「ISMSケーススタディ」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし |
編集の要約なし |
||
| (2人の利用者による、間の3版が非表示) | |||
| 3行目: | 3行目: | ||
ISMSの具体的な事例です。 | ISMSの具体的な事例です。 | ||
<div class="example"> | |||
<div class="example">事例1:ベテラン社員が退職したことに伴い、経験者を中途で採用した。経験が豊富だったため、即現場に配属を行なった。</ | *<B>事例1:ベテラン社員が退職したことに伴い、経験者を中途で採用した。経験が豊富だったため、即現場に配属を行なった。</B> | ||
<br> | |||
*■問題点 | |||
ISMSに関する教育がなされておらず、問題を起こす可能性がある。 | |||
*■対応方法 | |||
配属前に教育の実施する。 | |||
</div> | |||
<div class="example"> | |||
* | <B>事例2:お客さんが事務所に訪ねてきた。来客者は、社員の知り合いということだったので、そのまま事務所内に案内した。</B> | ||
<br><br> | |||
*■問題点 | |||
・盗み見等の情報漏えいにつながる可能性がある。 | |||
*■対応方法 | |||
・来客者の入退出時のルールの徹底 | |||
</div> | |||
<div class="example"> | |||
<B>事例3:社内での作業が納期的に困難となったため、急いでその仕事ができる外注先を探し、そこに仕事を発注した。</B> | |||
<br><br> | |||
*■問題点 | |||
・機密事項等に関する契約がなされていない可能性がある。 | |||
*■対応方法 | |||
・機密保持契約を結ぶ。(外部委託管理規定に明記されている) | |||
</div> | |||
<div class="example"><B>事例4:顧客からの問い合わせがあり、顧客から預かった書類を綴じたファイルを取り出し見ていた。<br>その後、客先へ出向く用事ができたため、出かけたが、ファイルは机の上に置いたままであった。</B> | |||
<br> | |||
*■問題点 | |||
・紛失、または共通ファイルであれば他の人が使えない可能性がある。 | |||
*■対応方法 | |||
・情報利用ルールの徹底。 | |||
</div> | |||
<div class="example"> | <div class="example"><B>事例5:企画書を作成しているとき、来客があった。重要商談だったためパソコンでの作業をそのままにして急いで商談室へと向かった。</B> | ||
<br> | |||
*■問題点 | |||
・覗き見による情報漏えいの可能性あり | |||
*■対応方法 | |||
・スクリーンセーバーをかける。 | |||
</div> | |||
<div class="example"><B>事例7:急ぎの用事が入り、顧客への受け渡す書類を持参できなくなった。顧客に断りの電話を入れた後、メールでその書類を添付して送付した。</B> | |||
<br> | |||
*■問題点 | |||
・メールの送付先を間違える可能性がある。 | |||
*■対応方法 | |||
・メール送信手順の確認。添付ファイルにパスワードをかける。 | |||
</div> | |||
<div class="example"><B>事例8:PCが故障したために直そうとしたが、自社では無理だとわかり、業者に修理依頼をすることにした。修理業者は長年取引がある業者だったので、安心して修理に出した。</B> | |||
<br> | |||
*■問題点 | |||
・パソコンから情報漏えいの可能性がある。<br> | |||
・情報が紛失する可能性がある。 | |||
*■対応方法 | |||
・情報漏えいに対する対策を行う。<br> | |||
・外部業者で機密保持契約を結ぶ。 | |||
</div> | |||
<div class="example"><B>事例9:顧客にプレゼンテーションを行なうため、ノートPCを持ち出すことになった。しかし、普段プレゼン用で使用しているパソコンが使用中だったため、別のパソコンを使用することになった。</B> | |||
<br> | |||
*■問題点 | |||
・万が一盗難等にあった場合、プレゼン用以外の情報漏えいにつながる可能性がある。 | |||
*■対応方法 | |||
・持ち出しルールを策定する。<br> | |||
・基本的には持ち出さない。持ち出しても紛失時の備えて、ロック機能をつける。 | |||
</div> | |||
<div class="example"><B>事例10:MOやCDなどのメディアが読み書きができなくなったため、そのまま不燃ごみとして捨てた。</B> | |||
<br> | |||
*■問題点 | |||
・第三者に漏洩する危険性がある。(他のマシン等で読み込み可能となる場合あり) | |||
*■対応方法 | |||
・メディア廃棄の際には、破壊か完全なる消去を行う。 | |||
</div> | |||
<div class="example"> | <div class="example"><B>事例11:ネットワークのパスワード変更時期になったが、ついつい後回しにしてしまい、半年が過ぎてしまった。</B> | ||
<br> | |||
*■問題点 | |||
・パスワード漏洩の可能性が増加してしまう。 | |||
*■対応方法 | |||
・サーバ側でログイン時、強制的にパスワード変更するように設定する。 | |||
</div> | |||
<div class="example"><B>事例12:大容量のデータを扱う処理だったためサーバーのディスクを使用せず、自分のマシンのハードディスク(ローカルドライブ)で処理を行なっていた。</B> | |||
<br> | |||
*■問題点 | |||
・不正アクセスに対する管理が不十分である。<br> | |||
・バックアップの対象になっていない。 | |||
< | *■対応方法 | ||
・適切なアクセス制限を設ける。<br> | |||
・データの紛失などが起きても復旧できるようバックアップを行う。 | |||
</div> | |||
<div class="example"><B>事例15:顧客のシステムインストールのため一時的に自社内に必要なソフトをインストールした。しかし、作業完了後もそのままソフトはインストールしたままだった。</B> | |||
<br> | |||
*■問題点 | |||
・著作権法違反の恐れがある。<br> | |||
・使用権があるかないかも確認する。 | |||
*■対応方法 | |||
・契約上のソフトウェアの取り扱いルールの明確化。ソフトのインストールには申請許可が必要。 | |||
</div> | |||
<div class="example"><B>事例17:広告の制作中、修正用に出力し確認済となったものを、そのままゴミ箱に捨てている。</B> | |||
<br> | |||
*■問題点 | |||
・廃棄物の持ち去りなどにより情報が漏洩する危険性がある。 | |||
*■対応方法 | |||
・廃棄手段のルール化。保護レベル2以上の制作物の破棄はシュレッダーにかける。 | |||
</div> | |||
<div class="example"><B>事例22:外注先の担当者はいつものように制作室へ入っていった。</B> | |||
<br> | |||
*■問題点 | |||
* | ・権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。 | ||
*■対応方法 | |||
・外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う。 | |||
</div> | |||
<div class="example"> | <div class="example"><B>事例24:バイク便の引き取りのときに、荷物が重たいので自分の机まで運んでもらった。</B> | ||
<br> | |||
*■問題点> | |||
・権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。 | |||
*■対応方法 | |||
・外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う。 | |||
</div> | |||
<div class="example"><B>事例26:保管庫があふれて、とりあえず保管庫の上に保管した。</B> | |||
<br> | |||
*■問題点 | |||
* | ・本来鍵をかけて保管しなければならないものが人目にさらされ、権限のない人間による媒体の閲覧・盗難などによる情報漏えいの危険性がある。 | ||
*■対応方法 | |||
・媒体保管の容量などをあらかじめ予測する。<br> | |||
・施設エリアごとの保管ルールを明確化する。 | |||
</div> | |||
<div class="example"> | <div class="example"><B>事例27:複数の人間で共同作業している制作媒体のデータを自分のマシンで修正して、そのまま帰ってしまった。</B> | ||
<br> | |||
*■問題点 | |||
・誤った情報を掲載した媒体を納品してしまう恐れがある。 | |||
*■対応方法 | |||
・常に最新の版を共用サーバに置くとともに、利用ルールを明確に定める。 | |||
</div> | |||
<div class="example"><B>事例28:納品データをMOに入れて顧客先に持ち込み、顧客のマシンを借りてサーバにデータを転送して納品した。</B> | |||
<br> | |||
*■問題点 | |||
・顧客のマシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。 | |||
*■対応方法 | |||
・データ移動用のメディアは必ず帰社後ウイルスチェックを行う。 | |||
</div> | |||
<div class="example"><B>事例29:個人情報など重要な情報が含まれる納品データをMOに入れて顧客先に持ち込み、MOはもちかえってデータが入ったまま保管していた。</B> | |||
<br> | |||
*■問題点 | |||
・本来すぐに処分しなければならない情報がメディアの紛失などにより、情報漏えいする危険性がある。 | |||
*■対応方法 | |||
・データ移動の用途が終わった後は、速やかにデータを返却するか消去する。 | |||
</div> | |||
<div class="example"><B>事例30:媒体データを大阪オフィスにデータを送る為、何度も修正してそのつどMOVEにデータを入れたが、旧データも別名で残ったままになっている。</B> | |||
<br> | |||
*■問題点 | |||
・最新版がどれかが判らなくなり事故が発生する可能性がある。 | |||
*■対応方法 | |||
・データのフォルダに日付をつけるなどルールを定める。 | |||
</div> | |||
<div class="example"><B>事例31:媒体データを大阪オフィスにデータを送る為、MOVEにデータを入れようとしたが、MOVEがすでに他のデータでいっぱいでデータを渡すことができない。</B> | |||
<br> | |||
*■問題点 | |||
* | ・作業の遅延などによる金額および作業コストの損失の恐れがある。 | ||
*■対応方法 | |||
・データは直ぐに受け取った者が確実に削除する。 | |||
</div> | |||
<div class="example"> | <div class="example"><B>事例33:私物のiPodを会社のパソコンにつなぎ、会社のマシン間でデータを移動させた。</B> | ||
<br> | |||
*■問題点 | |||
・自宅マシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。 | |||
*■対応方法 | |||
・ウイルス被害の可能性などの知識を啓蒙する。 | |||
</div> | |||
<div class="example"><B>事例34:サーバを利用中、サーバに接続したまま長時間席を離れた。</B> | |||
<br> | |||
*■問題点 | |||
・他人に自分の権限でサーバを利用される恐れがある。<br> | |||
・事故発生時に責任を追及される可能性がある。 | |||
*■対応方法 | |||
・離席する際は、スクリーンセーバをかける。設定は5分。 | |||
</div> | |||
</div> | </div> | ||
2011年3月8日 (火) 15:11時点における最新版
ISMSの具体的な事例です。
- 事例1:ベテラン社員が退職したことに伴い、経験者を中途で採用した。経験が豊富だったため、即現場に配属を行なった。
- ■問題点
ISMSに関する教育がなされておらず、問題を起こす可能性がある。
- ■対応方法
配属前に教育の実施する。
事例2:お客さんが事務所に訪ねてきた。来客者は、社員の知り合いということだったので、そのまま事務所内に案内した。
- ■問題点
・盗み見等の情報漏えいにつながる可能性がある。
- ■対応方法
・来客者の入退出時のルールの徹底
事例3:社内での作業が納期的に困難となったため、急いでその仕事ができる外注先を探し、そこに仕事を発注した。
- ■問題点
・機密事項等に関する契約がなされていない可能性がある。
- ■対応方法
・機密保持契約を結ぶ。(外部委託管理規定に明記されている)
事例4:顧客からの問い合わせがあり、顧客から預かった書類を綴じたファイルを取り出し見ていた。
その後、客先へ出向く用事ができたため、出かけたが、ファイルは机の上に置いたままであった。
その後、客先へ出向く用事ができたため、出かけたが、ファイルは机の上に置いたままであった。
- ■問題点
・紛失、または共通ファイルであれば他の人が使えない可能性がある。
- ■対応方法
・情報利用ルールの徹底。
事例5:企画書を作成しているとき、来客があった。重要商談だったためパソコンでの作業をそのままにして急いで商談室へと向かった。
- ■問題点
・覗き見による情報漏えいの可能性あり
- ■対応方法
・スクリーンセーバーをかける。
事例7:急ぎの用事が入り、顧客への受け渡す書類を持参できなくなった。顧客に断りの電話を入れた後、メールでその書類を添付して送付した。
- ■問題点
・メールの送付先を間違える可能性がある。
- ■対応方法
・メール送信手順の確認。添付ファイルにパスワードをかける。
事例8:PCが故障したために直そうとしたが、自社では無理だとわかり、業者に修理依頼をすることにした。修理業者は長年取引がある業者だったので、安心して修理に出した。
- ■問題点
・パソコンから情報漏えいの可能性がある。
・情報が紛失する可能性がある。
- ■対応方法
・情報漏えいに対する対策を行う。
・外部業者で機密保持契約を結ぶ。
事例9:顧客にプレゼンテーションを行なうため、ノートPCを持ち出すことになった。しかし、普段プレゼン用で使用しているパソコンが使用中だったため、別のパソコンを使用することになった。
- ■問題点
・万が一盗難等にあった場合、プレゼン用以外の情報漏えいにつながる可能性がある。
- ■対応方法
・持ち出しルールを策定する。
・基本的には持ち出さない。持ち出しても紛失時の備えて、ロック機能をつける。
事例10:MOやCDなどのメディアが読み書きができなくなったため、そのまま不燃ごみとして捨てた。
- ■問題点
・第三者に漏洩する危険性がある。(他のマシン等で読み込み可能となる場合あり)
- ■対応方法
・メディア廃棄の際には、破壊か完全なる消去を行う。
事例11:ネットワークのパスワード変更時期になったが、ついつい後回しにしてしまい、半年が過ぎてしまった。
- ■問題点
・パスワード漏洩の可能性が増加してしまう。
- ■対応方法
・サーバ側でログイン時、強制的にパスワード変更するように設定する。
事例12:大容量のデータを扱う処理だったためサーバーのディスクを使用せず、自分のマシンのハードディスク(ローカルドライブ)で処理を行なっていた。
- ■問題点
・不正アクセスに対する管理が不十分である。
・バックアップの対象になっていない。
- ■対応方法
・適切なアクセス制限を設ける。
・データの紛失などが起きても復旧できるようバックアップを行う。
事例15:顧客のシステムインストールのため一時的に自社内に必要なソフトをインストールした。しかし、作業完了後もそのままソフトはインストールしたままだった。
- ■問題点
・著作権法違反の恐れがある。
・使用権があるかないかも確認する。
- ■対応方法
・契約上のソフトウェアの取り扱いルールの明確化。ソフトのインストールには申請許可が必要。
事例17:広告の制作中、修正用に出力し確認済となったものを、そのままゴミ箱に捨てている。
- ■問題点
・廃棄物の持ち去りなどにより情報が漏洩する危険性がある。
- ■対応方法
・廃棄手段のルール化。保護レベル2以上の制作物の破棄はシュレッダーにかける。
事例22:外注先の担当者はいつものように制作室へ入っていった。
- ■問題点
・権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
- ■対応方法
・外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う。
事例24:バイク便の引き取りのときに、荷物が重たいので自分の机まで運んでもらった。
- ■問題点>
・権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
- ■対応方法
・外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う。
事例26:保管庫があふれて、とりあえず保管庫の上に保管した。
- ■問題点
・本来鍵をかけて保管しなければならないものが人目にさらされ、権限のない人間による媒体の閲覧・盗難などによる情報漏えいの危険性がある。
- ■対応方法
・媒体保管の容量などをあらかじめ予測する。
・施設エリアごとの保管ルールを明確化する。
事例27:複数の人間で共同作業している制作媒体のデータを自分のマシンで修正して、そのまま帰ってしまった。
- ■問題点
・誤った情報を掲載した媒体を納品してしまう恐れがある。
- ■対応方法
・常に最新の版を共用サーバに置くとともに、利用ルールを明確に定める。
事例28:納品データをMOに入れて顧客先に持ち込み、顧客のマシンを借りてサーバにデータを転送して納品した。
- ■問題点
・顧客のマシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。
- ■対応方法
・データ移動用のメディアは必ず帰社後ウイルスチェックを行う。
事例29:個人情報など重要な情報が含まれる納品データをMOに入れて顧客先に持ち込み、MOはもちかえってデータが入ったまま保管していた。
- ■問題点
・本来すぐに処分しなければならない情報がメディアの紛失などにより、情報漏えいする危険性がある。
- ■対応方法
・データ移動の用途が終わった後は、速やかにデータを返却するか消去する。
事例30:媒体データを大阪オフィスにデータを送る為、何度も修正してそのつどMOVEにデータを入れたが、旧データも別名で残ったままになっている。
- ■問題点
・最新版がどれかが判らなくなり事故が発生する可能性がある。
- ■対応方法
・データのフォルダに日付をつけるなどルールを定める。
事例31:媒体データを大阪オフィスにデータを送る為、MOVEにデータを入れようとしたが、MOVEがすでに他のデータでいっぱいでデータを渡すことができない。
- ■問題点
・作業の遅延などによる金額および作業コストの損失の恐れがある。
- ■対応方法
・データは直ぐに受け取った者が確実に削除する。
事例33:私物のiPodを会社のパソコンにつなぎ、会社のマシン間でデータを移動させた。
- ■問題点
・自宅マシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。
- ■対応方法
・ウイルス被害の可能性などの知識を啓蒙する。
事例34:サーバを利用中、サーバに接続したまま長時間席を離れた。
- ■問題点
・他人に自分の権限でサーバを利用される恐れがある。
・事故発生時に責任を追及される可能性がある。
- ■対応方法
・離席する際は、スクリーンセーバをかける。設定は5分。