「2009年03月18日：第07回リーダー会議」を編集中

<div id="manual">
<em>※ISMS要員の教育訓練は、会社で義務づけられています。</em><br>
※閲覧のレベル分け基準：<br>
<table border="0" cellpadding="5" cellspacing="5" class="address">
<tr>
<th>【レベル1】</th>
<th>【レベル2】</th>
<th>【レベル3】</th>
</tr>
<tr>
<td>・スタッフ全員</td>
<td>・社外と情報資産のやりとりがあるスタッフ<br>・全社員</td>
<td>・権限の強い人（主にチーフクラス以上）</td>
</tr>
</table>

<br>
■'''第7回ISMSリーダー会議'''<br>
【日時】2009年3月18日(水)13:00～<br>
【場所】本社1階会議室<br>

==審査指摘事項一覧==

2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。<br>東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。<br>
<br>
===<em>■第三者との契約におけるセキュリティ</em>【レベル3】===

保護レベルの高い情報を委託する場合に、'''委託先の情報セキュリティ管理状況の把握'''をされることが望まれます。<br>
例えば、東京オフィスは、外注先（会社及び個人も含めて、20～30社）へ提供される情報資産の中に、個人情報を含んでいる外注先の実情把握等もあるかも知れません。<br>

<div class="example">'''※簡単にいうと、外注に委託する際は「情報資産の取り扱い方」について、取引業者の管理状況も含めて注意しましょうということです。'''</div>

<br>
==観察事項への対処==

===<em>■セキュリティ事故、セキュリティ問題について</em>【レベル1】===

セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。<br>社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。<br>
事故を公開する目的は、制裁を加える意味ではなく、'''事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的'''です。<br>
<br>
【リーダーメモ】<br>
★「事故には至ってはいないが問題かもしれない。」という事象を洗い出し作業を行う。<br>
★相当する事象があれば'''「セキュリティ事故報告書」と「セキュリティ問題報告書」を事務局に提出'''する。<br>

<div class="example">'''※セキュリティ事故発生時は、速やかに上司に「報告」→後に全員で「共有」するプロセスが定められています。また今度、リスクを「想定」をする機会を設けます。'''<br>
'''※「セキュリティ事故報告書」と「セキュリティ問題報告書」は、「Tkocore2/Office/ISMS」に置いてあります。'''</div>

<br>
===<em>■メディア管理の徹底</em>【レベル2】===

今回の審査では、印刷部門で特に「MOメディア」管理の不徹底が見受けられました。'''保管、返却、破棄するものを明確に識別'''し、管理を徹底させてください。<br><br>

【CDの破棄】→必ず割ってから捨てる。（雑誌に挟んで割ると怪我しない）<br>
【MOの破棄】→物理的なフォーマット、または破壊が必要。事務局に提出してもOKです。<br>
【MOの保管・返却】→部門ごとに保管場所や返却のタイミングなど、MO管理のルールを策定してください。次回内部監査では重点的にチェックします。<br>

<div class="example">'''※東京オフィスでは、物理メディアでのやりとりは比較的少ないはず。'''<br>'''メディア管理について、懸念点ある方は倉田までご相談ください。管理ルールについては今度つめる予定。'''</div>

【リーダーメモ】<br>
・メディア管理の現状把握。<br>

<br>
===<em>■保護ラベル記入方法</em>【レベル1】===

今回の審査で、保護レベルの保管期間が記入されてないものが多く見受けられました。<br>
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。<br>

<div class="example">'''※東京オフィスでは、個々の書類ではなく、書類をまとめた箱に対して「保護レベルシール」を貼り付けています。'''<br>
'''※箱には「公開日の異なる指示書」があったり、また「進行により書類が流動的」なため、保管期間（終了日）のラベル記入は困難な状況です。<br>※終わった案件で、箱やファイリングを期間で分類して保管しているものがあれば、保管終了期間の記入をお願いします。'''</div>

<br>
==メール==

===<em>■取引業者からのメール受託方法</em>【レベル2】===
取引業者（クライアントではなく、外注・下請けのこと）から受け取るメールの保護を怠っていました。<br>保護するべき情報資産を送ってもらう場合は、適切に保護された方法での送信を依頼します。<br>

<div class="example">'''※現在、ルール策定中なので、運用方法が決まった段階で連絡します。'''<br>
'''※この話は、ウチが使う外注に対しての話だそうです。'''</div>

<br>
===<em>■送信時、添付ファイル無保護の対応</em>【レベル2】===
クライアントからの指示や、手順が面倒だということで、'''メールデータを保護しない状態'''でKDSから送信するケースがあります。<br>その顧客の確認と、情報漏洩のリスクがあがることの承認を得る手続きを行います。<br>

<div class="example">'''※現在、ISMS事務局で方法や手順を検討中。→全社的に行われていないことが判明。'''<br>
'''※ファイル送信ツール【光画アップローダー：http://mx.kohga.co.jp/file_upload 】については、東京オフィスでの利用・運用方法を検討中です。'''</div>
【リーダーメモ】<br>
・アップローダーの理解。運用ルールやメリットの検討。<br>
<br>
==取引業者関連==

===<em>■機密保持契約先で現在取引が行われていない業者の識別</em>【レベル3】===

「機密保持契約締結先一覧」の中に、社名が変更されたり取引が完全になくなっている業者がありました。<br>
各部門で、'''「機密保持契約締結先一覧」の内容に修正がないかどうか'''、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。<br>

<div class="example">'''※機密保持の一覧は、頻繁にチェックしましょう。'''</div>

<br>
===<em>■保護レベルが高い情報資産委託の確認</em>【レベル3】===

現状、個人情報を含む'''保護レベルが高い情報資産の外部委託先'''は<em>2社</em>のみです。新しく発生する場合は速やかに事務局に報告してください。<br>
各部門で、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。<br>

<div class="example">'''※個人情報の外部委託は、いろいろな手続き発生。'''</div>

<br>
===<em>■取引業者の再委託の確認</em>【レベル3】===
再委託の際は、書面での申請が必要です。<br>
各部門で、「外部委託先の再委託震申請について」をもとに、再委託有無の確認、申請書提出の手続きをおこなってください。毎月のリーダー会議で確認を行います。<br>