「ISMS概論」を編集中 (節単位)

==ISMS管理の具体的な手順・約束事！==

'''ISMSではルールを定め、仕事を管理しながら運用することが重要であり、それが最大の効果を生む。'''<br>また、管理によって、業務における責任と範囲が明確になるという副次的な効果もある。

<div class="example">
'''<em>リスク管理に対する心構え</em>'''
*1.問題や事故を予防するため、'''事前に予測'''をして、対策を考える。
*2.問題が起きたときには決められた手順で対応を行い、'''被害を最小限'''に抑える。
*3.事故の原因や要因となる要素を事前に検討し、事故の'''再発を防ぐ'''。
[[画像:isms_mind.gif]]
</div>

→これらのことを実践することは、企業の利益を維持するために必須である。<br><br>
以下、'''<em>ISMSを遵守するためには、具体的にどう行動すべきか</em>'''を説明する。<br>※[http://www.kohga.net/ISMS/rule/index.html 管理規定の原文はこちら]にあります。

<div class="example">
===■入退室管理について===
*・社内では「IDカード(名札)」をつける。
*・施設内の執務エリアの定義は理解する。 [http://www.kohga.net/ISMS/PDF/IB_fl_tokd.pdf →東京DSオフィスのエリア管理について【PDF：66K】]
*・外部業者との物品受け渡しは、執務エリア外のドア入り口付近で行う。
*・外部委託業者などが執務エリアに入るときは、「施設入退室管理表」に記入してもらうこと。またその場合は必ず立ち会い、外部委託業者のみで行動しないようにする。
*・会社が無人になる場合は必ず施錠する。
</div>

<div class="example">

===■クリアデスク・クリアスクリーンについて===
*・'''クリアデスクとは、<em>机の上に機密情報を置き去りにしない</em>よう、机の上の整理整頓を行うこと。 特に離席時に機密書類は仕舞う。''' 
　→【理由】机の上に重要・機密情報が書かれた紙などを放置しないようにすることにより、情報の盗み見や持ち出しを防止する。
*・'''クリアスクリーンとは、<em>離席するときにパソコンの中身を見られないようにすること</em>'''。
　→【理由】通りがかりの人が操作可能な状態でパソコンを放置しないようにすることにより、機密情報の盗み見・持ち出しやなりすましアクセスなどを防止する。 
*・スクリーンセーバーの時間は、原則'''「5分」'''と定める。立ち上げる際には'''<em>パスワード入力を求める設定</em>'''にすること。
</div>

<div class="example">

===■携帯電話について===
*・'''携帯に「顧客担当者の個人情報」が入っている場合、紛失や盗難のリスクを考慮し、普段から「ロック設定」をする。'''
*・仕事関係の個人情報が携帯に入っていなければ、特にロックをする必要はない。
*・会社の電話番号など、一般公開されているものは個人情報ではない。
</div>

<div class="example">
===■情報資産管理について===
*・全ての書類に適切な保護レベルを定め、運用・管理を行う。'''<em>保護レベルに応じた「保管」「廃棄」方法が必要</em>'''となる。
*・東京DSオフィスでは個々の書類ではなく、'''書類をまとめた箱に対して「保護レベルシール」を貼り付けてる運用ルール'''を行っている。

<table class="wikitable">
    <tr>
        <th bgcolor="#E0E0E0" width="180px">保護レベル1</th>
        <td bgcolor="#F0F0F0">公開（リリース）後の制作物<br>※世間の誰でも見ることができる情報のこと!!</td>
        <td bgcolor="#F0F0F0">そのままゴミ箱に捨ててOK</td>
    </tr>
    <tr>
        <th bgcolor="#E0E0E0" width="180px">保護レベル2</th>
        <td bgcolor="#F0F0F0">公開（リリース）前の原稿や制作物、制作過程の資料<br>※世間の人が見ることのできない情報のこと!!</td>
        <td bgcolor="#F0F0F0">→<em>廃棄の際はシュレッダーにかける</em></td>
    </tr>
    <tr>
        <th bgcolor="#E0E0E0" width="180px">保護レベル3</th>
        <td bgcolor="#F0F0F0">個人情報、経理情報、機密情報</td>
        <td bgcolor="#F0F0F0">→<em>廃棄の際はシュレッダーにかける</em><br></td>
    </tr>
</table>
</div>

<div class="example">
===■メールについて===
*・'''電子メールにファイルを添付する際、保護レベル2以上の情報資産についてはパスワードをかける。'''(一部例外もある。クライアントの都合上にもよる。運用が決まってないのもある）
</div>

<div class="example">
===■個人情報の取り扱いについて===
*・'''個人情報は情報資産価値のレベルが非常に高い。'''保護レベル3である。
*・個人情報は、原則としてどのような資産価値評価であろうとも、バックアップを取得しなければならない。
*・個人情報を破棄する場合には、第三者に漏えいしないようにシュレッダー又はファイル消去プログラムにより完全に削除しなければならない。
</div>

<div class="example">
===■情報交換について===
*・外部委託業者など'''第三者に聞こえてしまう恐れがあるときには、機密情報を電話で話さない。'''社内の人間との会話でも気を遣う。 
*・FAXで機密情報を送信する際は、宛先間違いが起こらないように注意、確認し、送信が完了するまで離れない。 
*・受信されたFAXから情報が漏洩する恐れがあるので、'''外部委託業者などの第三者がFAXの近辺に立ち入る際には、付き添って監視する。''' 
*・FAX、コピー機に原稿を置きっぱなしにはしない。 
</div>

<div class="example">
===■セキュリティ事故===
*・'''<em>セキュリティ事故を発生させてしまった場合には、速やかに上司、部門長へ報告</em>'''する。
*・セキュリティ事故とは、'''データまたは処理の異常など情報システムのトラブル、情報盗難、漏洩時など人為的な違反行為が発生した場合のこと'''である。

*・情報処理施設（サーバやマシン）に、セキュリティ上の欠陥や、脅威を発見した場合は、直ちに「システム企画室」へ「セキュリティ問題報告書」を提出する。
*・もし、欠陥等を発見してもテストはしない。テストをしたことにより、被害が発生・拡大する可能性があるため。
*・事故を発生させてしまったときは、システム企画室に報告するための「セキュリティ事故報告書」を作成する。
</div>

以上、ISMSに関するこれらのことは理解して遵守すること。

</div>