「人的資源のセキュリティ(A8)」を編集中

教育資料05の人的資源のセキュリティ(A8)です。<br>
←[[資産の管理(A7)]]｜[[ISMS教育資料]]｜[[物理的及び環境的セキュリティ(A9)]]→

<div id="manual">
=='''雇用前[A8.1]'''==
【目的】<br>
従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は施設の不正使用のリスクを低減するため。

<div class="example">
===役割及び責任[A8.1.1]===
【管理策】<br>
<em>従業員、契約相手及び第三者の利用者のセキュリティの役割及び責任は、組織の情報セキュリティ基本方針に従って定め、文書化しなければならない。</em><br>
【解説】<br>
情報セキュリティに関する組織体制や職務内容などについて、その役割・責任を明確にするため、職務定義を文書化する必要がある。職務定義書には業務取扱マニュアル、業務分掌を示した書類、業務分担表などさまざまな形の文書があり、その取扱いは組織によって異なる。どれが1SO27001の職務定義の文書化に該当するか明確に説明できる必要
がある。<br>

<div class="example">
'''当社では役割及び責任を「情報セキュリティマニュアル」「組織管理規定」「要員管理規定」「スキル要員対応表」「職務権限一覧表」で定めている。'''<br>
</div>
</div>


<div class="example">
===雇用条件[A8.1.3]===
【管理策】<br>
<em>雇用条件従業員,契約相手及び第三者の利用者は、契約上の義務の一部として、情報セキュリティに関する、これらの者の責任及び組織の責任を記載した雇用契約書に同意し、署名しなければならない。</em><br>
【解説】<br>
人員の採用にあたっては、情報セキュリティに関する役割と責任を明確にするために、雇用契約書や機密保持誓約書に署名する方法が考えられる。<br>

<div class="example">
'''当社では「要員管理規定」で定めている。'''<br>
*・情報セキュリティに関わる諸規程を遵守することを記載した機密保持誓約書を、雇用時に提出している。
</div>
</div>



<div id="manual">
=='''雇用期間中[A8.2]'''==
【目的】<br>
従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織の情報セキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため。

<div class="example">
===情報セキュリティの意識向上、教育及び訓練[A8.2.2]===
【管理策】<br>
<em>組織のすべての従業員、並びに、関係するならば、契約相手及び第三者の利用者は、職務に関連する組織の方針及び手順についての適切な意識向上のための教育・訓練を受けなければならず、また、定めに従ってそれを更新しなければならない。</em><br>
【解説】<br>
ISMSを適切に維持・運用するためには、情報資産の取扱者一人ひとりの情報セキュリティレベルを維持向上する必要がある。情報セキュリティの教育・訓練は業務教育や人事異動、昇進・昇格した時などさまざまな機会を利用して定期的に実施し、経営陣を含めISMSの対象となる人員すべてに対して実施しなければならない。<br>

<div class="example">
'''当社では毎月のリーダー会議でリーダーは事務局から教育内容の説明を受け、自部門全従業員に教育を実施している。'''<br>
</div>
</div>


<div class="example">
===懲戒手続[A8.2.3]===
【管理策】<br>
<em>セキュリティ違反を犯した従業員に対する正式な懲戒手続を備えなければならない。</em><br>
【解説】<br>
情報セキュリティ違反が懲戒の対象になることを、情報セキュリティ基本方針や規定の中に明記し、従業員に周知する必要がある。

<div class="example">
'''当社では「要員管理規定」で定めている。'''<br>
*・「情報セキュリティ基本方針」で、情報セキュリティに関わる社内規定に違反した場合には、「就業規則」に定める罰則規定を適用することを明記している。「就業規則」では罰則・懲戒の具体的な内容を記載している。
</div>
</div>



<div id="manual">
=='''雇用の終了又は変更[A8.3]'''==
【目的】<br>
従業員、契約相手及び第三者の利用者の組織からの離脱又は雇用の変更を所定の方法で行うことを確実にするため。

<div class="example">
===資産の返却[A8.3.2]===
【管理策】<br>
<em>すべての従業員、契約相手及び第三者の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産すべてを返却しなければならない。</em><br>
【解説】<br>
従業員の退職や解雇、契約社員の契約の完了など雇用が終了した場合には、会社のすべての資産（日常利用している什器備品などと一緒に情報資産も）を確実に返却させなければならない。<br>

<div class="example">
'''当社では「要員管理規定」で定めている。'''<br>
・退職時・契約終了時は「退職時資産返却確認書」で返却物を確認し記名・捺印の上提出する。
</div>
</div>


<div class="example">
===アクセス権の削除[A8.3.3]===
【管理策】<br>
<em>すべての従業員、契約相手及び第三者の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除しなければならず、また、変更に合わせて修正しなければならない。</em><br>
【解説】<br>
情報資産を利用するためのアクセス権は、雇用の終了や雇用形態の変更、担当業務変更などによって業務上必要でなくなった時には、即座に削除しなければならない。

<div class="example">
'''当社では「要員管理規定」で定めている。'''<br>
*・退職・契約終了対象者の、情報及び情報施設に対する全てのアクセス権の削除又は変更を行う。
</div>
</div>

</div>