「ISMSガイダンス資料」を編集中 (節単位)

==ISMS適用後の業務について==

■入退室管理について【14施設・設備管理規定】
*・名札をつける
*・施設内の定義（執務エリアの定義）
*・エリア管理レベルの説明。
*・外部委託先業者等は、施設入退室管理表に記入。外部委託業者等が、施設内で作業する場合は、必ず立ち会い、外部委託業者のみで行動しないようにする。
*・会社が無人になる場合は、必ず施錠する。
*・物品の受け渡し場所は、施設外および、入り口付近で行う。

<br>
■ログインについて【09アクセス制御管理規定】
*・パスワードを正しく設定する。
*・外出する際や、席を離れる場合はログオフする。
*・スクリーンセーバを起動して、復帰の際にパスワードを入力する。
*・利用しなくなったサーバは、直ちにアンマウントする。

<br>
■書類（メディア）について【08情報資産管理規定】【11システム運用管理規定】

全ての書類に、「情報資産価値」の保護レベル分けをする。保護レベルに応じた「保管」「廃棄」方法が必要。

<div class="example">
*・保護レベル1：情報資産価値が低く、漏洩しても影響を及ぼさない→公開（配布）後の原稿など
*・保護レベル2：情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→公開（配布）前の原稿など。
*・保護レベル3：個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→名簿、経理情報など

詳しくは情報資産一覧表/リスクアセスメントシートを参照。
</div>

※情報資産を外部記憶装置（外付けHDD、CD-R）等に保存する場合は、資産価値レベルによって管理方法が異なる。
*・資産価値レベル1、2→社外への持ち出しは、情報資産の管理者の許可が必要。再利用の際は、必ず初期化して利用する。
*・資産価値レベル3、4→エリア外及び社外への持ち出しは、情報資産の管理者の認可を必要とする。
										情報は、暗号化やパスワード設定を行うか、施錠された保管場所に保管する。<br>
媒体の再利用は原則として行わない。再利用する際は、ファイル消去ソフトウェア等を適用の上再利用する。

<br>
■メールについて【11 システム運用管理規定】

*・電子メールにファイルを添付する際、必ずパスワードを掛けて圧縮し、メールの送信経路上で盗み見されないようにする。圧縮に利用するアプリケーションは選定中。<br>
エクセルファイルの場合には、保存時にパスワードを掛けることが可能なので、それを利用することも出来る受信者とのパスワードの告知方法。運用方法。

<br>
■個人情報の取り扱いについて【12 個人情報管理規定】

*・個人情報は、情報資産価値のレベルが非常に高い。→保護レベル3

利用・保管・廃棄について厳密に管理するべきであり、同時にバックアップを必ず取る。

<br>
■情報交換について（電話・FAX・会話）【11 システム運用管理規定】

*・外部委託業者など第三者に聞こえてしまう恐れがあるときには、機密情報を電話で話さない。社内の人間との会話でも同様に気を遣う。
*・FAXで機密情報を送信する際は、宛先間違いが起こらないように注意、確認し、送信が完了するまで離れない。
*・FAXで機密情報を受信する際は、第三者に見られることがないように、受信完了までFAXから離れない。
*・受信されたFAXから情報が漏洩する恐れがあるので、外部委託業者などの第三者がFAXの近辺に立ち入る際には、必ずつきそい監視する。
*・FAX、コピー機に原稿を置きっぱなしにはしない。
<br>
■セキュリティ事故【16 事故管理規定】
*・セキュリティ事故とは、セキュリティ事故とは、データまたは処理の異常など情報システムのトラブル、情報盗難、漏洩時など人為的な違反行為が発生した場合のこと
*・セキュリティ事故を発生させてしまった場合には、<em>速やかに上司、部門長へ報告</em>し、「セキュリティ事故報告書」を作成し、システム企画室に報告する。
*・情報処理施設（サーバやマシン）に、セキュリティ上の欠陥や、脅威を発見した場合は、直ちに「システム企画室」へ「セキュリティ問題報告書」を提出する。
*・もし、欠陥等を発見してもテストしてみることはやらない。テストをした事により、被害が発生・拡大することを防ぐ。
*・セキュリティポリシーや作業手順の規定に違反して、セキュリティ事故を発生させた（または発生の可能性が高い）従業員に対して制裁を下される場合がある。

</div>