「4.組織における情報セキュリティ対策」の版間の差分
編集の要約なし |
編集の要約なし |
||
| (2人の利用者による、間の6版が非表示) | |||
| 1行目: | 1行目: | ||
←[[ | ←[[3.情報セキュリティの基本概念]]|[[ISMS教育資料]] | ||
<div id="manual"> | <div id="manual"> | ||
=='''4-1.情報セキュリティ基本方針'''== | =='''4-1.情報セキュリティ基本方針'''== | ||
・'''情報セキュリティ基本方針'''<br> | |||
情報セキュリティ基本方針とは'''情報セキュリティに関する組織の基本方針をまとめたもの'''です。<br> | |||
経営陣によって承認され、全従業員及び外部関係者に公表・通知しなければなりません。<br> | 経営陣によって承認され、全従業員及び外部関係者に公表・通知しなければなりません。<br> | ||
また、情報セキュリティ基本方針は、引き続き適切、妥当及び有効であることを確実にするために、あらかじめ定められた間隔でレビューしなければなりません。<br><br> | また、情報セキュリティ基本方針は、引き続き適切、妥当及び有効であることを確実にするために、あらかじめ定められた間隔でレビューしなければなりません。<br><br> | ||
・'''情報セキュリティマニュアル'''<br> | |||
情報セキュリティ対策の全般にわたって必要な、適用範囲や定義、責任と要件、遵守義務などを規定する文書です。<br><br> | 情報セキュリティ対策の全般にわたって必要な、適用範囲や定義、責任と要件、遵守義務などを規定する文書です。<br><br> | ||
・'''管理規定'''<br> | |||
情報セキュリティ対策のための個別規程であり、情報セキュリティ対策の対象別の基準を規定します。 | 情報セキュリティ対策のための個別規程であり、情報セキュリティ対策の対象別の基準を規定します。 | ||
| 23行目: | 19行目: | ||
=='''4-2.情報セキュリティ組織'''== | =='''4-2.情報セキュリティ組織'''== | ||
'''■情報セキュリティ組織'''<br> | |||
''' | |||
経営者を情報セキュリティ組織のトップに置き、その下に情報セキュリティ管理責任者を設置しています。<br> | 経営者を情報セキュリティ組織のトップに置き、その下に情報セキュリティ管理責任者を設置しています。<br> | ||
大切なのは形式ではなく、誰が「責任者」なのかを明確にして運用することです。<br><br> | 大切なのは形式ではなく、誰が「責任者」なのかを明確にして運用することです。<br><br> | ||
・'''経営者'''<br> | |||
経営方針に合わせた情報セキュリティ基本方針を策定します。<br> | 経営方針に合わせた情報セキュリティ基本方針を策定します。<br> | ||
対策の検討については、担当者任せにせず、積極的に関わることが大切です。<br> | 対策の検討については、担当者任せにせず、積極的に関わることが大切です。<br> | ||
情報セキュリティ管理責任者から、社内の対策状況や事故報告を受けた場合には、経営者自らが改善の指示を出します。<br><br> | 情報セキュリティ管理責任者から、社内の対策状況や事故報告を受けた場合には、経営者自らが改善の指示を出します。<br><br> | ||
・'''情報セキュリティ委員会'''<br> | |||
複数の部門の代表者により構成されます。<br> | |||
経営者とともに、部門横断での対策検討や情報セキュリティ対策に関する重要課題の稟議を行います。<br><br> | |||
・'''情報セキュリティ管理責任者'''<br> | |||
情報セキュリティに関する責任者です。<br> | |||
対策の実施、社内の指導、事故や緊急時への対応指示を出します。必要に応じて、社員の招集や経営者への報告などを行います。<br><br> | |||
・'''従業者'''<br> | |||
組織が決めた情報セキュリティルールを順守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。 | 組織が決めた情報セキュリティルールを順守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。 | ||
| 47行目: | 42行目: | ||
=='''4-3.社員への教育'''== | =='''4-3.社員への教育'''== | ||
長い時間をかけ、緻密にセキュリティポリシーを作成したとしても、'''社員が遵守しなければ意味がなくなってしまいます'''。<br> | |||
社員への教育は、企業風土に合った方法で、継続的に行うことが大切です。<br> | 社員への教育は、企業風土に合った方法で、継続的に行うことが大切です。<br> | ||
また、社員の立場に立ち、理解しやすい表現を用い、大きな負担をかけない気配りも必要です。<br> | また、社員の立場に立ち、理解しやすい表現を用い、大きな負担をかけない気配りも必要です。<br> | ||
| 55行目: | 50行目: | ||
=='''4-4.委託先への対応'''== | =='''4-4.委託先への対応'''== | ||
企業は、日々の事業活動を行う中で、外部業務委託をするケースが多く発生します。<br> | 企業は、日々の事業活動を行う中で、外部業務委託をするケースが多く発生します。<br><br>業務委託をする場合、'''企業のセキュリティポリシーや情報セキュリティ対策を理解してもらうことは勿論のこと、具体的な委託契約を締結しつつ、定期的な管理を行う'''ことが必要です。<br> | ||
また、委託される側の企業としても、預かった情報をしっかりと管理できる仕組みや対策を講じておくことが、仕事の受注にも影響するようになってきています。<br> | また、委託される側の企業としても、預かった情報をしっかりと管理できる仕組みや対策を講じておくことが、仕事の受注にも影響するようになってきています。<br> | ||
対外的なアピール材料としては、定期的に外部のセキュリティ監査を受け、監査報告を提示することや、プライバシーマークやISO27001等の情報セキュリティに関する第三者認証を取得するなどの方法があります。<br> | 対外的なアピール材料としては、定期的に外部のセキュリティ監査を受け、監査報告を提示することや、プライバシーマークやISO27001等の情報セキュリティに関する第三者認証を取得するなどの方法があります。<br> | ||
<div class="example"> | <div class="example"> | ||
''' | '''■委託契約書に盛り込むべき事項'''<br> | ||
・委託内容、範囲、責任の明確化<br> | ・委託内容、範囲、責任の明確化<br> | ||
・委託契約期間<br> | ・委託契約期間<br> | ||
| 76行目: | 71行目: | ||
=='''4-5.点検と見直し'''== | =='''4-5.点検と見直し'''== | ||
企業を取り巻く環境は、市場環境、顧客ニーズ、取引先との関係等により、日々変化しています。<br> | 企業を取り巻く環境は、市場環境、顧客ニーズ、取引先との関係等により、日々変化しています。<br><br> | ||
加えて、万が一、事件・事故が生じた場合、その原因究明と新たな情報セキュリティ対策を施すことにより、社内体制、社内規程の変更を行う必要があります。<br> | 加えて、万が一、事件・事故が生じた場合、その原因究明と新たな情報セキュリティ対策を施すことにより、社内体制、社内規程の変更を行う必要があります。<br> | ||
企業は、このような環境変化がある度、社内の情報セキュリティ対策の点検と改善を施し、情報セキュリティレベルを維持管理する事が肝心です。<br> | 企業は、このような環境変化がある度、社内の情報セキュリティ対策の点検と改善を施し、情報セキュリティレベルを維持管理する事が肝心です。<br> | ||
<div class="example"> | <div class="example"> | ||
''' | '''■点検が必要と思われる状況'''<br> | ||
・市場環境、顧客ニーズの変化<br> | ・市場環境、顧客ニーズの変化<br> | ||
・取引先、委託業者の変更<br> | ・取引先、委託業者の変更<br> | ||
2010年9月2日 (木) 15:10時点における最新版
4-1.情報セキュリティ基本方針
・情報セキュリティ基本方針
情報セキュリティ基本方針とは情報セキュリティに関する組織の基本方針をまとめたものです。
経営陣によって承認され、全従業員及び外部関係者に公表・通知しなければなりません。
また、情報セキュリティ基本方針は、引き続き適切、妥当及び有効であることを確実にするために、あらかじめ定められた間隔でレビューしなければなりません。
・情報セキュリティマニュアル
情報セキュリティ対策の全般にわたって必要な、適用範囲や定義、責任と要件、遵守義務などを規定する文書です。
・管理規定
情報セキュリティ対策のための個別規程であり、情報セキュリティ対策の対象別の基準を規定します。
4-2.情報セキュリティ組織
■情報セキュリティ組織
経営者を情報セキュリティ組織のトップに置き、その下に情報セキュリティ管理責任者を設置しています。
大切なのは形式ではなく、誰が「責任者」なのかを明確にして運用することです。
・経営者
経営方針に合わせた情報セキュリティ基本方針を策定します。
対策の検討については、担当者任せにせず、積極的に関わることが大切です。
情報セキュリティ管理責任者から、社内の対策状況や事故報告を受けた場合には、経営者自らが改善の指示を出します。
・情報セキュリティ委員会
複数の部門の代表者により構成されます。
経営者とともに、部門横断での対策検討や情報セキュリティ対策に関する重要課題の稟議を行います。
・情報セキュリティ管理責任者
情報セキュリティに関する責任者です。
対策の実施、社内の指導、事故や緊急時への対応指示を出します。必要に応じて、社員の招集や経営者への報告などを行います。
・従業者
組織が決めた情報セキュリティルールを順守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。
4-3.社員への教育
長い時間をかけ、緻密にセキュリティポリシーを作成したとしても、社員が遵守しなければ意味がなくなってしまいます。
社員への教育は、企業風土に合った方法で、継続的に行うことが大切です。
また、社員の立場に立ち、理解しやすい表現を用い、大きな負担をかけない気配りも必要です。
教育の方法としては、集合研修・eラーニング・教育資料・ポスターなどの媒体を利用します。
4-4.委託先への対応
企業は、日々の事業活動を行う中で、外部業務委託をするケースが多く発生します。
業務委託をする場合、企業のセキュリティポリシーや情報セキュリティ対策を理解してもらうことは勿論のこと、具体的な委託契約を締結しつつ、定期的な管理を行うことが必要です。
また、委託される側の企業としても、預かった情報をしっかりと管理できる仕組みや対策を講じておくことが、仕事の受注にも影響するようになってきています。
対外的なアピール材料としては、定期的に外部のセキュリティ監査を受け、監査報告を提示することや、プライバシーマークやISO27001等の情報セキュリティに関する第三者認証を取得するなどの方法があります。
■委託契約書に盛り込むべき事項
・委託内容、範囲、責任の明確化
・委託契約期間
・守秘義務の取り決め
・委託契約終了後の情報の取り決め(返還・消去・廃棄等)
・再委託に関する取り決め
・委託業者の情報セキュリティ管理に対する内容
・契約内容を遵守していることの確認
・契約内容を違反した場合の措置
・セキュリティ事件・事故が発生した場合の措置
4-5.点検と見直し
企業を取り巻く環境は、市場環境、顧客ニーズ、取引先との関係等により、日々変化しています。
加えて、万が一、事件・事故が生じた場合、その原因究明と新たな情報セキュリティ対策を施すことにより、社内体制、社内規程の変更を行う必要があります。
企業は、このような環境変化がある度、社内の情報セキュリティ対策の点検と改善を施し、情報セキュリティレベルを維持管理する事が肝心です。
■点検が必要と思われる状況
・市場環境、顧客ニーズの変化
・取引先、委託業者の変更
・事件・事故への対応
・親会社、委託元からの要望
・社内のインフラ、情報システムの追加・変更
・社内の組織、業務、運用の追加・変更