「2009年03月18日:リーダー会議報告」の版間の差分

提供:Wiki@KDS
ナビゲーションに移動 検索に移動
編集の要約なし
 
編集の要約なし
 
(同じ利用者による、間の1版が非表示)
8行目: 8行目:
==審査指摘事項一覧==
==審査指摘事項一覧==


2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。<br><br>
2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。<br>東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。<br><br>


===<em>■第三者との契約におけるセキュリティ</em>===
===<em>■第三者との契約におけるセキュリティ</em>===


保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。<br>
保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。<br>
例えば、東京オフィスは、外注先(会社及び個人も含めて、20~30社)へ提供される情報資産の中に、個人情報を含んでいる外注先の実情把握等もあるかも知れません。<br><br>
例えば、東京オフィスは、外注先(会社及び個人も含めて、20~30社)へ提供される情報資産の中に、個人情報を含んでいる外注先の実情把握等もあるかも知れません。<br>
 
※簡単にいうと、外注に委託する際は「情報資産の取り扱い方」について、取引業者の管理状況も含めて注意しましょうということです。<br><br>


<div class="example">'''※簡単にいうと、外注に委託する際は「情報資産の取り扱い方」について、取引業者の管理状況も含めて注意しましょうということです。'''</div>


<br>
==観察事項への対処==
==観察事項への対処==


<em>■セキュリティ事故報告書・セキュリティ問題報告書</em>
===<em>■セキュリティ事故報告書・セキュリティ問題報告書</em>===


セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。<br>
セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。<br>社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。<br>
事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。<br><br>
事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。<br><br>


30行目: 30行目:


・「事故には至ってはいないが問題がもしれない。」という事象を洗い出し作業を行う。<br>
・「事故には至ってはいないが問題がもしれない。」という事象を洗い出し作業を行う。<br>
・相当する事象があれば報告書を事務局に提出する。<br><br>
・相当する事象があれば報告書を事務局に提出する。<br>
 
<div class="example">'''※事故を起こったときは「報告」を上げ→全員で「共有」する。また、各部門で事前にリスクを「想定」する。'''</div>
 


<em>■メディア管理の徹底</em>
<br>
===<em>■メディア管理の徹底</em>===


今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものをはっきりと識別し、管理を徹底させてください。<br><br>
今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものを明確に識別し、管理を徹底させてください。<br><br>


【CDの破棄】→必ず割ってから捨てる。(雑誌に挟んで割ると怪我しない)<br>
【CDの破棄】→必ず割ってから捨てる。(雑誌に挟んで割ると怪我しない)<br>
【MOの破棄】→物理的なフォーマット、または破壊が必要。事務局に提出してもOKです。<br>
【MOの破棄】→物理的なフォーマット、または破壊が必要。事務局に提出してもOKです。<br>
【MOの保管・返却】→部門ごとに保管場所や返却のタイミングなど、MO管理のルールを策定してください。次回内部監査では重点的にチェックします。<br><br>
【MOの保管・返却】→部門ごとに保管場所や返却のタイミングなど、MO管理のルールを策定してください。次回内部監査では重点的にチェックします。<br>
 
<div class="example">'''※東京オフィスでは、物理メディアでのやりとりは少ないはず。各自、管理の徹底をお願いします。管理ルールは策定中です。</div>
 
<br>
===<em>■保護ラベル記入方法</em>===
 
今回の審査で、保管期間が記入されていないものが多く見受けられました。<br>
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。<br>


東京オフィスでは、物理メディアでのやりとりは少ないですが、各自、管理の徹底をお願いします<br>
<div class="example">'''※東京オフィスでは、基本的に個々の書類ではなく、案件別に分類された箱に対して「保護レベル」を貼り付けています。<br>
*[[メディア管理]]
※進行中(公開前:保護レベル2)の案件書類は、各自が手元に保管。終了した案件書類(保護レベル1)は所定の場所に保管してください。'''<br>
'''※箱の中には「公開日の異なる案件書類」が入っていたり、「流動的に書類が動く」ため、保管期間のラベル記入は難しいと思っています。'''</div>


<br>
==メール==


<em>■保護ラベル記入方法</em>
===<em>■取引業者からのメール受託方法</em>===
取引業者(クラリアントではなく、外注・下請けのこと)から受け取るメールの保護を怠っていました。<br>保護するべき情報資産を送ってもらう場合は、適切に保護された方法での送信を依頼します。<br>


今回の審査で、保管期間が記入されていないものが多く見受けられました。<br>
<div class="example">'''※現在、ルール策定中なので、運用方法が決まった段階で連絡します。'''</div>
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。<br><br>
 
<br>
===<em>■ファイル送信ツールを使用しない場合の対応方法</em>===
顧客からの指示や、手順が面倒だということで、メールデータを保護しない状態で送信するケースがあります。<br>その顧客の確認と、情報漏洩のリスクがあがることの承認を得る手続きを行います。<br>
 
<div class="example">'''※現在、ISMS事務局にて、方法や手順を検討中です。'''</div>
 
<br>
==取引業者==
===<em>■新規取引業者の確認</em>===
 
「機密保持契約締結先一覧」の中に、社名が変更されたり取引が完全になくなっている業者がありました。<br>
各部門で、「「機密保持契約締結先一覧」の内容に修正がないかどうか、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。<br>
 
<br>
===<em>■保護レベルが高い情報資産委託の確認</em>===


東京オフィスでは、個々の書類ではなく、案件別に分類された箱に対して「保護レベル」を貼り付けています。進行中(公開前:保護レベル2)の案件書類は、各自が手元に保管。終了した案件書類(保護レベル1)は所定の場所に保管してください。<br><br>
現状、個人情報を含む保護レベルが高い情報資産の外部委託先は2社のみです。<br>
新しく発生する場合は速やかに事務局に報告してください。<br><br>


※箱の中には公開日が異なる案件書類が入っていたり、流動的に書類が動くため、保管期間の記入は難しいと思っています
各部門で、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。<br>


<br>
===<em>■取引業者の再委託の確認</em>===
再委託する場合は、書面での申請が必要です。<br><br>


==メール==
各部門で、「外部委託先の再委託震申請について」をもとに、再委託有無の確認、申請書提出の手続きをおこなってください。毎月のリーダー会議で確認を行います。<br><br><br>

2009年4月1日 (水) 17:48時点における最新版

第7回リーダー会議

日時:2009年3月18日(水)13:00~
場所:本社1階会議室

審査指摘事項一覧

2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。
東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。

■第三者との契約におけるセキュリティ

保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。
例えば、東京オフィスは、外注先(会社及び個人も含めて、20~30社)へ提供される情報資産の中に、個人情報を含んでいる外注先の実情把握等もあるかも知れません。

※簡単にいうと、外注に委託する際は「情報資産の取り扱い方」について、取引業者の管理状況も含めて注意しましょうということです。


観察事項への対処

■セキュリティ事故報告書・セキュリティ問題報告書

セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。
社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。
事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。


>セキュリティ事故報告書
>セキュリティ問題報告書

・「事故には至ってはいないが問題がもしれない。」という事象を洗い出し作業を行う。
・相当する事象があれば報告書を事務局に提出する。

※事故を起こったときは「報告」を上げ→全員で「共有」する。また、各部門で事前にリスクを「想定」する。



■メディア管理の徹底

今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものを明確に識別し、管理を徹底させてください。

【CDの破棄】→必ず割ってから捨てる。(雑誌に挟んで割ると怪我しない)
【MOの破棄】→物理的なフォーマット、または破壊が必要。事務局に提出してもOKです。
【MOの保管・返却】→部門ごとに保管場所や返却のタイミングなど、MO管理のルールを策定してください。次回内部監査では重点的にチェックします。

※東京オフィスでは、物理メディアでのやりとりは少ないはず。各自、管理の徹底をお願いします。管理ルールは策定中です。


■保護ラベル記入方法

今回の審査で、保管期間が記入されていないものが多く見受けられました。
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。

※東京オフィスでは、基本的に個々の書類ではなく、案件別に分類された箱に対して「保護レベル」を貼り付けています。

※進行中(公開前:保護レベル2)の案件書類は、各自が手元に保管。終了した案件書類(保護レベル1)は所定の場所に保管してください。

※箱の中には「公開日の異なる案件書類」が入っていたり、「流動的に書類が動く」ため、保管期間のラベル記入は難しいと思っています。


メール

■取引業者からのメール受託方法

取引業者(クラリアントではなく、外注・下請けのこと)から受け取るメールの保護を怠っていました。
保護するべき情報資産を送ってもらう場合は、適切に保護された方法での送信を依頼します。

※現在、ルール策定中なので、運用方法が決まった段階で連絡します。


■ファイル送信ツールを使用しない場合の対応方法

顧客からの指示や、手順が面倒だということで、メールデータを保護しない状態で送信するケースがあります。
その顧客の確認と、情報漏洩のリスクがあがることの承認を得る手続きを行います。

※現在、ISMS事務局にて、方法や手順を検討中です。


取引業者

■新規取引業者の確認

「機密保持契約締結先一覧」の中に、社名が変更されたり取引が完全になくなっている業者がありました。
各部門で、「「機密保持契約締結先一覧」の内容に修正がないかどうか、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。


■保護レベルが高い情報資産委託の確認

現状、個人情報を含む保護レベルが高い情報資産の外部委託先は2社のみです。
新しく発生する場合は速やかに事務局に報告してください。

各部門で、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。


■取引業者の再委託の確認

再委託する場合は、書面での申請が必要です。

各部門で、「外部委託先の再委託震申請について」をもとに、再委託有無の確認、申請書提出の手続きをおこなってください。毎月のリーダー会議で確認を行います。


https://wiki.kohga.tokyo/index.php?title=2009年03月18日:リーダー会議報告&oldid=6268」から取得