「
情報セキュリティ基本方針(A5)
」を編集中
2010年3月17日 (水) 13:12時点における
Unno
(
トーク
|
投稿記録
)
による版
(差分) ← 古い版 |
最新版
(
差分
) |
新しい版 →
(
差分
)
ナビゲーションに移動
検索に移動
警告: このページの古い版を編集しています。
公開すると、この版以降になされた変更がすべて失われます。
警告:
ログインしていません。編集を行うと、あなたの IP アドレスが公開されます。
ログイン
または
アカウントを作成
すれば、あなたの編集はその利用者名とともに表示されるほか、その他の利点もあります。
スパム攻撃防止用のチェックです。 けっして、ここには、値の入力は
しない
でください!
教育資料03の情報セキュリティのための組織(A6)です。<br> [[ISMS教育資料]]|[[資産の管理(A7)]]→ <div id="manual"> =='''内部組織[A6.1]'''== 【目的】<br> 組織内の情報セキュリティを管理するため。 <div class="example"> ===情報セキュリティ責任の割当て[A6.1.3]=== 【管理策】<br> <em>すべての情報セキュリティ責任を、明確に定めなければならない。</em><br> 【解説】<br> 情報資産の保護責任や、ISMS運用の実施責任は誰にあるのかを明確にするため、責任部門や責任者を具体的に明示する必要がある。<br> <div class="example"> '''当社ではISMS実施責任を「組織管理規定」「要員管理規定」「職務権限管理規定」で、情報資産の保護責任は「情報資産管理規定」で定めている。'''<br> *・ISMS事務局・ISMSリーダーが中心にISMSを運用実施している。また、個々の情報資産については保護ラベルで取扱責任者を明示している。 </div> </div> <div class="example"> ===情報処理設備の認可プロセス[A6.1.4]=== 【管理策】<br> <em>新しい情報処理設備に対する経営陣による認可プロセスを定め、実施しなければならない。</em><br> 【解説】<br> 情報処理にかかわる設備・施設の導入については、情報セキュリティに及ぼす影響が大きいことから、導入に関する経営陣の承認プロセスを定める必要がある。 <div class="example"> '''当社では「施設・設備管理規定」で定めている。'''<br> *・ISMS事務局にて調整・検討を行い、ISMS委員会(社長・役員も所属)にて承認を得る。 </div> </div> <div class="example"> ===秘密保持契約 [A6.1.5]=== 【管理策】<br> <em>情報保護に対する組織の必要を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューしなければならない。</em><br> 【解説】<br> 会社と従業員との間で交わす秘密保持契約には、秘密情報を保護するための要求事項を取り上げる。<br> 秘密保持契約に関する要求事項は、定期的に、及びこれら要求に影響する変化が発生した場合にレビューしなければならない。 <div class="example"> '''当社では「要員管理規定」で定めている。'''<br> *・社員は「機密保持誓約書」の提出、派遣社員は「機密保持契約書」の締結を行う。 *・内容についてはISMS管理責任者がレビューする。 </div> </div> <div class="example"> ===情報セキュリティの独立したレビュー[A6.1.8]=== 【管理策】<br> <em>情報セキュリティ及びその実施のマネジメントに対する組織の取組み(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)について、あらかじめ計画した間隔で、又はセキュリティの実施に重大な変化が生じた場合に、独立したレビューを実施しなければならない。</em><br> 【解説】<br> ISMSを構築したら、その内容とそれが確実に実施されているかどうかをレビューしなければならない。レビューは日常業務の枠から独立した形で、定期的又は業務や情報施設、ISMSに大きな変更があった場合に行う。 <div class="example"> '''当社では「セキュリティマニュアル」で定めている。'''<br> *・マネジメントレビュー、内部監査にてレビューを行っている。 </div> </div> <div id="manual"> =='''外部組織[A6.2]'''== 【目的】<br> 外部組織によってアクセス、処理、通信、又は管理される組織の情報及び情報処理施設のセキュリティを維持するため。 <div class="example"> ===外部組織に関係したリスクの識別[A6.2.1]=== 【管理策】<br> <em>外部組織がかかわる業務プロセスからの、組織の情報及び情報処理施設に対するリスクを識別しなければならない。また、外部組織にアクセスを許可する前に適切な管理策を実施しなければならない。</em><br> 【解説】<br> 第三者が情報処理施設及び設備へのアクセスすることの必要性、アクセスを許可した場合に生じるリスクなどについて評価し、その結果をふまえて必要な管理策を講じる。<br> <div class="example"> '''当社では「施設・設備管理規定」で定めている。'''<br> *・管理レベルにより、社内エリアを区分し、入退管理を実施する。 *・身分証による識別/施設入退室管理表によるビジターバッジ・入館証発行/昼休み・18時~9時の施錠/受渡場所の設定/作業時の社員立会など </div> </div> <div class="example"> ===第三者との契約におけるセキュリティ[A6.2.3]=== 【管理策】<br> <em>組織の情報若しくは情報処理施設が関係するアクセス・処理・通信・管理にかかわる第三者との契約、又は情報処理施設に製品・サービスを追加する第三者との契約は、関連するすべてのセキュリティ要求事項を取り上げなければならない。</em><br> 【解説】<br> 情報処理や社内の情報処理設備の管理を外部委託する場合は、その委託先と外部委託に関係する要求事項(責任範囲・守秘義務・損害賠償・注意義務など)について明確に定めた契約を締結する。<br> <div class="example"> '''当社では「外部組織管理規定」「外部委託管理規定」で定めている。'''<br> *・外部委託先起業とは機密保持契約を締結している。 </div> </div> </div>
編集内容の要約:
Wiki@KDSへの投稿はすべて、他の投稿者によって編集、変更、除去される場合があります。 自分が書いたものが他の人に容赦なく編集されるのを望まない場合は、ここに投稿しないでください。
また、投稿するのは、自分で書いたものか、パブリック ドメインまたはそれに類するフリーな資料からの複製であることを約束してください(詳細は
Wiki@KDS:著作権
を参照)。
著作権保護されている作品は、許諾なしに投稿しないでください!
キャンセル
編集の仕方
(新しいウィンドウで開きます)
案内メニュー
個人用ツール
ログインしていません
トーク
投稿記録
アカウント作成
ログイン
名前空間
ページ
議論
日本語
表示
閲覧
編集
履歴表示
その他
検索
案内
メインページ
最近の更新
おまかせ表示
MediaWikiについてのヘルプ
ツール
リンク元
関連ページの更新状況
特別ページ
ページ情報