階層の承認階層を想定して説明しているが、利用者データベース１２３および組織データベース１２４の設定によっては３階層以上の承認階層の設定も可能である。
【００４２】
利用者Ａが申請登録したデータは、上位承認者（利用者Ａおよび利用者Ｂしか存在しない場合は利用者Ｂ）が否認処理しない限りは利用者Ａは修正できない（利用者Ａ，Ｂ，Ｃが存在する場合は、利用者Ｂは利用者Ａに対する承認および否認権限とデータ修正権限とを有し、利用者Ｃは利用者Ｂに対する承認および否認権限とデータ修正権限とを有する）。申請データを承認者が否認する場合は、必ず否認理由を登録することとし、申請者は否認理由を参照の上、下位申請者に否認として差し戻すか、その場で内容修正して再度、承認者宛に申請することになる。申請データは、最終承認者によって承認されて始めて当該部門の申請情報として正式に運用管理者宛に通知され全社情報として扱われる。
【００４３】
申請情報データベース１２１のレコードは、申請日（最新の申請日），申請者ＩＤ（申請者の利用者ＩＤ），申請者所属部門コード，申請フォーム区分（申請フォームデータベース１２５上の区分番号），申請概要（５０字程度の概要），申請内容（最終承認者に報告した内容），状態フラグ（各申請データに対する未申請，承認，否認の状態および滞留状況），否認日（申請データに対して否認処理を行った日）および否認理由，ならびに承認日および承認者（最終承認まで複数の承認がある場合は、それぞれの承認日および承認者）の各フィールドからなる。
【００４４】
履歴データベース１２２は、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する利用者Ｘが運用管理者宛てに申請した申請情報の履歴を登録するデータベースである。
【００４５】
履歴データベース１２２のレコードは、申請者所属部門コード，申請者ＩＤ（申請者の利用者ＩＤ），申請者／一次承認者所属部門コード，申請者／一次承認者ＩＤ（申請者／一次承認者の利用者ＩＤ），最終承認者所属部門コード，最終承認者ＩＤ（最終承認者の利用者ＩＤ），申請フォーム区分，申請概要，申請内容，および報告日（利用者Ｘが承認し運用管理者に報告した日。利用者Ｘの承認日と同じ日付）の各フィールドからなる。なお、承認階層が３階層以上の場合は、それに対応して承認者所属部門コードおよび承認者ＩＤが増えることになる。
【００４６】
利用者データベース１２３は、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する企業または団体の中の利用者を登録，修正，削除する時に使用するデータベースである。ちなみに、運用管理者自らのＩＤとシステムを利用するすべての利用者のＩＤとは、利用者データベース１２３に登録されていることがシステム利用における必須条件となる。
【００４７】
利用者データベース１２３のレコードは、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，運用管理者ＩＤ（運用管理者のＩＤ），利用者ＩＤ（申請者／一次承認者／最終承認者等の運用管理者以外の利用者向けＩＤ），パスワード（運用管理者および利用者のシステム利用時のパスワード。初回は運用管理者が登録、それ以降の変更は自らが行う），利用者名，利用者所属部門コード，電子メールアドレス，利用者職制（主任，課長，部長等），および申請依頼者設定（だれが申請承認を行うのかを設定）の各フィールドからなる。
【００４８】
組織データベース１２４は、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する企業または団体の中の組織情報を登録，修正，削除する時に使用するデータベースである。システムを利用する利用者の組織情報は、所属部門コードおよび所属部門名としてすべて組織データベース１２４に登録されていなければならない。また、下部組織に対する上位組織の設定等も、組織データベース１２４上で登録される。
【００４９】
組織データベース１２４のレコードは、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，部門コード，部門名，部門階層（下位に位置する部門の部門コード情報），および承認権限設定（例えば、Ａ部門の部長はＡ部門配下の課のすべてを承認対象とするなど）の各フィールドからなる。なお、承認権限は、設定された部門コードの下位に位置する部門コードに対してもすべて承認権限を持つものとする。
【００５０】
申請フォームデータベース１２５は、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する企業または団体の中で使用する申請フォームの雛形をメニューとして登録するデータベースである。システムを利用する利用者は、メニューとして登録された申請フォームを利用して、セキュリティマネジメントシステムの運用に必要な各種作業（パーソナルコンピュータ内ソフトウェアのバージョン情報チェックやパーソナルコンピュータのウイルスチェック等）の状況を承認者に申請（報告）する。また、新規申請フォームを登録機能を利用して申請フォームデータベース１２５に登録すると、申請フォーム区分というフォーム識別コードがシステム上で自動付与される。
【００５１】
申請フォームデータベース１２５のレコードは、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，申請フォーム区分（システムで自動付与），および申請フォーム（登録した申請フォームがセキュリティアップデート，セキュリティ監査等のメニューになる）の各フィールドからなる。
【００５２】
会員データベース１２６は、会員制サービス提供者が会員制サービスを契約した会員の会員情報を登録するデータベースである。運用管理者は、会員データベース１２６に運用管理者ＩＤおよびパスワードの登録が無いと、運用管理者向け機能のある運用管理者コーナへのログインができない。
【００５３】
会員データベース１２６のレコードは、登録日または最終更新日，企業／団体名，住所，ＴＥＬ／ＦＡＸ，運用管理者ＩＤ（複数付与可能），運用管理者パスワード（上記に対応し複数付与が可能），およびサービス利用形態（この利用形態により月額の請求額が変わる）の各フィールドからなる。
【００５４】
セキュリティガイドラインデータベース１２７は、会員制サービス提供者が会員制サービスを契約した会員向けにセキュリティガイドライン策定支援向けサービスとしてセキュリティガイドラインの雛形および運用管理者が作成したセキュリティガイドラインを登録するデータベースである。セキュリティガイドラインデータベース１２７は、業種，企業規模，用途によってカテゴライズしてセキュリティガイドラインの雛形を登録でき、検索対応としてキーワード登録も可能な構造である。
【００５５】
セキュリティガイドラインデータベース１２７のレコードは、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，対応業種，対応企業／団体規模，用途，キーワード（検索用キーワード、複数登録化），およびセキュリティガイドラインの各フィールドからなる。なお、会員制サービス提供者が登録したセキュリティガイドラインの雛形には、運用管理者ＩＤ欄に会員制サービス提供者固有のＩＤが登録される。
【００５６】
利用者端末２００は、ネットワーク５００上でセキュリティガイドラインに沿ったセキュリティマネジメントを行う利用者により使用される、パーソナルコンピュータ等の情報処理装置である。
【００５７】
運用管理者端末３００は、ネットワーク５００上でセキュリティマネジメントシステムの運用管理者によって使用される、パーソナルコンピュータ等の情報処理装置である。
【００５８】
会員制サービス提供者端末４００は、ネットワーク５００上で会員制サービス提供者によって使用される、パーソナルコンピュータ等の情報処理装置である。
【００５９】
図３を参照すると、利用者端末ＡおよびＢは、運用管理者から発行された利用者ＩＤおよびパスワードを用いネットワーク５００上を経由してセキュリティマネジメントシステム上の会員コーナにログインできる。利用者端末Ａは、会員限定コーナにログイン後、セキュリティアップデート，セキュリティ監査，セキュリティ簡易アセスメント等の申請依頼処理機能１１１を利用し、事前にマスタ上で設定された上司が利用する利用者端末Ｂに対してワークフロー機能を利用して申請を行うことができる。利用者端末Ａが申請すると、承認依頼が利用者端末Ｂに電子メールで届き、その通知により利用者端末Ｂは会員コーナにログイン後、申請内容について承認または否認を行うことができる。
【００６０】
図４を参照すると、運用管理者端末３００は、会員制サービス提供者から発行された運用管理者ＩＤおよびパスワードを用いネットワーク５００上を経由してセキュリティマネジメントシステム上の運用管理者コーナにログインできる。運用管理者端末３００は、運用管理者用として利用者マスタ（利用者ＩＤ，パスワード，組織情報，社員情報，電子メールアドレス，承認権限情報）登録・変更・削除機能１１２と、セキュリティガイドライン策定機能１１３と、申請フォーム登録・変更・削除機能１１４と、ワークフロー滞留監視機能１１５と、過去のセキュリティチェック状況を参照できる履歴参照機能１１６とを利用することができる。
【００６１】
図５を参照すると、会員制サービス提供者端末４００は、会員情報，企業名，住所，ＴＥＬ，運用管理者端末向けＩＤおよびパスワード等を登録，変更，削除する会員マスタ登録・更新・削除機能１１７と、セキュリティガイドライン策定のためのヒアリングシートを登録，変更，削除したりセキュリティガイドラインを登録，変更，削除したりセキュリティガイドライン策定に関する問い合わせに対して回答を返したりするセキュリティガイドライン雛形登録・修正・削除機能１１８と、契約した会員単位のサービス利用状況を参照する利用状況参照機能１１９とを利用することができる。
【００６２】
次に、このように構成された第１の実施の形態に係るセキュリティマネジメントシステムの動作について、図１ないし図５および図６ないし図１６のフローチャートを参照して詳細に説明する。
【００６３】
（１） 申請依頼処理機能１１１の処理（図６〜図８参照）
【００６４】
利用者端末Ａで、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＡ１０１）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ１０１）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ１０２）。
【００６５】
利用者端末Ａで、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＡ１０２）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ１０３）、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ１０４）。
【００６６】
利用者端末Ａで、会員コーナ内の申請フォームメニューを選択し利用する申請フォーム区分を選択すると（ステップＡ１０３）、ＩＳＭＳ運用装置１００では、選択された申請フォーム区分の申請フォームを申請フォームデータベース１２５から抽出する（ステップＣ１０５）。
【００６７】
利用者端末Ａで、抽出された申請フォームに申請情報を登録すると（ステップＡ１０４）、ＩＳＭＳ運用装置１００では、申請情報データベース１２１に申請概要および申請内容を登録（この時、申請日，申請者ＩＤ，申請者所属部門コード，および申請フォーム区分も同時に登録）する（ステップＣ１０６）。
【００６８】
利用者端末Ａで、申請情報の登録後に申請ボタンをクリックすると（ステップＡ１０５）、ＩＳＭＳ運用装置１００では、利用者データベース１２３を参照し申請者の申請依頼者を抽出し（ステップＣ１０７）、申請依頼者の電子メールアドレス宛てに申請依頼メールを送信する（ステップＣ１０８）。
【００６９】
利用者端末Ｂで、申請依頼メールを受信後、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＢ１０１）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ１０９）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ１１０）。
【００７０】
利用者端末Ｂで、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＢ１０２）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ１１１）、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ１１２）。
【００７１】
利用者端末Ｂで、会員コーナ内の申請データ承認メニューを選択すると（ステップＢ１０３）、ＩＳＭＳ運用装置１００では、組織データベース１２４を参照し承認権限設定情報を抽出し（ステップＣ１１３）、申請情報データベース１２１を参照し抽出された承認権限設定情報から承認可能な申請情報を抽出する（ステップＣ１１４）。
【００７２】
利用者端末Ｂで、抽出された申請情報を承認すると（ステップＢ１０４）、ＩＳＭＳ運用装置１００では、申請情報データベース１２１内の申請情報に承認フラグ，承認日および承認者を登録し（ステップＣ１１５）、履歴データベース１２２にも承認したデータを登録（登録する項目は履歴データベース１２２に存在する項目すべて）する（ステップＣ１１６）。
【００７３】
一方、利用者端末Ｂで、抽出された申請情報を否認し否認理由を登録すると（ステップＢ１０５）、ＩＳＭＳ運用装置１００では、申請情報データベース１２１内の申請情報に否認フラグ，否認日および否認理由を登録し（ステップＣ１１７）、申請依頼者の電子メールアドレス向けに否認通知メールを送信する（ステップＣ１１８）。
【００７４】
利用者端末Ａで、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＡ１０６）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ１１９）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ１２０）。
【００７５】
利用者端末Ａで、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＡ１０７）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ１２１）、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ１２２）。
【００７６】
利用者端末Ａで、会員コーナ内の申請否認を選択すると（ステップＡ１０８）、ＩＳＭＳ運用装置１００では、利用者Ａが作成した申請情報の中で利用者Ｂに否認処理されたデータを申請情報データベース１２１から抽出する（ステップＣ１２３）。
【００７７】
利用者端末Ａで、否認理由をもとに申請情報を修正すると（ステップＡ１０９）、ＩＳＭＳ運用装置１００では、申請情報データベース１２１に修正後の申請概要および申請内容を登録（この時、申請日の更新も自動で行われる）する（ステップＣ１２４）。
【００７８】
利用者端末Ａで、申請情報の修正後に申請を実行すると（ステップＡ１１０）、ＩＳＭＳ運用装置１００では、利用者データベース１２３を参照し申請者の申請依頼者を抽出し（ステップＣ１２５）、申請依頼者の電子メールアドレス宛てに申請依頼メールを送信する（ステップＣ１２６）。
【００７９】
利用者端末Ｂで、申請依頼メールを受信後、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＢ１０６）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ１０９）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ１１０）。
【００８０】
このように、第１の実施の形態に係るセキュリティマネジメントシステムによれば、利用者は、運用管理者から発行されたＩＤおよびパスワードを利用してセキュリティマネジメントシステムにログインできる。
【００８１】
また、利用者（部下）は、ログイン後のメニューからセキュリティアップデート，セキュリティ監査，セキュリティ簡易アセスメント等の申請を選択して利用できる。
【００８２】
さらに、利用者（部下）がセキュリティマネジメントシステムから申請を行うと、申請した利用者の上司宛に承認依頼が電子メールで届き、その通知により利用者（上司）は、会員コーナにログイン後、申請内容について承認または否認を行うことができる。
【００８３】
（２） 運用管理者機能の処理（図９〜図１３参照）
【００８４】
▲１▼利用者マスタ登録・更新・削除機能１１２の処理（図９参照）
【００８５】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＤ１０１）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ２０１）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ２０２）。
【００８６】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＤ１０２）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ２０３）、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ２０４）。
【００８７】
運用管理者端末３００で、運用管理者コーナ内の利用者マスタを選択後、新規利用者の登録を選択すると（ステップＤ１０３）、ＩＳＭＳ運用装置１００では、新規登録の場合は利用者データベース１２３に利用者ＩＤ，パスワード，利用者名，電子メールアドレス，利用者所属部門コード，利用者職制，および申請依頼者設定の各項目が新規登録（この時、登録日および登録した運用管理者の運用管理者ＩＤは自動登録となる）される（ステップＣ２０５）。
【００８８】
運用管理者端末３００で、運用管理者コーナ内の利用者マスタを選択後、既存利用者の利用者マスタの修正を選択すると（ステップＤ１０４）、ＩＳＭＳ運用装置１００では、利用者ＩＤ，パスワード等の項目の修正により利用者データベース１２３が更新（この時、更新日および更新した運用管理者の運用管理者ＩＤは自動登録となる）される（ステップＣ２０６）。
【００８９】
運用管理者端末３００で、運用管理者コーナ内の利用者マスタを選択後、既存利用者の利用者マスタの削除を選択すると（ステップＤ１０５）、ＩＳＭＳ運用装置１００では、削除対象となる利用者ＩＤを指定した削除処理により削除した利用者のすべての登録項目が利用者データベース１２３から削除される（ステップＣ２０７）。
【００９０】
▲２▼セキュリティガイドライン策定機能１１３の処理（図１０参照）
【００９１】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＤ２０１）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ３０１）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ３０２）。
【００９２】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＤ２０２）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ３０３）、存在すれば自部門のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ３０４）。
【００９３】
運用管理者端末３００で、運用管理者コーナ内のセキュリティガイドラインを選択し利用するセキュリティガイドラインの雛形を選択すると（ステップＤ２０２）、ＩＳＭＳ運用装置１００では、選択されたセキュリティガイドラインの雛形をセキュリティガイドラインデータベース１２７から抽出する（ステップＣ３０５）。
【００９４】
運用管理者端末３００で、抽出されたセキュリティガイドラインの雛形をもとにセキュリティガイドラインの作成に着手する（ステップＤ２０４）。
【００９５】
運用管理者端末３００で、あらかじめ用意されているヒアリングシートを記入し電子メールに添付して会員制サービス提供者に送信（この時、作成に関わる質問があればそれも電子メールで会員制サービス提供者とやりとり）すると（ステップＤ２０５）、会員制サービス提供者端末２００では、ヒアリングシートに基づきセキュリティガイドラインの雛形の修正内容をアドバイス（質問が来ている場合それに対する回答も含めて電子メールで運用管理者とやりとり）する（ステップＥ１０１）。
【００９６】
運用管理者端末３００で、セキュリティガイドラインの作成終了後、既にセキュリティガイドラインの雛形上で登録されている対応業種，規模，用途，および検索用キーワードを必要であれば修正し新規登録を選択すると（ステップＤ２０６）、ＩＳＭＳ運用装置１００では、セキュリティガイドラインデータベース１２７に対応業種，対応企業／団体規模，用途，キーワード，およびセキュリティガイドラインを登録（この時、登録日および登録した運用管理者のＩＤも自動登録）する（ステップＣ３０６）。
【００９７】
運用管理者端末３００で、セキュリティガイドラインの修正を選択すると（ステップＤ２０７）、ＩＳＭＳ運用装置１００では、セキュリティガイドラインデータベース１２７からログインした運用管理者が作成したセキュリティガイドラインを抽出する（ステップＣ３０７）。
【００９８】
運用管理者端末３００で、セキュリティガイドラインの修正後、セキュリティガイドラインの修正を選択すると（ステップＤ２０８）、ＩＳＭＳ運用装置１００では、セキュリティガイドラインデータベース１２７に修正後の内容を更新（この時、更新日と更新した運用管理者のＩＤも自動更新）する（ステップＣ３０８）。
【００９９】
▲３▼申請フォーム作成機能１１４の処理（図１１参照）
【０１００】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＤ３０１）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ４０１）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ４０２）。
【０１０１】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＤ３０２）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ４０３）、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ４０４）。
【０１０２】
運用管理者端末３００で、運用管理者コーナ内の申請フォームを選択後、新規フォームを画面上で作成すると（ステップＤ３０４）、ＩＳＭＳ運用装置１００では、新規登録の場合は申請フォームデータベース１２５に申請フォームが新規登録（この時、登録日，登録した運用管理者の運用管理者ＩＤ，および申請フォーム区分は自動登録）される（ステップＣ４０５）。
【０１０３】
運用管理者端末３００で、運用管理者コーナ内の申請フォームを選択後、申請フォームの修正または削除を画面上で選択すると（ステップＤ３０４）、ＩＳＭＳ運用装置１００では、申請フォームデータベース１２５からログインした運用管理者が作成した申請フォームを抽出する（ステップＣ４０６）。
【０１０４】
運用管理者端末３００で、申請フォームの修正後、申請フォームの修正を選択（削除の場合は削除対象の申請フォームを選択）すると（ステップＤ３０４）、ＩＳＭＳ運用装置１００では、申請フォームデータベース１２５に修正後の内容を更新（この時、更新日および更新した運用管理者のＩＤも自動更新。削除の場合は削除対象となっている申請フォームが申請フォームデータベース１２５から削除）する（ステップＣ４０７）。
【０１０５】
▲４▼ワークフロー滞留監視機能１１５の処理（図１２参照）
【０１０６】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＤ４０１）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ５０１）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ５０２）。
【０１０７】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＤ４０２）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ５０３）、存在すれば自部門のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ５０４）。
【０１０８】
運用管理者端末３００で、運用管理者コーナ内のワークフロー滞留監視を選択すると（ステップＤ４０３）、ＩＳＭＳ運用装置１００では、運用管理者が所属する企業または団体におけるワークフローの滞留状況を集計する（ステップＣ５０５）。
【０１０９】
運用管理者端末３００で、集計されたワークフローの滞留状況をチェックし、滞留している部門の部門長宛てに電子メールで処理の促進を督促すると（ステップＤ４０４）、利用者端末Ｂでは、運用管理者から自部門のワークフローの滞留状況の報告を電子メールで運用管理者とやりとりする（ステップＢ２０１）。
【０１１０】
▲５▼履歴参照機能１１６の処理（図１３参照）
【０１１１】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインすると（ステップＤ５０１）、ＩＳＭＳ運用装置１００では、入力された運用管理者ＩＤおよびパスワードが会員データベース１２６に存在するかどうかをチェック（企業／団体チェック）し（ステップＣ６０１）、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ６０２）。
【０１１２】
運用管理者端末３００で、ＩＳＭＳ運用装置１００上の自社コーナ内の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインすると（ステップＤ５０２）、ＩＳＭＳ運用装置１００では、入力された利用者ＩＤおよびパスワードが利用者データベース１２３に存在するかどうかをチェック（利用者チェック）し（ステップＣ６０３）、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする（ステップＣ６０４）。
【０１１３】
運用管理者端末３００で、運用管理者コーナ内の履歴参照を選択後、チェックする部門を画面上で選択すると（ステップＤ５０３）、ＩＳＭＳ運用装置１００では、選択された部門の履歴のみを履歴データベース１２２から抽出する（ステップＣ６０５）。
【０１１４】
運用管理者端末３００では、抽出された履歴情報から参照したいデータを選択し参照する（ステップＤ５０４）。
【０１１５】
このように、運用管理者は、会員制サービス提供者から発行されたＩＤおよびパスワードを利用しセキュリティマネジメントシステムにログインできる。
【０１１６】
また、運用管理者は、ログイン後のメニューからマスタ（利用者ＩＤ，パスワード，組織情報，社員情報，承認権限情報）の更新を選択し、システムを利用する利用者情報，組織情報，申請データの承認権限情報等を登録し利用者に対する利用者ＩＤおよびパスワードの発行を行う。
【０１１７】
さらに、運用管理者は、ログイン後のメニューからセキュリティガイドライン策定のためのメニューを選択し、ネットワーク５００を通して会員制サービス提供者との間でセキュリティガイドラインの策定を行う。
【０１１８】
さらにまた、会員制サービス提供者は、セキュリティガイドライン策定に関する運用管理者からの質問等に対してネットワーク５００を介して回答を行うことができる。
【０１１９】
また、運用管理者は、ログイン後のメニューから申請フォームの更新機能を選択し、自社のセキュリティマネジメントシステムの運用に必要な申請フォームの登録を行う。
【０１２０】
さらに、運用管理者は、ログイン後のメニューからワークフローの滞留監視機能を選択し、セキュリティマネジメントシステムの運用が滞留している組織がないかどうかの監視を行うことができる。
【０１２１】
さらにまた、運用管理者は、ログイン後のメニューから希望する組織の過去のセキュリティチェック状況を参照行うことができる。
【０１２２】
（３） 会員制サービス提供者利用機能の処理（図１４〜図１６参照）
【０１２３】
▲１▼会員マスタ登録・更新・削除機能１１７の処理（図１４参照）
【０１２４】
会員制サービス提供者端末２００で、ＩＳＭＳ運用装置１００上のメンテナンス機能にアクセスし会員マスタを選択（メニューから会員マスタの新規登録を選択）すると（ステップＥ２０１）、ＩＳＭＳ運用装置１００では、新規登録の場合は会員データベース１２６に企業／団体名，住所，ＴＥＬ／ＦＡＸ，運用管理者ＩＤ，運用管理者パスワード，および会員制サービス利用形態を新規登録（この時、登録日および運用管理者向け運用管理者ＩＤは自動登録）する（ステップＣ７０１）。
【０１２５】
会員制サービス提供者端末２００で、会員マスタを選択後、会員マスタの修正を選択すると（ステップＥ２０２）、ＩＳＭＳ運用装置１００では、運用管理者ＩＤ，運用管理者パスワード等の項目の修正により会員データベース１２６が更新（この時、登録日が更新した日に自動更新）される（ステップＣ７０２）。
【０１２６】
会員制サービス提供者端末２００で、会員マスタを選択後、会員マスタの削除を選択すると（ステップＥ２０３）、ＩＳＭＳ運用装置１００では、削除対象となる運用管理者ＩＤを指定して削除処理を行うことにより削除した会員のすべての登録項目が会員データベース１２６から削除される（ステップＣ７０３）。
【０１２７】
▲２▼セキュリティガイドライン雛形登録・修正・削除機能１１８の処理（図１５参照）
【０１２８】
会員制サービス提供者端末２００で、ＩＳＭＳ運用装置１００上のメンテナンス機能にアクセスしセキュリティガイドライン（選択メニューからアクセスしセキュリティガイドラインの雛形の新規登録）を選択すると（ステップＥ３０１）、ＩＳＭＳ運用装置１００では、新規登録の場合はセキュリティガイドラインデータベース１２７に対応業種，対応する企業の規模，用途，検索用キーワード，およびセキュリティガイドラインの雛形を登録（この時、登録日および会員制サービス提供者向け運用管理者ＩＤは自動登録）する（ステップＣ８０１）。
【０１２９】
会員制サービス提供者端末２００で、セキュリティガイドラインを選択後、セキュリティガイドラインの雛形の修正を選択すると（ステップＥ３０２）、ＩＳＭＳ運用装置１００では、セキュリティガイドラインの雛形の内容等の項目の修正によりセキュリティガイドラインデータベース１２７が更新（この時、登録日が更新した日に自動更新）される（ステップＣ８０２）。
【０１３０】
会員制サービス提供者端末２００で、セキュリティガイドラインを選択後、セキュリティガイドラインの雛形の削除を選択すると（ステップＥ３０３）、ＩＳＭＳ運用装置１００では、削除対象となるセキュリティガイドラインの雛形を指定して削除処理を行うことにより削除したセキュリティガイドラインの雛形に付随したすべての登録項目がセキュリティガイドラインデータベース１２７から削除される（ステップＣ８０３）。
【０１３１】
▲３▼利用状況参照機能１１９の処理（図１６参照）
【０１３２】
会員制サービス提供者端末２００で、ＩＳＭＳ運用装置１００上のメンテナンス機能にアクセスし利用状況ログファイル（図示せず）を選択すると（ステップＥ４０１）、ＩＳＭＳ運用装置１００では、契約した会員ごとに蓄積された利用状況ログファイルを抽出する（ステップＣ９０１）。
【０１３３】
会員制サービス提供者端末２００で、抽出した利用状況ログファイルに対し自動集計を選択すると（ステップＥ４０２）、ＩＳＭＳ運用装置１００では、日，週，月単位の利用時間合計や最も利用している時間帯の集計等を行い表示する（ステップＣ９０２）。
【０１３４】
このように、会員制サービス提供者は、会員制サービスの契約を結んだ会員の会員情報を登録し、ＩＤおよびパスワードを発行することで会員制サービスの利用を可能とすることができる。
【０１３５】
また、会員制サービス提供者は、必要に応じてヒアリングシートやセキュリティガイドラインの更新を行うことができる。
【０１３６】
さらに、会員制サービス提供者は、会員制サービスを契約した会員の利用状況の参照を行うことができる。
【０１３７】
以上説明したように、第１の実施の形態によれば、セキュリティガイドラインの策定からセキュリティチェック等のセキュリティマネジメントシステムをネットワークを利用した会員制サービスとして安価な利用料で提供することができる。
【０１３８】
また、会員制サービスは、複数の会員が同一システムを利用できる仕組みとすることやセキュリティガイドライン策定の支援を顧客に直接訪問することなく、すべてネットワークを介して実現することで安価な利用料を実現できる。
【０１３９】
さらに、セキュリティガイドライン策定支援には、業種や規模別に作成されたヒアリングシートとセキュリティガイドラインデータベースとを利用し、策定までに要する時間の大幅短縮を実現できる。
【０１４０】
さらにまた、業種や規模別に作成されたセキュリティガイドラインデータベースを利用してセキュリティガイドラインを策定できることで、セキュリティガイドラインの質の低下や策定者の技能レベルに質が左右されることを防止することができる。
【０１４１】
また、会員制サービスを実現するシステムは、クライアントの機器にはインターネットブラウザと電子メールソフトのみあれば、その他の特別なソフトウェアをインストールすること無しに利用できる。
【０１４２】
さらに、会員制サービスを実現するシステムは、Ｗｅｂと電子メールを利用したワークフロー機能を有するため、セキュリティマネジメントシステムの運用効率化を実現することができる。
【０１４３】
［第２の実施の形態］
図１７は、本発明の第２の実施の形態に係るセキュリティマネジメントシステムの構成を示すブロック図である。本実施の形態に係るセキュリティマネジメントシステムは、図１に示した第１の実施の形態に係るセキュリティマネジメントシステムに対して、ＩＳＭＳ運用装置１００にセキュリティマネジメントプログラム１０００を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付してそれらの詳しい説明を省略する。
【０１４４】
セキュリティマネジメントプログラム１０００は、コンピュータでなるＩＳＭＳ運用装置１００に読み込まれ、ＩＳＭＳ運用装置１００の動作を、利用者機能である申請依頼処理機能１１１と、運用管理者機能である利用者マスタ登録・更新・削除機能１１２，セキュリティガイドライン策定機能１１３，申請フォーム作成機能１１４，ワークフロー滞留監視機能１１５，および履歴参照機能１１６と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能１１７，セキュリティガイドライン雛形登録・修正・削除機能１１８，および利用状況参照機能１１９と、申請情報データベース１２１と、履歴データベース１２２と、利用者データベース１２３と、組織データベース１２４と、申請フォームデータベース１２５と、会員データベース１２６と、セキュリティガイドラインデータベース１２７として制御する。セキュリティマネジメントプログラム１０００の制御によるＩＳＭＳ運用装置１００の動作は、第１の実施の形態におけるＩＳＭＳ運用装置１００の動作と全く同様になるので、その詳しい説明を割愛する。
【０１４５】
【発明の効果】
第１の効果は、セキュリティガイドラインの策定からセキュリティチェック等のセキュリティマネジメントシステムをネットワークを利用した会員制サービスとして安価な利用料で提供できることである。
【０１４６】
第２の効果は、会員制サービスが、複数の会員が同一システムを利用できる仕組みとすることやセキュリティガイドライン策定の支援を顧客に直接訪問することなくすべてネットワークを介して実現することで、安価な利用料で実現できることである。
【０１４７】
第３の効果は、セキュリティガイドライン策定支援には、業種や規模別に作成されたヒアリングシートとセキュリティガイドラインデータベースとを利用し、策定までに要する時間の大幅短縮を実現できることである。
【０１４８】
第４の効果は、業種や規模別に作成されたセキュリティガイドラインデータベースを利用してセキュリティガイドラインを策定できることで、セキュリティガイドラインの質の低下や策定者の技能レベルに質が左右されることを防止できることである。
【０１４９】
第５の効果は、会員制サービスを実現するシステムが、クライアントの機器にはインターネットブラウザと電子メールソフトのみあれば、その他の特別なソフトウェアをインストールすること無しに利用できることである。
【０１５０】
第６の効果は、会員制サービスを実現するシステムが、Ｗｅｂと電子メールを利用したワークフロー機能を有するため、セキュリティマネジメントシステムの運用効率化を実現できることである。
【図面の簡単な説明】
【図１】本発明の第１の実施の形態に係るセキュリティマネジメントシステムの構成を示すブロック図である。
【図２】図１中のＩＳＭＳ運用装置の構成を示すブロック図である。
【図３】第１の実施の形態に係るセキュリティマネジメントシステムにおける申請依頼時の動作を説明する図である。
【図４】第１の実施の形態に係るセキュリティマネジメントシステムにおける利用者マスタの登録，更新，削除時等の動作を説明する図である。
【図５】第１の実施の形態に係るセキュリティマネジメントシステムにおける会員マスタの登録，更新，削除時等の動作を説明する図である。
【図６】第１の実施の形態に係るセキュリティマネジメントシステムにおける申請依頼処理機能の処理の前部を示すフローチャートである。
【図７】第１の実施の形態に係るセキュリティマネジメントシステムにおける申請依頼処理機能の処理の中部を示すフローチャートである。
【図８】第１の実施の形態に係るセキュリティマネジメントシステムにおける申請依頼処理機能の処理の後部を示すフローチャートである。
【図９】第１の実施の形態に係るセキュリティマネジメントシステムにおける利用者マスタ登録・更新・削除機能の処理を示すフローチャートである。
【図１０】第１の実施の形態に係るセキュリティマネジメントシステムにおけるセキュリティガイドライン策定機能の処理を示すフローチャートである。
【図１１】第１の実施の形態に係るセキュリティマネジメントシステムにおける申請フォーム作成機能の処理を示すフローチャートである。
【図１２】第１の実施の形態に係るセキュリティマネジメントシステムにおけるワークフロー滞留監視機能の処理を示すフローチャートである。
【図１３】第１の実施の形態に係るセキュリティマネジメントシステムにおける履歴参照機能の処理を示すフローチャートである。
【図１４】第１の実施の形態に係るセキュリティマネジメントシステムにおける会員マスタ登録・更新・削除機能の処理を示すフローチャートである。
【図１５】第１の実施の形態に係るセキュリティマネジメントシステムにおけるセキュリティガイドライン雛形登録・更新・削除機能の処理を示すフローチャートである。
【図１６】第１の実施の形態に係るセキュリティマネジメントシステムにおける利用状況参照機能の処理を示すフローチャートである。
【図１７】本発明の第２の実施の形態に係るセキュリティマネジメントシステムの構成を示すブロック図である。
【符号の説明】
１００ セキュリティマネジメントシステム運用装置（ＩＳＭＳ運用装置）
申請依頼処理機能１１１
１１２ 利用者マスタ登録・更新・削除機能
１１３ セキュリティガイドライン策定機能
１１４ 申請フォーム作成機能
１１５ ワークフロー滞留監視機能
１１６ 履歴参照機能
１１７ 会員マスタ登録・更新・削除機能
１１８ セキュリティガイドライン雛形登録・修正・削除機能
１１９ 利用状況参照機能
１２１ 申請情報データベース
１２２ 履歴データベース
１２３ 利用者データベース
１２４ 組織データベース
１２５ 申請フォームデータベース
１２６ 会員データベース
１２７ セキュリティガイドラインデータベース
２００ 利用者端末
３００ 運用管理者端末
４００ 会員制サービス提供者端末
５００ ネットワーク
１０００ セキュリティマネジメントプログラム[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a security management system and a security management service providing method, and more particularly to a security management system and a security management service providing method as a business support business.
[0002]
[Prior art]
In a conventional security management system, a security / audit program database that associates information security policies and target systems with management / audit programs is established, and management / audit corresponding to the information security policies specified by the operator and the scope of the target systems is established. An audit program is searched and automatically executed (for example, see Patent Document 1).
[0003]
Another example of the conventional security management system includes a policy database, an information security policy, a security management / audit program database in which a target system is associated with a management / audit program, a policy / setting information mapping table, and setting information storage. A database is provided, and a management / auditing program corresponding to the information policy specified by the operator and the range of the target system is searched and automatically executed (for example, see Patent Document 2).
[0004]
[Patent Document 1]
JP 2001-273388 A (page 6-7, FIG. 2)
[Patent Document 2]
JP 2002-247033 A (pages 6-7, FIG. 2)
[0005]
[Problems to be solved by the invention]
The above-described conventional security management system has the following three problems.
[0006]
The first problem is that it takes a lot of time and cost (consultation cost, IT (Information Technology) investment, personnel training, etc.) for a company to introduce a security management system. In addition, the maintenance and management of the system also requires operation personnel with a lot of cost and expertise. This means that the introduction of the security management system to enterprises will be spread only to some large enterprises, which is a major factor that hinders the improvement of the security response status of small and medium enterprises, which are the majority of enterprises.
[0007]
The second problem is that even if the security management system is introduced, the operation is not performed sufficiently because it is not linked with the business workflow.
[0008]
The third problem is that the quality of the security guideline depends on the skill level of the formulator, and a measure for maintaining a certain level of quality is required.
[0009]
A first object of the present invention is to provide a security management system and a security management service providing method which realize functions such as security guideline formulation to security check as a membership service using a network as part of a management support business. To provide.
[0010]
Also, a second object of the present invention is to provide a system in which a plurality of members can use the same system by a membership service, and to assist in formulating security guidelines without directly visiting a member who is a customer. It is an object of the present invention to provide a security management system and a security management service providing method which can be realized through the Internet.
[0011]
Further, a third object of the present invention is to use a hearing sheet and a security guideline database created for each type of business and scale to support the creation of security guidelines, thereby realizing a significant reduction in the time required for formulation. It is to provide a security management system and a security management service providing method.
[0012]
Still further, a fourth object of the present invention is to be able to formulate security guidelines using a security guideline database created for each type of business or scale, so that the quality is affected by the deterioration of the quality of the security guidelines and the skill level of the formulator. It is an object of the present invention to provide a security management system and a security management service providing method which prevent the security management system from performing security management.
[0013]
A fifth object of the present invention is to provide a security management system and a security management service which can be used without installing other special software if only a client device has an Internet browser and e-mail software. It is to provide a method.
[0014]
Further, a sixth object of the present invention is to provide a security management system and a method for providing a security management service, which have a workflow function using a Web and an e-mail, thereby realizing efficient operation.
[0015]
[Means for Solving the Problems]
The security management system of the present invention operates a user terminal used by a user who uses the security management system among members who subscribe to the membership service, and operates the security management system among members who subscribe to the membership service An operation manager terminal used by an operation manager who manages and manages, a membership service provider terminal used by a membership service provider of the security management system, the user terminal, the operation manager terminal, and the A security management system operation device that enables operation of the security management system on a network by access from a membership service provider terminal.
[0016]
Further, in the security management system of the present invention, the security management system operation device includes an application request processing function as a user function, a user master registration / update / deletion function as an operation manager function, a security guideline formulation function, Application form creation function, workflow retention monitoring function, and history reference function, membership master service provider function of member master registration / update / deletion function, security guideline template registration / modification / deletion function, and usage status reference function Application information used by the primary applicant who uses the security management system among members who have subscribed to the membership service to report the status of various tasks required for security management in the department to which the primary applicant belongs to the final approver Database and members A history database that registers the history of application information that the final approver who uses the security management system applied to the operation manager, and the member to which the operation manager who operates and manages the security management system among the members belongs A user database used when registering, modifying, and deleting users in the organization, an organization database used when the operation manager registers, modifying, and deleting organization information in the members to which the user belongs, and operation management An application form database that registers as a menu the application form templates used by members in their own members, a membership database in which the membership service provider registers the member's member information, and a security in which the membership service provider secures Register guideline templates and security guidelines created by the operation administrator Characterized in that it has a security guidelines database that.
[0017]
Further, in the security management system according to the present invention, the record of the application information database includes an application date, an applicant ID, an applicant department code, an application form classification, an application summary, an application content, a status flag, a denial date and a denial reason, And fields of approval date and approver.
[0018]
Still further, in the security management system according to the present invention, the records in the history database may include a department code belonging to the applicant, an applicant ID, a department code belonging to the applicant / primary approver, an applicant / primary approver ID, and a last approver belonging. It is characterized by comprising fields of department code, final approver ID, application form classification, application summary, application content, and report date.
[0019]
Further, in the security management system of the present invention, the record of the user database may be a registration date or a last update date, a registered or last updated operation manager ID, an operation manager ID, a user ID, a password, a user name, It is characterized by comprising fields of a user belonging department code, an e-mail address, a user job system, and an application requester setting.
[0020]
Further, in the security management system according to the present invention, the records of the organization database may include a registration date or a last update date, a registered or last updated operation manager ID, a department code, a department name, a department hierarchy, and an approval authority setting field. It is characterized by comprising.
[0021]
Still further, in the security management system of the present invention, the record of the application form database includes a registration date or a last update date, a registered or last updated operation manager ID, an application form classification, and application form fields. Features.
[0022]
Further, in the security management system of the present invention, the record of the member database may include a registration date or a last update date, a company / organization name, an address, a TEL / FAX, an operation manager ID, an operation manager password, and a service use mode. It is characterized by consisting of each field.
[0023]
Further, in the security management system according to the present invention, the security guideline database records may include a registration date or a last update date, a registered or last updated operation manager ID, a corresponding industry, a corresponding company / organization scale, a use, a keyword, and security. It is characterized by consisting of each field of the guideline.
[0024]
Furthermore, the security management system operation device of the present invention includes an application request processing function as a user function, a user master registration / update / deletion function as an operation manager function, a security guideline formulation function, an application form creation function, Contracted a membership service with the workflow retention monitoring function, history reference function, membership master service registration / update / deletion function, security guideline template registration / modification / deletion function, and usage status reference function. An application information database that is used by the primary applicant who uses the security management system among the members who have applied for reporting the status of various operations necessary for security management in the department to which the primary applicant belongs to the final approver. Security management system A history database that registers the history of application information applied by the final approver to the operation manager, and the operation manager who operates and manages the security management system among members identifies the users among the members to which he belongs. The user database used when registering, modifying, and deleting, the organization database used when the operation manager registers, modifying, and deleting the organization information in the member to which the operation manager belongs, and the operation manager to which the operation manager belongs An application form database that registers the application form templates used by members as a menu, a member database where the membership service provider registers the member's member information, and a security guideline template and operation management that the membership service provider registers Guideline data for registering security guidelines created by users And having a over scan.
[0025]
On the other hand, the program of the present invention allows the computer to process an application request processing function as a user function, a user master registration / update / deletion function as an operation manager function, a security guideline formulation function, an application form creation function, and a workflow retention. Members who have subscribed to the membership service, with the monitoring function, history reference function, membership master registration / update / deletion function, security guideline template registration / modification / deletion function, and usage status reference function An application information database used by the primary applicant who uses the security management system to report the status of various tasks required for security management in the department to which the primary applicant belongs to the final approver. The final approver who uses the security management system A history database that registers the history of application information applied to the administrator, and an operation manager who operates and manages the security management system among members registers, corrects, and deletes users among the members to which he belongs User database used at the time, the organization database used when the operation manager registers, corrects, and deletes the organization information in the member to which the operation manager belongs, and the user database used when the operation manager belongs to the member to which the operation manager belongs An application form database for registering application form templates as a menu, a member database for the membership service provider to register member membership information, a security guideline template created by the membership service provider and security guidelines created by the operation manager Function as a security guideline database for registering It is characterized in.
[0026]
On the other hand, the security management service providing method of the present invention includes a user terminal used by a user who uses the security management system among members who subscribe to the membership service, and operates and manages the security management system among the members. An operation manager terminal used by an operation manager who performs the operation, a membership service provider terminal used by a membership service provider of the security management system, the user terminal, the operation administrator terminal, and the membership system A security management system operation device that enables operation of the security management system on a network by access from a service provider terminal. The processing of the device is the processing of the application request processing function, which is a user function, the user master registration / update / deletion function, which is the operation manager function, the security guideline creation function, the application form creation function, the workflow retention monitoring function, and It is characterized by including processing of a history reference function, processing of a member master service registration / update / deletion function, security guideline template registration / modification / deletion function, and usage status reference function, which are member service provider functions.
[0027]
Further, in the security management service providing method according to the present invention, the processing at the time of the application request may be such that when the user terminal accesses the member corner on the security management system operation device and logs in with the operation manager ID and the password, Checking whether or not the operation manager ID and password are present in the member database by the system operation device, and if so, logging in to the member corner is permitted; otherwise, outputting an error message and disabling login; If the user terminal accesses the member corner on the security management system operation device and logs in with the user ID and password, the user ID and password are found in the user database on the security management system operation device. Check if there is, if possible, log in to the member corner that can only be used by the own department, if not, output an error message and disable login, and select the application form menu in the member corner at the user terminal When the application form category to be used is selected and the security management system operation device extracts the application form of the application form category from the application form database, and when the application information is registered in the application form extracted by the user terminal In the security management system operation device, the process of registering the application summary and application contents in the application information database, and when the application button is clicked after registering the application information on the user terminal, the security management system operation device Refer to and request the applicant Process of sending the application request mail to the e-mail address of the requester, and accessing the member corner on the security management system operation device after receiving the application request mail from another user terminal When logging in with the ID and password, the security management system operation device checks whether the operation manager ID and password exist in the member database, and if so, logs in to the member corner. The process of outputting and making it impossible to log in. When the user accesses the member corner on the security management system operation device with another user terminal and logs in with the user ID and password, the user ID and password are used in the security management system operation device. But profit Check if it exists in the user database, if it exists, log in to the member corner that can be used only by the own department, and if it does not exist, output an error message and disable login. When the application data approval menu in the member corner is selected, the security management system operation device refers to the organization database to extract the approval authority setting information, and refers to the application information database to approve the extracted approval authority setting information. In the process of extracting application information, and when the extracted application information is approved by another user terminal, the security management system operation device registers the approval flag, approval date, and approver in the application information in the application information database. And registering the approved data in the history database. When the issued application information is rejected and the reason for rejection is registered, the security management system operating device registers the rejection flag, rejection date and reason for rejection in the application information in the application information database, and sends the e-mail address of the applicant. Sending a rejection notification mail to the user, and when the user terminal accesses the member corner on the security management system operation device and logs in with the operation administrator ID and password, the operation management ID and Check whether the password exists in the member database, if it exists, log in to the member corner, if not, output an error message and disable log-in. A member corner When accessing and logging in with a user ID and password, the security management system operation device checks whether the user ID and password exist in the user database, and if there is, can log in to a member corner where only the own department can use it. If it does not exist, an error message is output and login is disabled, and the application information created by the user on the security management system operating device when the application rejection in the member corner is selected on the user terminal The process of extracting data denied to other users from the application information database in the above, and when the user terminal modifies the application information based on the reason for the denial, the security management system operation device modifies the application information database The process of registering the outline of the application and the contents of the application, When the application is executed after correcting the application information on the user terminal, the security management system operation device refers to the user database to extract the applicant requester, and sends the application request e-mail to the e-mail address of the applicant. Transmitting, and when the user terminal accesses the member corner on the security management system operation device after receiving the application request mail and logs in with the operation manager ID and password, the operation management ID and Checking whether the password exists in the member database; if the password exists, login to the member corner is permitted; if not, an error message is output to disable login.
[0028]
Further, in the security management service providing method according to the present invention, the process of registering, updating, and deleting the user master is performed by accessing the member corner on the security management system operation device with the operation manager terminal, and setting the operation manager ID and password. When logging in, the security management system operation device checks whether the operation manager ID and password exist in the member database, and if so, logs in to the member corner, and if not, outputs an error message. When the login is disabled and when the user accesses the member corner on the security management system operation device with the operation administrator terminal and logs in with the user ID and password, the user ID and password are Checking whether or not it exists in the user database, making it possible to log in to the operation manager corner that can be used only by the operation manager if it exists, and outputting an error message if it does not exist, disabling login When selecting a new member registration after selecting the user master in the operation manager corner at the terminal, if the security management system operation device is newly registered, the user ID, password, user name, electronic The process of newly registering each item of mail address, user affiliation department code, user job system, and application requester setting, and using existing users after selecting the user master in the operation manager corner with the operation manager terminal When the user master is selected for correction, items such as user ID and password are used in the security management system operation device. When the user database is updated by modifying the security management system, and when the user master in the operation manager corner is selected on the operation manager terminal and then the user master of the existing user is deleted, the security management system And performing a deletion process by designating a user ID to be deleted in the operation device to delete all registered items of the deleted user from the user database.
[0029]
Furthermore, in the security management service providing method of the present invention, the process of formulating the security guideline is performed when the operation manager terminal accesses a member corner on the security management system operation device and logs in with the operation manager ID and password. Checking whether the operation manager ID and password are present in the member database in the security management system operation device, and if so, logging in to the member corner is permitted; otherwise, outputting an error message and disabling login. When the user accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the user ID and password, the user ID and password are Checking whether it exists in the user database, if it exists, log in to the operation manager corner that can be used only by its own department, and if it does not exist, output an error message and disable login, and operation manager terminal When the security guideline in the operation manager corner is selected and the security guideline template to be used is selected, the security management system operation device extracts the security guideline template from the security guideline database, The process of starting to create security guidelines based on the guideline template, and when filling out a hearing sheet prepared in advance at the operation administrator terminal and attaching it to an e-mail and sending it to the membership service provider, the member System Steps in which the service provider advises the user on the modification of the security guideline template based on the hearing sheet, and the corresponding business types, scales, and uses that have already been registered in the security guideline template after the creation of the security guideline in the operation administrator terminal , And, if necessary, modifying the search keyword and selecting new registration, the step of registering the corresponding industry, corresponding company / organization scale, use, keywords, and security guidelines in the security guideline database with the security management system operating device. When the security guideline modification is selected on the operation administrator terminal, the security created by the operation administrator who logged in from the security guideline database on the security management system operation device Extracting the security guidelines, and updating the security guidelines database in the security management system operating device when the security guideline is selected after the security guideline is modified on the operation manager terminal. It is characterized by.
[0030]
Further, in the security management service providing method of the present invention, when the process of creating the application form accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the operation manager ID and password, Checking whether the administrator ID and password are present in the member database in the security management system operating device, and if so, logging in to the member corner is permitted; otherwise, outputting an error message and disabling logging in; When the user accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the user ID and password, the user ID and password are stored in the user database on the security management system operation device. Check if it exists, and if it exists, log in to the operation manager corner that can be used only by the operation manager, and if it does not exist, output an error message and disable login, and operate with the operation manager terminal When a new form is created on the screen after selecting an application form in the administrator corner, the process of newly registering the application form in the application form database when newly registering with the security management system operation device, and using the operation administrator terminal Step of extracting the application form created by the operation administrator who has logged in from the application form database on the security management system operation device when selecting or modifying the application form on the screen after selecting the application form in the operation manager corner After the application form has been corrected on the operation When selecting the modification of form, characterized in that it comprises a step of updating the contents of the corrected the application forms database security management system operation device.
[0031]
Further, in the security management service providing method of the present invention, when the process of the workflow stay monitoring function accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the operation manager ID and the password, Checking whether the administrator ID and password are present in the member database in the security management system operating device, and if so, logging in to the member corner is permitted; otherwise, outputting an error message and disabling logging in; When the user accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the user ID and password, the user ID and password are Check if it exists in the database, and if it exists, log in to the operation manager corner that can be used only by the own department.If it does not exist, output an error message and disable login. When the workflow stay monitoring in the manager corner is selected, the process of summarizing the workflow stay status of the member to which the operation manager belongs in the security management system operation device, and the workflow stay status totaled by the operation manager terminal Checked, and when urging the process to be promoted by e-mail to the department manager of the department where the workflow is stagnating, the operation manager reports the stagnating status of the workflow of the own department by e-mail at the user terminal And a step of interacting with an administrator.
[0032]
Furthermore, in the security management service providing method of the present invention, when the process of the history reference function accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the operation manager ID and the password, Checking whether the administrator ID and password are present in the member database in the security management system operating device, and if so, logging in to the member corner is permitted; otherwise, outputting an error message and disabling logging in; When the user accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the user ID and password, the user ID and password are stored in the user database on the security management system operation device. Check if it exists, and if it exists, log in to the operation manager corner that can be used only by the operation manager, and if it does not exist, output an error message and disable login, and operate with the operation manager terminal When selecting a department to be checked after selecting the history reference in the administrator corner, the process of extracting only the history of the department selected by the security management system operation device from the history database, and the history extracted by the operation administrator terminal Selecting and referencing data to be referred to from the information.
[0033]
Further, in the security management service providing method of the present invention, the processing of the member master registration / update / deletion function is performed when a member master service provider terminal accesses a maintenance function on a security management system operation device and selects a member master. A step of newly registering a company / organization name, an address, a TEL / FAX, an operation manager ID, an operation manager password, and a membership service use form in the member database in the case of new registration in the security management system operation device; Step of updating a member database by correcting an operation manager ID, an operation manager password, and the like in the security management system operation device when a member master is selected after selecting a member master at the membership service provider terminal. And the membership service provider terminal When the deletion of the member master is selected after selecting the member master, all the registered items of the member deleted by specifying the operation manager ID to be deleted in the security management system operation device and performing the deletion process are stored in the member database. And a step of being deleted from.
[0034]
Further, in the security management service providing method according to the present invention, the processing of the security guideline template registration / modification / deletion function accesses the maintenance function on the security management system operation device at the membership service provider terminal and selects the security guideline. Occasionally, in the case of new registration in the security management system operation device, the process of registering the corresponding industry, the size of the corresponding company, the use, the search keyword, and the template of the security guideline in the security guideline database; If you select Modify security guideline template after selecting security guideline in, items such as contents of security guideline template in security management system operation device Steps in which the security guideline database is updated by the correction, and when the security guideline is selected on the member service provider terminal and the deletion of the security guideline template is selected, the security guideline template to be deleted by the security management system operation device And performing a deletion process by specifying a security guideline, and deleting all registration items attached to the security guideline template from the security guideline database.
[0035]
Still further, in the security management service providing method according to the present invention, the processing of the use state reference function is performed when the member system service provider terminal accesses the maintenance function on the security management system operation device and selects the use state log file. , The process of extracting the usage log file accumulated for each member contracted by the security management system operation device, and the security management when the automatic aggregation is selected for the usage log file extracted by the membership service provider terminal And a step of totalizing and displaying the total time of use on a daily, weekly, and monthly basis, and the most frequently used time zone in the system operation device.
[0036]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0037]
[First Embodiment]
Referring to FIG. 1, a security management system according to a first embodiment of the present invention includes a security management system operation device (hereinafter, referred to as an ISMS operation device) 100, auser terminal 200, and an operation manager terminal. The main part is constituted by 300, a membershipservice provider terminal 400, and anetwork 500 such as the Internet for interconnecting them.
[0038]
Users of the security management system according to the present embodiment are roughly classified into a membership service provider that provides a membership service and a member (company or organization) who has contracted for the membership service. The members include an operation manager (generally an information system department) that manages the overall system operation of the company or organization to which the member belongs, and a function provided by the membership service provider within the organization of the company or organization. There are three users, a user A and a user B, who use (there may be more depending on the approval hierarchy). The user A uses the user terminal A, the user B uses the user terminal B, and the relationship between the user A and the user B is the applicant (subordinate) and the approver (boss) in a company or organizational organization. Is in a relationship with
[0039]
TheISMS operating device 100 is a device for enabling the operation of the security management system on thenetwork 500, and is configured by an information processing device such as a workstation or a server.
[0040]
Referring to FIG. 2, theISMS operation device 100 includes an applicationrequest processing function 111 as a user function, a user master registration / update /deletion function 112 as an operation manager function, a securityguideline formulation function 113, and an application form creation.Function 114, workflowretention monitoring function 115, andhistory reference function 116, member master registration / update /deletion function 117 which is a membership service provider function, security guideline template registration / modification /deletion function 118, and usagestatus reference function 119, anapplication information database 121 for registering the data applied by the user as application information, ahistory database 122 for registering the application information as a history, and the operation manager storing a user ID (IDentification), a password, and employee information. User database to be registered 123, anorganization database 124 for registering organization information, approval authority information, etc., an application form database 125 for registering an application form, amember database 126 for a member service provider to register member information, a hearing sheet and security guidelines And asecurity guideline database 127 for registering In addition, although not specifically illustrated, theISMS operating device 100 includes a billing amount calculation / bill issuing function for calculating a monthly billing amount for each member and issuing a bill.
[0041]
Theapplication information database 121 indicates that the user A (primary applicant) who uses the security management system among the members who have subscribed to the membership system service has the security management in the department to which the user A belongs for the user X (final approver). This is a database used to report the status of various tasks necessary for the operation (checking the version information of software in a personal computer, checking for viruses in a personal computer, etc.). Here, the explanation is made assuming that the final approver is a two-level approval hierarchy in which the final approver is the user B in the department to which the user A belongs. Hierarchy settings are also possible.
[0042]
The data registered by the user A cannot be modified by the user A unless the upper-level approver (user B if only the user A and the user B exists) is denied (users A, B, and C). Exists, the user B has the approval and denial authority and the data modification authority for the user A, and the user C has the authorization and denial authority and the data modification authority for the user B.) If the approver denies the application data, be sure to register the reason for denial, and the applicant refers to the reason for denial and returns it to the lower-level applicant as denial, or corrects the content on the spot and approves it again. Will be applied for. Only after the application data is approved by the final approver, the application data is formally notified to the operations manager as application information of the relevant section and handled as company-wide information.
[0043]
The records in theapplication information database 121 include an application date (latest application date), an applicant ID (user ID of the applicant), a department code belonging to the applicant, an application form classification (a classification number on the application form database 125), and an application. Overview (approximately 50 characters), application contents (contents reported to the final approver), status flags (non-application, approval, rejection status and stay status for each application data), rejection date (rejection for application data) The fields include the date of processing, the reason for rejection, and the approval date and approver (if there are multiple approvals until final approval, each approval date and approver).
[0044]
Thehistory database 122 is a database for registering the history of application information applied to the operation manager by the user X who uses the security management system among the members who have subscribed to the membership service.
[0045]
The records of thehistory database 122 include the applicant department code, the applicant ID (applicant user ID), the applicant / primary approver department code, and the applicant / primary approver ID (application / primary approver ID). User ID), department code belonging to the final approver, final approver ID (user ID of the final approver), application form classification, application summary, application contents, and report date (approved by user X and given to the operation manager) Report date, the same date as the approval date of the user X). If there are three or more approval layers, the approver section code and the approver ID increase accordingly.
[0046]
Theuser database 123 is used by an operation manager who operates and manages the security management system among members who have subscribed to the membership service when registering, modifying, and deleting users in a company or organization to which the user belongs. It is a database. Incidentally, it is an essential condition for using the system that the ID of the operation manager and the IDs of all the users who use the system are registered in theuser database 123.
[0047]
The records of theuser database 123 include a registration date or a last update date, a registered or last updated operation manager ID, an operation manager ID (operation manager ID), and a user ID (applicant / primary approver / final approval). ID for users other than the operation administrator such as the user), password (password for the operation administrator and the user when using the system. The operation administrator registers for the first time, and changes thereafter are made by himself), user name , User department code, e-mail address, user job system (chief, section manager, manager, etc.), and application requester setting (setting who approves the application).
[0048]
Theorganization database 124 is a database used by an operation manager who operates and manages a security management system among members who subscribe to the membership service when registering, modifying, and deleting organization information in a company or organization to which the operation manager belongs. It is. All the organization information of the users who use the system must be registered in theorganization database 124 as the belonging department code and the belonging department name. In addition, the setting of the upper organization for the lower organization and the like are also registered on theorganization database 124.
[0049]
The records in theorganization database 124 include a registration date or a last update date, a registered or last updated operation manager ID, a department code, a department name, a department hierarchy (department code information of a department located at a lower level), and an approval authority setting (for example, , The department manager of section A makes all sections under section A subject to approval, etc.). It is assumed that the approval authority has the approval authority for all the department codes located below the set department code.
[0050]
The application form database 125 is a database in which an operation manager who operates and manages a security management system among members who subscribe to the membership service registers a template of an application form used in a company or an organization to which the operation manager belongs as a menu. It is. The user of the system can use the application form registered as a menu to check the status of various operations required to operate the security management system (such as checking the version information of software in the personal computer and checking the virus on the personal computer). Apply (report) to the approver. When a new application form is registered in the application form database 125 using the registration function, a form identification code called an application form classification is automatically given on the system.
[0051]
The records in the application form database 125 include the registration date or the last update date, the registered or last updated operation manager ID, the application form classification (automatically assigned by the system), and the application form (the registered application form is a security update, security audit, etc.) Menu)).
[0052]
Themember database 126 is a database in which the membership service provider registers member information of members who have subscribed to the membership service. Unless the operation manager ID and the password are registered in themember database 126, the operation manager cannot log in to the operation manager corner having the function for the operation manager.
[0053]
The records in themember database 126 include a registration date or a last update date, a company / organization name, an address, TEL / FAX, an operation manager ID (a plurality can be assigned), an operation manager password (a plurality can be assigned corresponding to the above), And service use forms (the monthly bill varies depending on the use form).
[0054]
Thesecurity guideline database 127 is a database in which a template of a security guideline and a security guideline created by an operation manager are registered as a service for supporting the creation of a security guideline for a member who has subscribed to the membership service by the membership service provider. Thesecurity guideline database 127 has a structure in which a template of the security guideline can be registered by categorizing according to the type of business, the size of the company, and the use, and a keyword can be registered as a search correspondence.
[0055]
Records in thesecurity guideline database 127 include the registration date or last update date, the registered or last updated operation manager ID, the corresponding industry, the corresponding company / organization scale, the use, the keyword (search keyword, multiple registration), and the security guideline. Field. In the template of the security guideline registered by the membership service provider, an ID unique to the membership service provider is registered in the operation manager ID column.
[0056]
Theuser terminal 200 is an information processing device such as a personal computer used by a user who performs security management according to security guidelines on thenetwork 500.
[0057]
Theoperation manager terminal 300 is an information processing device such as a personal computer used by the operation manager of the security management system on thenetwork 500.
[0058]
The membershipservice provider terminal 400 is an information processing device such as a personal computer used by the membership service provider on thenetwork 500.
[0059]
Referring to FIG. 3, the user terminals A and B can log in to the member corner on the security management system via thenetwork 500 using the user ID and password issued by the operation manager. After logging in to the member-only corner, the user terminal A uses the applicationrequest processing function 111 such as security update, security audit, security simple assessment, etc., and sends it to the user terminal B used by the boss previously set on the master. Applications can be made using the workflow function. When the user terminal A makes an application, an approval request is sent to the user terminal B by e-mail, and upon receiving the notification, the user terminal B can log in to the member corner and approve or deny the application contents.
[0060]
Referring to FIG. 4, theoperation manager terminal 300 can log in to the operation manager corner on the security management system via thenetwork 500 using the operation manager ID and password issued by the membership service provider. Theoperation manager terminal 300 includes a user master (user ID, password, organization information, employee information, e-mail address, approval authority information) registration / change /deletion function 112 for the operation manager, and a securityguideline development function 113 In addition, an application form registration / change /deletion function 114, a workflowstay monitoring function 115, and ahistory reference function 116 that can refer to past security check statuses can be used.
[0061]
Referring to FIG. 5, the member systemservice provider terminal 400 has a member master registration / update / deletefunction 117 for registering, changing, and deleting member information, company name, address, TEL, ID and password for the administrator terminal, and the like. And a security guideline template registration / modification / deletion function that registers, changes, and deletes hearing sheets for security guideline development, registers, changes, and deletes security guidelines, and returns responses to inquiries aboutsecurity guideline development 118 and a usagestatus reference function 119 for referring to the service usage status of each contracted member.
[0062]
Next, the operation of the security management system thus configured according to the first embodiment will be described in detail with reference to the flowcharts of FIGS. 1 to 5 and FIGS.
[0063]
(1) Processing of the application request processing function 111 (see FIGS. 6 to 8)
[0064]
When the user terminal A accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step A101), theISMS operation device 100 stores the input operation manager ID and password in themember database 126. Is checked (company / organization check) (step C101). If it exists, login to the member corner is permitted. If not, an error message is output and login is disabled (step C102).
[0065]
When the user terminal A accesses the member corner in the company corner on theISMS operating device 100 and logs in with the user ID and password (step A102), the input user ID and password are used in theISMS operating device 100. It checks whether or not it exists in the member database 123 (user check) (step C103). If it exists, it is possible to log in to a member corner that can be used only by its own department. If it does not exist, an error message is output and login is disabled. (Step C104).
[0066]
When the application form menu in the member corner is selected on the user terminal A and the application form division to be used is selected (step A103), theISMS operating device 100 reads the application form of the selected application form division from the application form database 125. Extract (Step C105).
[0067]
When the user terminal A registers the application information in the extracted application form (step A104), theISMS operating device 100 registers the application summary and application contents in the application information database 121 (at this time, the application date, the applicant ID). , The department code to which the applicant belongs, and the application form classification are also registered) (step C106).
[0068]
When the application button is clicked after the registration of the application information at the user terminal A (step A105), theISMS operating device 100 refers to theuser database 123 to extract the application requester of the applicant (step C107) and requests the application. The application request mail is transmitted to the user's e-mail address (step C108).
[0069]
After receiving the application request mail at the user terminal B, the user accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step B101). It is checked whether or not the ID and password exist in the member database 126 (company / organization check) (step C109). If the ID and password exist, it is possible to log in to the member corner. If not, an error message is output and the log in is disabled. (Step C110).
[0070]
When the user terminal B accesses the member corner in the company corner on theISMS operating device 100 and logs in with the user ID and password (step B102), the input user ID and password are used in theISMS operating device 100. Theuser database 123 checks whether it exists in the user database (user check) (step C111). If it exists, it is possible to log in to a member corner that can be used only by its own department. If it does not exist, an error message is output and login is disabled. (Step C112).
[0071]
When the application data approval menu in the member corner is selected on the user terminal B (step B103), theISMS operating device 100 refers to theorganization database 124 to extract approval authority setting information (step C113), and theapplication information database 121 , Application information that can be approved is extracted from the extracted approval authority setting information (step C114).
[0072]
When the user terminal B approves the extracted application information (step B104), theISMS operating device 100 registers an approval flag, an approval date, and an approver in the application information in the application information database 121 (step C115). The approved data is registered in the history database 122 (items to be registered are all items existing in the history database 122) (step C116).
[0073]
On the other hand, when the user terminal B rejects the extracted application information and registers the rejection reason (step B105), theISMS operating device 100 stores the rejection flag, the rejection date, and the rejection reason in the application information in theapplication information database 121. It registers (step C117) and sends a denial notification mail to the e-mail address of the applicant (step C118).
[0074]
When the user terminal A accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step A106), theISMS operation device 100 stores the input operation manager ID and password in themember database 126. (Step C119), and if it exists, it is possible to log in to the member corner. If it does not exist, an error message is output and log-in is impossible (step C120).
[0075]
When the user terminal A accesses the member corner in the company corner on theISMS operating device 100 and logs in with the user ID and password (step A107), the input user ID and password are used in theISMS operating device 100. Theuser database 123 is checked whether it exists (user check) (step C121). If it exists, it is possible to log in to a member corner that can be used only by its own department. If it does not exist, an error message is output and login is disabled. (Step C122).
[0076]
When the user terminal A selects application rejection in the member corner (step A108), theISMS operating device 100 compares the data rejected by the user B in the application information created by the user A with the application information database. Extracted from the C.121 (step C123).
[0077]
When the user terminal A modifies the application information based on the reason for denial (step A109), theISMS operating device 100 registers the modified application outline and application contents in the application information database 121 (at this time, the application date). Update is also performed automatically) (step C124).
[0078]
When the user terminal A executes the application after correcting the application information (step A110), theISMS operating device 100 extracts the application requester of the applicant with reference to the user database 123 (step C125), An application request e-mail is transmitted to the e-mail address (step C126).
[0079]
After receiving the application request mail at the user terminal B, the user accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step B106). It is checked whether or not the ID and password exist in the member database 126 (company / organization check) (step C109). If the ID and password exist, it is possible to log in to the member corner. If not, an error message is output and the log in is disabled. (Step C110).
[0080]
As described above, according to the security management system according to the first embodiment, the user can log in to the security management system using the ID and the password issued by the operation manager.
[0081]
Further, the user (subordinate) can select and use an application for security update, security audit, security simple assessment, etc. from the menu after logging in.
[0082]
Furthermore, when a user (subordinate) makes an application from the security management system, an approval request is sent by e-mail to the supervisor of the user who submitted the application, and the user (boss) receives the notification and logs in to the member corner. You can approve or deny the content.
[0083]
(2) Processing of the operation manager function (see FIGS. 9 to 13)
[0084]
(1) Processing of the user master registration / update / deletion function 112 (see FIG. 9)
[0085]
When theoperation manager terminal 300 accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step D101), theISMS operation device 100 stores the input operation manager ID and password in the member database. 126 (step C201), and if it does exist, it is possible to log in to the member corner. If it does not exist, an error message is output and login is impossible (step C202).
[0086]
When theoperation manager terminal 300 accesses the member corner in the company corner on theISMS operating device 100 and logs in with the user ID and password (step D102), the input user ID and password are input to theISMS operating device 100. It is checked whether or not it exists in the user database 123 (user check) (step C203). If it exists, it is possible to log in to the operation manager corner that can be used only by the operation manager. If it does not exist, an error message is output. Login is disabled (step C204).
[0087]
After selecting a user master in the operation manager corner at theoperation manager terminal 300 and selecting registration of a new user (step D103), theISMS operation device 100 uses theuser database 123 for new registration. Each item of user ID, password, user name, e-mail address, user affiliation department code, user job system, and application requester setting is newly registered (at this time, the registration date and the operation manager of the registered operation manager The ID is automatically registered) (step C205).
[0088]
After selecting the user master in the operation manager corner at theoperation manager terminal 300 and selecting to modify the user master of the existing user (step D104), theISMS operation device 100 sets the user ID, password, and the like. Theuser database 123 is updated by the correction of the item (at this time, the update date and the updated operation manager ID of the operation manager are automatically registered) (step C206).
[0089]
After selecting the user master in the operation manager corner at theoperation manager terminal 300 and selecting to delete the user master of the existing user (step D105), theISMS operation apparatus 100 sets the user ID to be deleted. Is deleted from the user database 123 (step C207).
[0090]
{Circle around (2)} Processing of the security guideline formulation function 113 (see FIG. 10)
[0091]
When theoperation manager terminal 300 accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step D201), theISMS operation device 100 stores the input operation manager ID and password in the member database. 126 (step C301), and if it exists, it is possible to log in to the member corner. If it does not exist, an error message is output and login is impossible (step C302).
[0092]
When theoperation manager terminal 300 accesses the member corner in the company corner on theISMS operating device 100 and logs in with the user ID and password (step D202), the input user ID and password are input to theISMS operating device 100. It is checked whether or not it exists in the user database 123 (user check) (step C303). If it exists, it is possible to log in to the operation manager corner that can be used only by its own department. If it does not exist, an error message is output and login. It is determined to be impossible (step C304).
[0093]
When the security guideline in the corner of the operation manager is selected and the template of the security guideline to be used is selected on the operation manager terminal 300 (step D202), theISMS operation device 100 stores the selected security guideline template in thesecurity guideline database 127. (Step C305).
[0094]
Theoperation manager terminal 300 starts to create a security guideline based on the extracted template of the security guideline (step D204).
[0095]
At theoperation manager terminal 300, fill in the hearing sheet prepared in advance, attach it to an e-mail and send it to the membership service provider (If you have any questions related to creation, provide the membership service by e-mail (Step D205), the membership-basedservice provider terminal 200 provides advice on the correction contents of the security guideline template based on the hearing sheet (if a question has been received, the operation management is performed by e-mail including an answer to the question). (Step E101).
[0096]
After completing the creation of the security guideline on theoperation administrator terminal 300, if necessary, correct the corresponding business type, scale, application, and search keyword already registered in the security guideline template and select new registration (step D206), theISMS operating device 100 registers the corresponding industry, corresponding company / organization size, use, keyword, and security guideline in the security guideline database 127 (at this time, the registration date and the ID of the registered operation manager are also automatically registered). (Step C306).
[0097]
When modification of the security guideline is selected on the operation manager terminal 300 (step D207), theISMS operation device 100 extracts the security guideline created by the logged-in operation manager from the security guideline database 127 (step C307).
[0098]
After the security guideline is corrected on theoperation manager terminal 300 and the security guideline correction is selected (step D208), theISMS operating device 100 updates the corrected content in the security guideline database 127 (at this time, the update date and the update). The operation manager ID is also automatically updated) (step C308).
[0099]
(3) Processing of the application form creation function 114 (see FIG. 11)
[0100]
When theoperation manager terminal 300 accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step D301), theISMS operation device 100 stores the input operation manager ID and password in the member database. 126 (step C401), and if it does exist, it is possible to log in to the member corner. If it does not exist, an error message is output and login is impossible (step C402).
[0101]
When theoperation manager terminal 300 accesses the member corner in the company corner on theISMS operation device 100 and logs in with the user ID and password (step D302), the input user ID and password are input to theISMS operation device 100. It is checked whether or not it exists in the user database 123 (user check) (step C403). If it exists, it is possible to log in to the operation manager corner which can be used only by the operation manager. If it does not exist, an error message is output. Login is disabled (step C404).
[0102]
After selecting an application form in the operation manager corner at theoperation manager terminal 300 and creating a new form on the screen (step D304), theISMS operating device 100 stores the application form in the application form database 125 for new registration. Is newly registered (at this time, the registration date, the operation manager ID of the registered operation manager, and the application form classification are automatically registered) (step C405).
[0103]
After selecting an application form in the operation manager corner on theoperation administrator terminal 300 and selecting to modify or delete the application form on the screen (step D304), theISMS operation device 100 logs in the operation form from the application form database 125. The application form created by the administrator is extracted (step C406).
[0104]
After the application form is corrected on theoperation manager terminal 300, the correction of the application form is selected (in the case of deletion, the application form to be deleted is selected) (step D304). In theISMS operating device 100, the correction is made to the application form database 125. The subsequent contents are updated (at this time, the update date and the ID of the updated operation manager are also automatically updated. In the case of deletion, the application form to be deleted is deleted from the application form database 125) (step C407).
[0105]
{Circle around (4)} Processing of the workflow retention monitoring function 115 (see FIG. 12)
[0106]
When theoperation manager terminal 300 accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step D401), theISMS operation device 100 stores the input operation manager ID and password in the member database. In step C501, it is checked whether or not it exists in the member corner (company / organization check). If it exists, it is possible to log in to the member corner. If it does not exist, an error message is output and login is impossible (step C502).
[0107]
When theoperation manager terminal 300 accesses the member corner in the company corner on theISMS operation device 100 and logs in with the user ID and password (step D402), the input user ID and password are input to theISMS operation device 100. It is checked whether or not it exists in the user database 123 (user check) (step C503). If it exists, it is possible to log in to the operation manager corner which can be used only by its own department. If it does not exist, an error message is output and login. It is determined to be impossible (step C504).
[0108]
When theoperation manager terminal 300 selects the workflow stay monitoring in the operation manager corner (step D403), theISMS operating device 100 totalizes the workflow stay status in the company or organization to which the operation manager belongs (step C505). ).
[0109]
Theoperation manager terminal 300 checks the accumulated status of the workflow, and prompts the department manager of the accumulated department to promote the process by e-mail (step D404). The user exchanges the report of the staying status of the workflow of the own department with the operation manager by e-mail (step B201).
[0110]
(5) Processing of the history reference function 116 (see FIG. 13)
[0111]
When theoperation manager terminal 300 accesses the member corner on theISMS operation device 100 and logs in with the operation manager ID and password (step D501), theISMS operation device 100 stores the input operation manager ID and password in the member database. 126 (step C601), and if it does exist, it is possible to log in to the member corner. If it does not exist, an error message is output and login is impossible (step C602).
[0112]
When theoperation manager terminal 300 accesses the member corner in the company corner on theISMS operating device 100 and logs in with the user ID and password (step D502), the input user ID and password are input to theISMS operating device 100. It is checked whether or not it exists in the user database 123 (user check) (step C603). If it exists, it is possible to log in to the operation manager corner which can be used only by the operation manager. If it does not exist, an error message is output. The login is disabled (step C604).
[0113]
After selecting the history reference in the operation manager corner on theoperation manager terminal 300 and selecting the department to be checked on the screen (step D503), theISMS operating device 100 stores only the history of the selected department in thehistory database 122. (Step C605).
[0114]
Theoperation manager terminal 300 selects and refers to the data to be referred from the extracted history information (step D504).
[0115]
As described above, the operation manager can log in to the security management system using the ID and the password issued by the membership service provider.
[0116]
In addition, the operation manager selects updating of the master (user ID, password, organization information, employee information, approval authority information) from the menu after logging in, and updates the user information, organization information, and application data of the system. It registers approval authority information and issues a user ID and password to the user.
[0117]
Further, the operation manager selects a menu for formulating a security guideline from a menu after login, and formulates a security guideline with the membership service provider through thenetwork 500.
[0118]
Furthermore, the membership service provider can reply via thenetwork 500 to a question or the like from the operation manager regarding security guideline development.
[0119]
Further, the operation manager selects an update function of the application form from the menu after login, and registers an application form required for operating the company's security management system.
[0120]
Further, the operation manager can select the workflow stay monitoring function from the menu after logging in, and can monitor whether there is any organization in which the operation of the security management system is staying.
[0121]
Furthermore, the operations manager can refer to the past security check status of the desired organization from the menu after login.
[0122]
(3) Processing of membership service provider use function (see FIGS. 14 to 16)
[0123]
(1) Processing of the member master registration / update / deletion function 117 (see FIG. 14)
[0124]
When the member systemservice provider terminal 200 accesses the maintenance function on theISMS operating device 100 and selects the member master (selects new registration of the member master from the menu) (step E201), theISMS operating device 100 starts the new registration. In this case, the company / organization name, address, TEL / FAX, operation manager ID, operation manager password, and membership service use form are newly registered in the member database 126 (at this time, the registration date and the operation manager for the operation manager) The ID is automatically registered) (step C701).
[0125]
When the member master is selected on the membershipservice provider terminal 200 and then the correction of the member master is selected (step E202), theISMS operating device 100 corrects the member database by correcting the items such as the administrator ID and the administrator password. 126 is updated (at this time, the registration date is automatically updated on the updated date) (step C702).
[0126]
When the member master is selected on the membershipservice provider terminal 200 and then deletion of the member master is selected (step E203), theISMS operation device 100 performs deletion processing by specifying the operation manager ID to be deleted. , All the registered items of the deleted member are deleted from the member database 126 (step C703).
[0127]
(2) Processing of the security guideline template registration / modification / deletion function 118 (see FIG. 15)
[0128]
When the member systemservice provider terminal 200 accesses the maintenance function on theISMS operating device 100 and selects a security guideline (access from a selection menu and newly registers a security guideline template) (step E301), theISMS operating device 100 In the case of new registration, the corresponding industry, the size of the corresponding company, the use, the search keyword, and the template of the security guideline are registered in the security guideline database 127 (at this time, the registration date and the operation manager ID for the membership service provider are Automatic registration) (step C801).
[0129]
After selecting the security guideline at the membershipservice provider terminal 200 and selecting to modify the security guideline template (step E302), theISMS operating device 100 modifies the security guideline database by modifying the items such as the contents of the security guideline template. 127 is updated (at this time, the registration date is automatically updated on the date on which the registration date is updated) (step C802).
[0130]
After selecting the security guideline at the membershipservice provider terminal 200 and selecting to delete the security guideline template (step E303), theISMS operating apparatus 100 specifies the security guideline template to be deleted and executes the deletion process. By doing so, all registered items attached to the deleted security guideline template are deleted from the security guideline database 127 (step C803).
[0131]
{Circle around (3)} Processing of the usage status reference function 119 (see FIG. 16)
[0132]
When the member systemservice provider terminal 200 accesses the maintenance function on theISMS operating device 100 and selects a usage log file (not shown) (step E401), theISMS operating device 100 stores the log for each contracted member. The usage log file is extracted (step C901).
[0133]
When automatic summarization is selected for the extracted use status log file at the membership service provider terminal 200 (step E402), theISMS operating device 100 calculates the total use time per day, week, or month, and the most used time. The band is counted and displayed (step C902).
[0134]
As described above, the membership service provider can use the membership service by registering the member information of the member who has made the contract for the membership service and issuing the ID and the password.
[0135]
Further, the membership service provider can update the hearing sheet and the security guidelines as needed.
[0136]
Further, the membership service provider can refer to the usage status of the member who has subscribed to the membership service.
[0137]
As described above, according to the first embodiment, it is possible to provide a security management system from the formulation of the security guideline to the security check as a membership service using a network at a low usage fee.
[0138]
In addition, the membership service provides a system that allows multiple members to use the same system and realizes inexpensive usage fees by realizing all of them via a network without directly visiting customers for support in formulating security guidelines it can.
[0139]
In addition, hearing aid sheets and security guideline databases prepared for each type of business and scale can be used to support the formulation of security guidelines, and the time required for formulation can be significantly reduced.
[0140]
Furthermore, since the security guideline can be formulated using the security guideline database created for each type of business or scale, it is possible to prevent the quality of the security guideline from deteriorating and being affected by the skill level of the formulator.
[0141]
In addition, the system for realizing the membership service can be used without installing other special software as long as the client device has only an Internet browser and e-mail software.
[0142]
Further, since the system for realizing the membership service has a workflow function using the Web and e-mail, the operation efficiency of the security management system can be improved.
[0143]
[Second embodiment]
FIG. 17 is a block diagram illustrating a configuration of a security management system according to the second embodiment of the present invention. The security management system according to the present embodiment is different from the security management system according to the first embodiment shown in FIG. 1 only in that a security management program 1000 is added to theISMS operating device 100. . Therefore, other parts which are not particularly mentioned are denoted by the same reference numerals and their detailed description is omitted.
[0144]
The security management program 1000 is read by theISMS operating device 100 which is a computer, and controls the operation of theISMS operating device 100 by using an applicationrequest processing function 111 as a user function and a user master registration / update /Deletion function 112, securityguideline creation function 113, applicationform creation function 114, workflowstay monitoring function 115, andhistory reference function 116, member master registration / update /deletion function 117 which is a membership service provider function, security guideline template Registration / modification /deletion function 118, usagestatus reference function 119,application information database 121,history database 122,user database 123,organization database 124, application form database 125,member A database 126, and controls thesecurity guidelines database 127. The operation of theISMS operating device 100 under the control of the security management program 1000 is exactly the same as the operation of theISMS operating device 100 according to the first embodiment, and a detailed description thereof will be omitted.
[0145]
【The invention's effect】
The first effect is that a security management system from the formulation of security guidelines to security checks can be provided as a membership service using a network at a low usage fee.
[0146]
The second effect is that the membership system provides a system that allows multiple members to use the same system, and provides support for formulating security guidelines through a network without directly visiting customers. This can be achieved with a usage fee.
[0147]
A third effect is that the hearing guide sheets and security guideline databases created for each type of business and scale are used for security guideline formulation support, and the time required for formulation can be greatly reduced.
[0148]
The fourth effect is that security guidelines can be formulated using the security guideline database created for each type of business and size, thereby preventing the quality of security guidelines from deteriorating and being affected by the skill level of the formulator. is there.
[0149]
A fifth effect is that the system for implementing the membership service can be used without installing any other special software if the client device has only an Internet browser and e-mail software.
[0150]
A sixth effect is that the operation efficiency of the security management system can be improved because the system for implementing the membership service has a workflow function using the Web and e-mail.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a security management system according to a first embodiment of the present invention.
FIG. 2 is a block diagram illustrating a configuration of an ISMS operation device in FIG. 1;
FIG. 3 is a diagram illustrating an operation at the time of requesting an application in the security management system according to the first embodiment.
FIG. 4 is a diagram for explaining operations at the time of registering, updating, and deleting a user master in the security management system according to the first embodiment;
FIG. 5 is a diagram for explaining operations at the time of registration, update, and deletion of a member master in the security management system according to the first embodiment.
FIG. 6 is a flowchart illustrating a front part of processing of an application request processing function in the security management system according to the first embodiment.
FIG. 7 is a flowchart showing a middle part of processing of an application request processing function in the security management system according to the first embodiment.
FIG. 8 is a flowchart showing the latter part of the processing of the application request processing function in the security management system according to the first embodiment.
FIG. 9 is a flowchart showing processing of a user master registration / update / deletion function in the security management system according to the first embodiment.
FIG. 10 is a flowchart showing processing of a security guideline formulation function in the security management system according to the first embodiment.
FIG. 11 is a flowchart showing processing of an application form creation function in the security management system according to the first embodiment.
FIG. 12 is a flowchart illustrating processing of a workflow stay monitoring function in the security management system according to the first embodiment.
FIG. 13 is a flowchart illustrating processing of a history reference function in the security management system according to the first embodiment.
FIG. 14 is a flowchart showing processing of a member master registration / update / deletion function in the security management system according to the first embodiment.
FIG. 15 is a flowchart showing processing of a security guideline template registration / update / deletion function in the security management system according to the first embodiment.
FIG. 16 is a flowchart illustrating a process of a use status reference function in the security management system according to the first embodiment.
FIG. 17 is a block diagram illustrating a configuration of a security management system according to a second embodiment of the present invention.
[Explanation of symbols]
100 Security management system operation device (ISMS operation device)
Applicationrequest processing function 111
112 User Master Registration / Update / Delete Function
113 Security Guideline Formulation Function
114 Application Form Creation Function
115 Workflow retention monitoring function
116 History reference function
117 Member Master Registration / Update / Delete Function
118 Security guideline template registration / modification / deletion function
119 Usage status reference function
121 Application Information Database
122 History database
123 user database
124 organization database
125 Application form database
126 Member Database
127 Security Guideline Database
200 user terminal
300 Operation administrator terminal
400 Membership service provider terminal
500 networks
1000 Security Management Program

Claims (21)

Translated fromJapanese

会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する利用者によって使用される利用者端末と、
会員制サービスを契約した会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者によって使用される運用管理者端末と、
セキュリティマネジメントシステムの会員制サービス提供者によって使用される会員制サービス提供者端末と、
前記利用者端末，前記運用管理者端末，および前記会員制サービス提供者端末からのアクセスによりネットワーク上でセキュリティマネジメントシステムの運用を可能にするセキュリティマネジメントシステム運用装置と
を有することを特徴とするセキュリティマネジメントシステム。A user terminal used by a user who uses the security management system among members who have subscribed to the membership service,
An operation manager terminal used by an operation manager who operates and manages the security management system among members who have subscribed to the membership service,
A membership service provider terminal used by the security management system membership service provider,
A security management system comprising: a security management system operation device that enables operation of a security management system on a network by access from the user terminal, the operation manager terminal, and the membership service provider terminal. system.前記セキュリティマネジメントシステム運用装置が、利用者機能である申請依頼処理機能と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能と、会員の中でセキュリティマネジメントシステムを利用する一次申請者が最終承認者に対して一次申請者所属部門におけるセキュリティマネジメントに必要な各種作業の状況を報告する際に利用する申請情報データベースと、会員の中でセキュリティマネジメントシステムを利用する最終承認者が運用管理者宛てに申請した申請情報の履歴を登録する履歴データベースと、運用管理者が自分が所属する会員の中の利用者を登録，修正，削除する時に使用する利用者データベースと、運用管理者が自分が所属する会員の中の組織情報を登録，修正，削除する時に使用する組織データベースと、運用管理者が自分が所属する会員の中で使用する申請フォームの雛形をメニューとして登録する申請フォームデータベースと、会員制サービス提供者が会員の会員情報を登録する会員データベースと、会員制サービス提供者がセキュリティガイドラインの雛形および運用管理者が作成したセキュリティガイドラインを登録するセキュリティガイドラインデータベースとを有することを特徴とする請求項１記載のセキュリティマネジメントシステム。The security management system operation device includes an application request processing function as a user function, a user master registration / update / deletion function as an operation manager function, a security guideline formulation function, an application form creation function, a workflow retention monitoring function, Use the security management system among members, with the function of referencing and history, the function of registering / updating / deleting member masters, the function of registering / modifying / deleting security guideline templates, and the function of referencing the usage status, which are the functions of a membership service provider. An application information database used when the primary applicant reports the status of various tasks required for security management in the department to which the primary applicant belongs to the final applicant, and a final approver who uses the security management system among members Applied to the operations manager A history database that registers the history of application information, a user database that the operation manager uses when registering, modifying, and deleting users among the members to which he belongs, An organization database used when registering, modifying, and deleting organization information in the application, an application form database in which the operation manager registers as a menu the application form templates used by the members to which he belongs, and a membership service 2. The member database according to claim 1, wherein the member database includes a member database in which the member registers member information of the member, and a security guideline database in which the membership service provider registers a security guideline template and a security guideline created by an operation manager. Security management system.前記申請情報データベースのレコードが、申請日，申請者ＩＤ，申請者所属部門コード，申請フォーム区分，申請概要，申請内容，状態フラグ，否認日および否認理由，ならびに承認日および承認者の各フィールドからなることを特徴とする請求項２記載のセキュリティマネジメントシステム。The records of the application information database include fields for application date, applicant ID, applicant affiliation department code, application form classification, application summary, application content, status flag, rejection date and rejection reason, and approval date and approver. The security management system according to claim 2, wherein the security management system comprises:前記履歴データベースのレコードが、申請者所属部門コード，申請者ＩＤ，申請者／一次承認者所属部門コード，申請者／一次承認者ＩＤ，最終承認者所属部門コード，最終承認者ＩＤ，申請フォーム区分，申請概要，申請内容，および報告日の各フィールドからなることを特徴とする請求項２記載のセキュリティマネジメントシステム。The records of the history database are an applicant department code, an applicant ID, an applicant / primary approver department code, an applicant / primary approver ID, a final approver department code, a final approver ID, and an application form classification. 3. The security management system according to claim 2, comprising fields for: an application, an application summary, an application content, and a report date.前記利用者データベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，利用者ＩＤ，パスワード，利用者名，利用者所属部門コード，電子メールアドレス，利用者職制，および申請依頼者設定の各フィールドからなることを特徴とする請求項２記載のセキュリティマネジメントシステム。The record of the user database is a registration date or a last update date, a registered or last updated operation manager ID, a user ID, a password, a user name, a department code belonging to a user, an e-mail address, a user job system, and 3. The security management system according to claim 2, comprising fields for setting an application requester.前記組織データベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，部門コード，部門名，部門階層，および承認権限設定の各フィールドからなることを特徴とする請求項２記載のセキュリティマネジメントシステム。The record of the organization database includes fields of a registration date or a last update date, a registered or last updated operation manager ID, a department code, a department name, a department hierarchy, and an approval authority setting. The described security management system.前記申請フォームデータベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，申請フォーム区分，および申請フォームの各フィールドからなることを特徴とする請求項２記載のセキュリティマネジメントシステム。3. The security management system according to claim 2, wherein the record of the application form database includes registration date or last update date, registered or last updated operation manager ID, application form classification, and application form fields. .前記会員データベースのレコードが、登録日または最終更新日，企業／団体名，住所，ＴＥＬ／ＦＡＸ，運用管理者ＩＤ，運用管理者パスワード，およびサービス利用形態の各フィールドからなることを特徴とする請求項２記載のセキュリティマネジメントシステム。The record of the member database includes fields of a registration date or a last update date, a company / organization name, an address, TEL / FAX, an operation manager ID, an operation manager password, and a service use mode. Item 3. The security management system according to Item 2.前記セキュリティガイドラインデータベースのレコードが、登録日または最終更新日，登録または最終更新した運用管理者ＩＤ，対応業種，対応企業／団体規模，用途，キーワード，およびセキュリティガイドラインの各フィールドからなることを特徴とする請求項２記載のセキュリティマネジメントシステム。The record of the security guideline database includes fields of a registration date or a last update date, a registered or last updated operation manager ID, a corresponding business type, a corresponding company / organization scale, a use, a keyword, and a security guideline. The security management system according to claim 2, wherein利用者機能である申請依頼処理機能と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能と、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する一次申請者が最終承認者に対して一次申請者所属部門におけるセキュリティマネジメントに必要な各種作業の状況を報告する際に利用する申請情報データベースと、会員の中でセキュリティマネジメントシステムを利用する最終承認者が運用管理者宛てに申請した申請情報の履歴を登録する履歴データベースと、会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する会員の中の利用者を登録，修正，削除する時に使用する利用者データベースと、運用管理者が自分が所属する会員の中の組織情報を登録，修正，削除する時に使用する組織データベースと、運用管理者が自分が所属する会員の中で使用する申請フォームの雛形をメニューとして登録する申請フォームデータベースと、会員制サービス提供者が会員の会員情報を登録する会員データベースと、会員制サービス提供者がセキュリティガイドラインの雛形および運用管理者が作成したセキュリティガイドラインを登録するセキュリティガイドラインデータベースとを有することを特徴とするセキュリティマネジメントシステム運用装置。Application request processing function which is a user function, user master registration / update / deletion function which is an operation manager function, security guideline development function, application form creation function, workflow retention monitoring function, history reference function, and membership system Primary application to use the security management system among members who have subscribed to the service provider function, the member master registration / update / deletion function, security guideline template registration / modification / deletion function, and usage status reference function. The application information database used when the applicant reports the status of various tasks required for security management in the primary applicant's department to the final approver, and the final approver who uses the security management system among the members Register the history of application information applied to the administrator A history database, a user database that is used by an operation manager who operates and manages the security management system among members to register, modify, and delete users among the members to which the user belongs, and an operation manager An organization database that is used when registering, modifying, and deleting organization information among members to which the user belongs, and an application form database that registers a template of application forms used by the operation manager among members to which the operation manager belongs as a menu A membership database in which a membership service provider registers member information of members, and a security guideline database in which a membership service provider registers a security guideline template and a security guideline created by an operation manager. Security management system Apparatus for.コンピュータを、利用者機能である申請依頼処理機能と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能と、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する一次申請者が最終承認者に対して一次申請者所属部門におけるセキュリティマネジメントに必要な各種作業の状況を報告する際に利用する申請情報データベースと、会員の中でセキュリティマネジメントシステムを利用する最終承認者が運用管理者宛てに申請した申請情報の履歴を登録する履歴データベースと、会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者が自分が所属する会員の中の利用者を登録，修正，削除する時に使用する利用者データベースと、運用管理者が自分が所属する会員の中の組織情報を登録，修正，削除する時に使用する組織データベースと、運用管理者が自分が所属する会員の中で使用する申請フォームの雛形をメニューとして登録する申請フォームデータベースと、会員制サービス提供者が会員の会員情報を登録する会員データベースと、会員制サービス提供者がセキュリティガイドラインの雛形および運用管理者が作成したセキュリティガイドラインを登録するセキュリティガイドラインデータベースとして機能させるためのプログラム。Using a computer as an application request processing function, which is a user function, a user master registration / update / deletion function, a security guideline development function, an application form creation function, a workflow retention monitoring function, and a history reference function, which are operation manager functions , Membership service provider functions such as member master registration / update / deletion function, security guideline template registration / modification / deletion function, and usage status reference function, and use of the security management system among members who have subscribed to the membership service An application information database used by the primary applicant to report the status of various operations required for security management in the department to which the primary applicant belongs to the final approver, and a final approval to use the security management system among members Information applied by the user to the operations manager A history database for registering the history of the members, and a user database used when the operation manager who operates and manages the security management system among the members registers, corrects, and deletes the users among the members to which the member belongs. The organization database used when the operation manager registers, modifies, or deletes the organization information in the member to which the user belongs, and the template of the application form used by the operation manager in the member to which the operation manager belongs is registered as a menu. Application form database that functions as a membership database in which the membership service provider registers member information of members, and a security guideline database in which the membership service provider registers security guideline templates and security guidelines created by the operation manager Program to let you.会員制サービスを契約した会員の中でセキュリティマネジメントシステムを利用する利用者によって使用される利用者端末と、会員制サービスを契約した会員の中でセキュリティマネジメントシステムを運用および管理する運用管理者によって使用される運用管理者端末と、セキュリティマネジメントシステムの会員制サービス提供者によって使用される会員制サービス提供者端末と、前記利用者端末，前記運用管理者端末，および前記会員制サービス提供者端末からのアクセスによりネットワーク上でセキュリティマネジメントシステムの運用を可能にするセキュリティマネジメントシステム運用装置とを有するセキュリティマネジメントシステムにおいて、
前記セキュリティマネジメントシステム運用装置の処理が、利用者機能である申請依頼処理機能の処理と、運用管理者機能である利用者マスタ登録・更新・削除機能，セキュリティガイドライン策定機能，申請フォーム作成機能，ワークフロー滞留監視機能，および履歴参照機能の処理と、会員制サービス提供者機能である会員マスタ登録・更新・削除機能，セキュリティガイドライン雛形登録・修正・削除機能，および利用状況参照機能の処理とを含むことを特徴とする。User terminals used by users who use the security management system among members who have subscribed to the membership service, and operation managers who operate and manage the security management system among members who have subscribed to the membership service Operation manager terminal, a membership service provider terminal used by the security management system membership service provider, and the user terminal, the operation manager terminal, and the membership service provider terminal. In a security management system having a security management system operation device that enables operation of the security management system on a network by access,
The processing of the security management system operation device includes processing of an application request processing function as a user function, user master registration / update / deletion functions, security guideline development function, application form creation function, and workflow as operation manager functions. Include processing of stay monitoring function and history reference function, and processing of member master service provider functions such as member master registration / update / deletion function, security guideline template registration / modification / deletion function, and usage status reference function It is characterized by.前記申請依頼処理機能の処理が、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末で会員コーナ内の申請フォームメニューを選択し利用する申請フォーム区分を選択したときに、セキュリティマネジメントシステム運用装置で申請フォーム区分の申請フォームを申請フォームデータベースから抽出する工程と、利用者端末で抽出された申請フォームに申請情報を登録したときに、セキュリティマネジメントシステム運用装置で申請情報データベースに申請概要および申請内容を登録する工程と、利用者端末で申請情報の登録後に申請ボタンをクリックしたときに、セキュリティマネジメントシステム運用装置で利用者データベースを参照し申請者の申請依頼者を抽出し、申請依頼者の電子メールアドレス宛てに申請依頼メールを送信する工程と、他の利用者端末で申請依頼メールを受信後にセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、他の利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、他の利用者端末で会員コーナ内の申請データ承認メニューを選択したときに、セキュリティマネジメントシステム運用装置で組織データベースを参照し承認権限設定情報を抽出し、申請情報データベースを参照し抽出された承認権限設定情報から承認可能な申請情報を抽出する工程と、他の利用者端末で抽出された申請情報が承認されたときに、セキュリティマネジメントシステム運用装置で申請情報データベース内の申請情報に承認フラグ，承認日および承認者を登録し、履歴データベースにも承認したデータを登録する工程と、他の利用者端末で抽出された申請情報を否認し否認理由が登録されたときに、セキュリティマネジメントシステム運用装置で申請情報データベース内の申請情報に否認フラグ，否認日および否認理由を登録し、申請依頼者の電子メールアドレス向けに否認通知メールを送信する工程と、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、利用者端末で会員コーナ内の申請否認を選択したときに、セキュリティマネジメントシステム運用装置で利用者が作成した申請情報の中で他の利用者に否認処理されたデータを申請情報データベースから抽出する工程と、利用者端末で否認理由をもとに申請情報を修正したときに、セキュリティマネジメントシステム運用装置で申請情報データベースに修正後の申請概要および申請内容を登録する工程と、利用者端末で申請情報の修正後に申請を実行したときに、セキュリティマネジメントシステム運用装置で利用者データベースを参照し申請者の申請依頼者を抽出し、申請依頼者の電子メールアドレス宛てに申請依頼メールを送信する工程と、利用者端末で申請依頼メールを受信後にセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the processing of the application request processing function accesses the member corner on the security management system operation device with the user terminal and logs in with the operation manager ID and password, the operation manager ID and password are Check whether the member exists in the member database, if it exists, log in to the member corner, if not, output an error message and disable log-in. When accessing a corner and logging in with a user ID and password, the security management system operation device checks whether the user ID and password exist in the user database, and if there is, a member who can use only the own department. If the user does not have an application, an error message is output and login is disabled, and if the user selects the application form menu in the member corner and selects the application form to use, The process of extracting the application form of the application form category from the application form database on the management system operating device, and applying the application information to the application information database on the security management system operating device when registering the application information in the extracted application form on the user terminal The process of registering the outline and the contents of the application, and when the application button is clicked after the registration of the application information on the user terminal, the security management system operation device refers to the user database to extract the applicant requester of the applicant and apply. Request to the requester's e-mail address A step of sending a request mail, and when receiving an application request mail at another user terminal and accessing a member corner on the security management system operation device and logging in with the operation manager ID and password, the security management system operation device Checking whether the operation manager ID and password exist in the member database, and if so, making it possible to log in to the member corner; if not, outputting an error message and making it impossible to log in; When the user accesses the member corner on the security management system operation device and logs in with the user ID and password, the security management system operation device checks whether the user ID and password exist in the user database. If you can log in to the member corner that can be used only by your own department, output an error message if it does not exist and disable login, and if you select the application data approval menu in the member corner on another user terminal Extracting the approval authority setting information by referring to the organization database with the security management system operating device, extracting the approveable application information from the extracted approval authority setting information by referring to the application information database, and other user terminals. When the application information extracted in step is approved, the security management system operating device registers the approval flag, approval date and approver in the application information in the application information database, and registers the approved data in the history database. When the application information extracted by another user terminal is denied and the reason for denial is registered A step of registering a denial flag, a date of denial, and a reason for denial in the application information in the application information database with the security management system operating device, and transmitting a denial notification mail to the e-mail address of the requester; When accessing the member corner on the system operation device and logging in with the operation manager ID and password, the security management system operation device checks whether the operation manager ID and password exist in the member database. A process in which login to the corner is permitted and an error message is output if it does not exist to disable login, and when a user terminal accesses a member corner on the security management system operation device and logs in with a user ID and password In the security management system operation device, check whether the user ID and password exist in the user database, and if so, log in to the member corner that can be used only by the own department. If not, output an error message. In the process of disabling login, and when selecting application denial in the member corner at the user terminal, the data denied to other users in the application information created by the user with the security management system operation device Extracting the application information from the application information database, and registering the revised application summary and application contents in the application information database on the security management system operation device when the application information is modified based on the reason for denial at the user terminal. When the application is executed after correcting the application information on the user terminal, The process of transmitting the application request mail to the e-mail address of the application requester by extracting the application requester by referring to the user database on the security management system operation device, and receiving the application request e-mail at the user terminal Later, when accessing the member corner on the security management system operation device and logging in with the operation manager ID and password, the security management system operation device checks whether the operation manager ID and password exist in the member database, 13. The security management service providing method according to claim 12, further comprising the steps of: enabling login to the member corner if the member does not exist; and outputting an error message to disable login if the member corner does not exist.前記利用者マスタ登録・更新・削除機能の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内の利用者マスタを選択後に新規利用者の登録を選択したときに、セキュリティマネジメントシステム運用装置で新規登録の場合は利用者データベースに利用者ＩＤ，パスワード，利用者名，電子メールアドレス，利用者所属部門コード，利用者職制，および申請依頼者設定の各項目を新規登録する工程と、運用管理者端末で運用管理者コーナ内の利用者マスタを選択後に既存利用者の利用者マスタの修正を選択したときに、セキュリティマネジメントシステム運用装置で利用者ＩＤ，パスワード等の項目を修正することにより利用者データベースが更新される工程と、運用管理者端末で運用管理者コーナ内の利用者マスタを選択後に既存利用者の利用者マスタの削除を選択したときに、セキュリティマネジメントシステム運用装置で削除対象となる利用者ＩＤを指定して削除処理を行うことにより削除した利用者のすべての登録項目が利用者データベースから削除される工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the process of the user master registration / update / deletion function is performed by accessing the member corner on the security management system operation device with the operation manager terminal and logging in with the operation manager ID and password, the operation is performed by the security management system operation device. Check whether the administrator ID and password exist in the member database, if it exists, log in to the member corner, and if not, output an error message and disable login. When accessing the member corner on the management system operation device and logging in with the user ID and password, the security management system operation device checks whether the user ID and password exist in the user database. Login to the operation manager corner that can be used only by the administrator, and output an error message to disable login if it does not exist, and select a user master in the operation manager corner from the operation manager terminal When user registration is selected and the security management system operation device is newly registered, the user database contains the user ID, password, user name, e-mail address, user department code, user job system, and The process of newly registering each item of the application requester setting, and the operation of the security management system when the user master in the operation manager corner is selected on the operation administrator terminal and the user master of the existing user is selected for modification A process of updating a user database by correcting items such as a user ID and a password in the device; When the user master in the operation manager corner is selected on the operation manager terminal and the user master of the existing user is selected for deletion, the user ID to be deleted is specified and deleted on the security management system operation device. 13. The method according to claim 12, further comprising the step of: deleting all registered items of the user deleted by performing the processing from the user database.前記セキュリティガイドライン策定機能の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内のセキュリティガイドラインを選択し利用するセキュリティガイドラインの雛形を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインの雛形をセキュリティガイドラインデータベースから抽出する工程と、運用管理者端末でセキュリティガイドラインの雛形をもとにセキュリティガイドラインの作成に着手する工程と、運用管理者端末であらかじめ用意されているヒアリングシートを記入し電子メールに添付して会員制サービス提供者に送信したときに、会員制サービス提供者端末でヒアリングシートに基づきセキュリティガイドラインの雛形の修正内容をアドバイスする工程と、運用管理者端末でセキュリティガイドラインの作成終了後に既にセキュリティガイドラインの雛形上で登録されている対応業種，規模，用途，および検索用キーワードを必要であれば修正し新規登録を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインデータベースに対応業種，対応企業／団体規模，用途，キーワード，およびセキュリティガイドラインを登録する工程と、運用管理者端末でセキュリティガイドラインの修正を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインデータベースからログインした運用管理者が作成したセキュリティガイドラインを抽出する工程と、運用管理者端末でセキュリティガイドラインの修正後にセキュリティガイドラインの修正を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインデータベースに修正後の内容を更新する工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the processing of the security guideline formulation function accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the operation manager ID and password, the operation manager ID and password are used in the security management system operation device. Check if the file exists in the member database. If there is, log in to the member corner. If it does not exist, output an error message and disable log in. When the user accesses the member corner and logs in with the user ID and password, the security management system operation device checks whether the user ID and password exist in the user database. Log in to the operation manager corner that can be used only by departments, and output an error message if it does not exist and disable log in, and select and use the security guideline in the operation manager corner with the operation manager terminal Extracting the security guideline template from the security guideline database using the security management system operating device when the template is selected, and starting the creation of the security guideline based on the security guideline template using the operation administrator terminal. When you fill in a hearing sheet prepared in advance on the operation administrator terminal and attach it to an e-mail and send it to the membership service provider, the security guide is based on the hearing sheet on the membership service provider terminal If you need the process of advising the contents of the modification of the inline template, and the type of business, scale, usage, and search keyword already registered in the security guideline template after the security guideline is created on the operation administrator terminal, When correcting and selecting new registration, the security management system operation device registers the corresponding industry type, applicable company / organization size, use, keywords, and security guidelines in the security guideline database using the security management system operation device. The process of extracting the security guideline created by the logged-in administrator from the security guideline database on the security management system operation device when the correction is selected, and the security 13. The security management service providing method according to claim 12, further comprising the step of: when the security guideline is selected to be corrected after the correction of the idline, updating the security guideline database with the corrected content in the security management system operating device. .前記申請フォーム作成機能の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内の申請フォームを選択後に新規フォームを画面上で作成したときに、セキュリティマネジメントシステム運用装置で新規登録の場合は申請フォームを申請フォームデータベースに新規登録する工程と、運用管理者端末で運用管理者コーナ内の申請フォームを選択後に申請フォームの修正または削除を画面上で選択したときに、セキュリティマネジメントシステム運用装置で申請フォームデータベースからログインした運用管理者が作成した申請フォームを抽出する工程と、運用管理者端末で申請フォームの修正後に申請フォームの修正を選択したときに、セキュリティマネジメントシステム運用装置で申請フォームデータベースに修正後の内容を更新する工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the processing of the application form creation function accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the operation manager ID and password, the operation manager ID and password are used in the security management system operation device. Check if the file exists in the member database. If there is, log in to the member corner. If it does not exist, output an error message and disable log in. When accessing the member corner and logging in with the user ID and password, the security management system operation device checks whether the user ID and password exist in the user database. Log in to the available administrator's corner, and output an error message if it does not exist and disable login, and select the application form in the administrator's corner on the administrator's terminal, and then create a new form on the screen At the time of creation, in the case of new registration on the security management system operation device, a step of newly registering the application form in the application form database, and after selecting the application form in the operation manager corner on the operation administrator terminal, The process of extracting the application form created by the operation administrator who logged in from the application form database on the security management system operation device when deleting is selected on the screen, and modifying the application form after modifying the application form on the operation administrator terminal Security management Security management service providing method according to claim 12, wherein the comprising the step of updating the contents of the corrected the application forms database in system operation device.前記ワークフロー滞留監視機能の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば自部門のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内のワークフロー滞留監視を選択したときに、セキュリティマネジメントシステム運用装置で運用管理者が所属する会員におけるワークフローの滞留状況を集計する工程と、運用管理者端末で集計されたワークフローの滞留状況をチェックし、ワークフローが滞留している部門の部門長宛てに電子メールで処理の促進を督促したときに、利用者端末で運用管理者から自部門のワークフローの滞留状況の報告を電子メールで運用管理者とやりとりする工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the processing of the workflow retention monitoring function accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the operation manager ID and password, the operation manager ID and password are used in the security management system operation device. Check if the file exists in the member database. If there is, log in to the member corner. If it does not exist, output an error message and disable log in. When the user accesses the member corner and logs in with the user ID and password, the security management system operation device checks whether the user ID and password exist in the user database. The process of enabling login to the available administrator corner and outputting an error message if it does not exist, and disabling login, and the security management when the workflow stay monitoring in the administrator corner is selected on the operator terminal The process of summarizing the staying status of the workflow of the member to which the operation manager belongs in the system operation device, and checking the staying status of the totalized workflow in the operation manager terminal, and sending it to the section manager of the department where the workflow is staying A step of exchanging a report of the stay status of the workflow of the own department with the operation manager from the operation manager at the user terminal by e-mail when urging the promotion of the processing by e-mail. 13. The security management service providing method according to item 12.前記履歴参照機能の処理が、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし運用管理者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤおよびパスワードが会員データベースに存在するかどうかをチェックし、存在すれば会員コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末でセキュリティマネジメントシステム運用装置上の会員コーナにアクセスし利用者ＩＤおよびパスワードでログインしたときに、セキュリティマネジメントシステム運用装置で利用者ＩＤおよびパスワードが利用者データベースに存在するかどうかをチェックし、存在すれば運用管理者のみ利用できる運用管理者コーナにログイン可とし、存在しなければエラーメッセージを出力してログイン不可とする工程と、運用管理者端末で運用管理者コーナ内の履歴参照を選択後にチェックする部門を選択したときに、セキュリティマネジメントシステム運用装置で選択された部門の履歴のみを履歴データベースから抽出する工程と、運用管理者端末で抽出された履歴情報から参照したいデータを選択し参照する工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the process of the history reference function accesses the member corner on the security management system operation device with the operation manager terminal and logs in with the operation manager ID and password, the operation manager ID and password are Checking whether it exists in the member database, if it exists, log in to the member corner is possible, if it does not exist, output an error message and disable login, and use the operation manager terminal on the security management system operation device When accessing the member corner and logging in with the user ID and password, the security management system operation device checks whether the user ID and password exist in the user database, and if they exist, only the operation administrator can use it. When a login is permitted to the operation manager corner and an error message is output if it does not exist and login is disabled, and when the department to be checked after selecting the history reference in the operation manager corner on the operation manager terminal is selected Extracting only the history of the department selected by the security management system operation device from the history database, and selecting and referencing data to be referred from the history information extracted by the operation manager terminal. 13. The security management service providing method according to claim 12, wherein:前記会員マスタ登録・更新・削除機能の処理が、会員制サービス提供者端末でセキュリティマネジメントシステム運用装置上のメンテナンス機能にアクセスし会員マスタを選択したときに、セキュリティマネジメントシステム運用装置で新規登録の場合は会員データベースに企業／団体名，住所，ＴＥＬ／ＦＡＸ，運用管理者ＩＤ，運用管理者パスワード，および会員制サービス利用形態を新規登録する工程と、会員制サービス提供者端末で会員マスタを選択後に会員マスタの修正を選択したときに、セキュリティマネジメントシステム運用装置で運用管理者ＩＤ，運用管理者パスワード等の項目の修正により会員データベースが更新される工程と、会員制サービス提供者端末で会員マスタを選択後に会員マスタの削除を選択したときに、セキュリティマネジメントシステム運用装置で削除対象となる運用管理者ＩＤを指定して削除処理を行うことにより削除した会員のすべての登録項目が会員データベースから削除される工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the processing of the member master registration / update / deletion function is performed, when the maintenance function on the security management system operation device is accessed by the membership service provider terminal and the member master is selected, the registration is newly performed by the security management system operation device. Is a process for newly registering the company / organization name, address, TEL / FAX, operation manager ID, operation manager password, and membership service use form in the member database, and after selecting the member master at the membership service provider terminal. When the member master is selected to be modified, the member database is updated by modifying the operation manager ID, the operation manager password, and other items in the security management system operation device, and the member master is updated in the member service provider terminal. If you select to delete the member master after selecting, And deleting all the registered items of the deleted member from the member database by performing the deletion process by specifying the operation manager ID to be deleted in the security management system operation device. Item 13. The security management service providing method according to Item 12.前記セキュリティガイドライン雛形登録・修正・削除機能の処理が、会員制サービス提供者端末でセキュリティマネジメントシステム運用装置上のメンテナンス機能にアクセスしセキュリティガイドラインを選択したときに、セキュリティマネジメントシステム運用装置で新規登録の場合はセキュリティガイドラインデータベースに対応業種，対応する企業の規模，用途，検索用キーワード，およびセキュリティガイドラインの雛形を登録する工程と、会員制サービス提供者端末でセキュリティガイドラインを選択後にセキュリティガイドラインの雛形の修正を選択したときに、セキュリティマネジメントシステム運用装置でセキュリティガイドラインの雛形の内容等の項目の修正によりセキュリティガイドラインデータベースが更新される工程と、会員制サービス提供者端末でセキュリティガイドラインを選択後にセキュリティガイドラインの雛形の削除を選択したときに、セキュリティマネジメントシステム運用装置で削除対象となるセキュリティガイドラインの雛形を指定して削除処理を行うことにより削除したセキュリティガイドラインの雛形に付随したすべての登録項目がセキュリティガイドラインデータベースから削除される工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the security guideline template registration / modification / deletion function process accesses the maintenance function on the security management system operation device at the membership system service provider terminal and selects the security guideline, the security management system operation device In the case, the process of registering the type of business, the size of the corresponding company, the use, the search keyword, and the template of the security guideline in the security guideline database, and modifying the template of the security guideline after selecting the security guideline on the terminal of the membership service provider Is selected, the security guideline database is updated by correcting items such as the contents of the security guideline template on the security management system operation device. When selecting the security guideline after selecting the security guideline on the member service provider terminal and deleting the security guideline template, the security management system operation device specifies the security guideline template to be deleted and performs the deletion process. 13. The security management service providing method according to claim 12, further comprising the step of: deleting all registered items attached to the security guideline template deleted from the security guideline database.前記利用状況参照機能の処理が、会員制サービス提供者端末でセキュリティマネジメントシステム運用装置上のメンテナンス機能にアクセスし利用状況ログファイルを選択したときに、セキュリティマネジメントシステム運用装置で契約した会員ごとに蓄積された利用状況ログファイルを抽出する工程と、会員制サービス提供者端末で抽出した利用状況ログファイルに対し自動集計を選択したときに、セキュリティマネジメントシステム運用装置で日，週，月単位の利用時間合計や最も利用している時間帯の集計等を行い表示する工程とを含むことを特徴とする請求項１２記載のセキュリティマネジメントサービス提供方法。When the processing of the use status reference function accesses the maintenance function on the security management system operation device at the membership service provider terminal and selects the use status log file, it is accumulated for each member contracted by the security management system operation device. Extracting the used usage log file and, when automatic summarization is selected for the usage log file extracted by the membership service provider terminal, using the security management system operation device on a daily, weekly, or monthly basis. 13. The security management service providing method according to claim 12, further comprising a step of totalizing and summing up a time zone most frequently used and displaying the totalized time zone.

Images