「
4.組織における情報セキュリティ対策
」を編集中
2010年7月30日 (金) 22:11時点における
192.168.200.252
(
トーク
)
による版
(
差分
)
← 古い版
|
最新版
(
差分
) |
新しい版 →
(
差分
)
ナビゲーションに移動
検索に移動
警告: このページの古い版を編集しています。
公開すると、この版以降になされた変更がすべて失われます。
警告:
ログインしていません。編集を行うと、あなたの IP アドレスが公開されます。
ログイン
または
アカウントを作成
すれば、あなたの編集はその利用者名とともに表示されるほか、その他の利点もあります。
スパム攻撃防止用のチェックです。 けっして、ここには、値の入力は
しない
でください!
←[[3.情報セキュリティの基本概念]]|[[ISMS教育資料]] <div id="manual"> =='''4-1.情報セキュリティ基本方針'''== <div class="example"> ・'''情報セキュリティ基本方針'''<br> 情報セキュリティ基本方針とは'''情報セキュリティに関する組織の基本方針をまとめたもの'''です。<br> 経営陣によって承認され、全従業員及び外部関係者に公表・通知しなければなりません。<br> また、情報セキュリティ基本方針は、引き続き適切、妥当及び有効であることを確実にするために、あらかじめ定められた間隔でレビューしなければなりません。<br><br> ・'''情報セキュリティマニュアル'''<br> 情報セキュリティ対策の全般にわたって必要な、適用範囲や定義、責任と要件、遵守義務などを規定する文書です。<br><br> ・'''管理規定'''<br> 情報セキュリティ対策のための個別規程であり、情報セキュリティ対策の対象別の基準を規定します。 </div> =='''4-2.情報セキュリティ組織'''== <div class="example"> '''■情報セキュリティ組織'''<br> 経営者を情報セキュリティ組織のトップに置き、その下に情報セキュリティ管理責任者を設置しています。<br> 大切なのは形式ではなく、誰が「責任者」なのかを明確にして運用することです。<br><br> ・'''経営者'''<br> 経営方針に合わせた情報セキュリティ基本方針を策定します。<br> 対策の検討については、担当者任せにせず、積極的に関わることが大切です。<br> 情報セキュリティ管理責任者から、社内の対策状況や事故報告を受けた場合には、経営者自らが改善の指示を出します。<br><br> ・'''情報セキュリティ委員会'''<br> 複数の部門の代表者により構成されます。<br> 経営者とともに、部門横断での対策検討や情報セキュリティ対策に関する重要課題の稟議を行います。<br><br> ・'''情報セキュリティ管理責任者'''<br> 情報セキュリティに関する責任者です。<br> 対策の実施、社内の指導、事故や緊急時への対応指示を出します。必要に応じて、社員の招集や経営者への報告などを行います。<br><br> ・'''従業者'''<br> 組織が決めた情報セキュリティルールを順守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。 </div> =='''4-3.社員への教育'''== 長い時間をかけ、緻密にセキュリティポリシーを作成したとしても、'''社員が遵守しなければ意味がなくなってしまいます'''。<br> 社員への教育は、企業風土に合った方法で、継続的に行うことが大切です。<br> また、社員の立場に立ち、理解しやすい表現を用い、大きな負担をかけない気配りも必要です。<br> 教育の方法としては、集合研修・eラーニング・教育資料・ポスターなどの媒体を利用します。<br><br> =='''4-4.委託先への対応'''== 企業は、日々の事業活動を行う中で、外部業務委託をするケースが多く発生します。<br><br>業務委託をする場合、'''企業のセキュリティポリシーや情報セキュリティ対策を理解してもらうことは勿論のこと、具体的な委託契約を締結しつつ、定期的な管理を行う'''ことが必要です。<br> また、委託される側の企業としても、預かった情報をしっかりと管理できる仕組みや対策を講じておくことが、仕事の受注にも影響するようになってきています。<br> 対外的なアピール材料としては、定期的に外部のセキュリティ監査を受け、監査報告を提示することや、プライバシーマークやISO27001等の情報セキュリティに関する第三者認証を取得するなどの方法があります。<br> <div class="example"> '''■委託契約書に盛り込むべき事項'''<br> ・委託内容、範囲、責任の明確化<br> ・委託契約期間<br> ・守秘義務の取り決め<br> ・委託契約終了後の情報の取り決め(返還・消去・廃棄等)<br> ・再委託に関する取り決め<br> ・委託業者の情報セキュリティ管理に対する内容<br> ・契約内容を遵守していることの確認<br> ・契約内容を違反した場合の措置<br> ・セキュリティ事件・事故が発生した場合の措置<br> </div> =='''4-5.点検と見直し'''== 企業を取り巻く環境は、市場環境、顧客ニーズ、取引先との関係等により、日々変化しています。<br> 加えて、万が一、事件・事故が生じた場合、その原因究明と新たな情報セキュリティ対策を施すことにより、社内体制、社内規程の変更を行う必要があります。<br> 企業は、このような環境変化がある度、社内の情報セキュリティ対策の点検と改善を施し、情報セキュリティレベルを維持管理する事が肝心です。<br> <div class="example"> '''◇点検が必要と思われる状況'''<br> ・市場環境、顧客ニーズの変化<br> ・取引先、委託業者の変更<br> ・事件・事故への対応<br> ・親会社、委託元からの要望<br> ・社内のインフラ、情報システムの追加・変更<br> ・社内の組織、業務、運用の追加・変更<br> </div> </div>
編集内容の要約:
Wiki@KDSへの投稿はすべて、他の投稿者によって編集、変更、除去される場合があります。 自分が書いたものが他の人に容赦なく編集されるのを望まない場合は、ここに投稿しないでください。
また、投稿するのは、自分で書いたものか、パブリック ドメインまたはそれに類するフリーな資料からの複製であることを約束してください(詳細は
Wiki@KDS:著作権
を参照)。
著作権保護されている作品は、許諾なしに投稿しないでください!
キャンセル
編集の仕方
(新しいウィンドウで開きます)
案内メニュー
個人用ツール
ログインしていません
トーク
投稿記録
アカウント作成
ログイン
名前空間
ページ
議論
日本語
表示
閲覧
編集
履歴表示
その他
検索
案内
メインページ
最近の更新
おまかせ表示
MediaWikiについてのヘルプ
ツール
リンク元
関連ページの更新状況
特別ページ
ページ情報