「情報セキュリティ基本方針(A5)」の版間の差分

提供:Wiki@KDS
ナビゲーションに移動 検索に移動
Unno (トーク | 投稿記録)
77 回編集
編集の要約なし
 
編集の要約なし
 
(他の1人の利用者による、間の2版が非表示)
1行目: 1行目:
教育資料03の情報セキュリティのための組織(A6)です。<br>
教育資料02の情報セキュリティ基本方針(A5)です。<br>
[[ISMS教育資料]]|[[資産の管理(A7)]]→
[[ISMS教育資料]]|[[情報セキュリティのための組織(A6)]]→


<div id="manual">
<div id="manual">
=='''内部組織[A6.1]'''==
=='''情報セキュリティ基本方針[A5.1]'''==
【目的】<br>
【目的】<br>
組織内の情報セキュリティを管理するため。
情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項,関連する法令及び規制に従って規定するため。


<div class="example">
<div class="example">
===情報セキュリティ責任の割当て[A6.1.3]===
===情報セキュリティ基本方針文書[A5.1.1]===
【管理策】<br>
【管理策】<br>
<em>すべての情報セキュリティ責任を、明確に定めなければならない。</em><br>
<em>情報セキュリティ基本方針文書は,経営陣によって承認されなければならず,また,全従業員及び関連する外部関係者に公表し,通知しなければならない。</em><br>
【解説】<br>
【解説】<br>
情報資産の保護責任や、ISMS運用の実施責任は誰にあるのかを明確にするため、責任部門や責任者を具体的に明示する必要がある。<br>
'''(1)情報セキュリティ基本方針文書では、情報セキュリティに関する組織の基本方針をまとめたものである。'''<br>
 
標準的な情報セキュリティ基本方針の体系は、環境組織によって異なるので、情報セキュリティ基本方針の体系も組織によって異なる。<br>
<div class="example">
注意しなければならない点は、情報セキュリティ基本方針の経営陣による承認・制定が求められることである。<br>
'''当社ではISMS実施責任を「組織管理規定」「要員管理規定」「職務権限管理規定」で、情報資産の保護責任は「情報資産管理規定」で定めている。'''<br>
'''(2)役員・従業員などISMSにかかわる者全員に対して情報セキュリティ基本方針を教育・周知する必要がある。'''<br>
*・ISMS事務局・ISMSリーダーが中心にISMSを運用実施している。また、個々の情報資産については保護ラベルで取扱責任者を明示している。
組織が情報セキュリティ基本文書の作成だけにとどまってしまい、情報セキュリティ基本方針を順守すべき役員や従業員がその内容を把握していなければ、ISMSが効果的に運用されているとはいえない。<br>
</div>
組織は、教育計画およびその実施記録を保管しておき、教育を実施した事実を説明できるようにしておく必要がある。<br>
</div>
 
 
<div class="example">
===情報処理設備の認可プロセス[A6.1.4]===
【管理策】<br>
<em>新しい情報処理設備に対する経営陣による認可プロセスを定め、実施しなければならない。</em><br>
【解説】<br>
情報処理にかかわる設備・施設の導入については、情報セキュリティに及ぼす影響が大きいことから、導入に関する経営陣の承認プロセスを定める必要がある。
<div class="example">
'''当社では「施設・設備管理規定」で定めている。'''<br>
*・ISMS事務局にて調整・検討を行い、ISMS委員会(社長・役員も所属)にて承認を得る。
</div>
</div>
 
 
<div class="example">
===秘密保持契約 [A6.1.5]===
【管理策】<br>
<em>情報保護に対する組織の必要を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューしなければならない。</em><br>
【解説】<br>
会社と従業員との間で交わす秘密保持契約には、秘密情報を保護するための要求事項を取り上げる。<br>
秘密保持契約に関する要求事項は、定期的に、及びこれら要求に影響する変化が発生した場合にレビューしなければならない。
<div class="example">
'''当社では「要員管理規定」で定めている。'''<br>
*・社員は「機密保持誓約書」の提出、派遣社員は「機密保持契約書」の締結を行う。
*・内容についてはISMS管理責任者がレビューする。
</div>
</div>
 
 
<div class="example">
===情報セキュリティの独立したレビュー[A6.1.8]===
【管理策】<br>
<em>情報セキュリティ及びその実施のマネジメントに対する組織の取組み(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)について、あらかじめ計画した間隔で、又はセキュリティの実施に重大な変化が生じた場合に、独立したレビューを実施しなければならない。</em><br>
【解説】<br>
ISMSを構築したら、その内容とそれが確実に実施されているかどうかをレビューしなければならない。レビューは日常業務の枠から独立した形で、定期的又は業務や情報施設、ISMSに大きな変更があった場合に行う。
<div class="example">
'''当社では「セキュリティマニュアル」で定めている。'''<br>
*・マネジメントレビュー、内部監査にてレビューを行っている。
</div>
</div>
 
<div id="manual">
=='''外部組織[A6.2]'''==
【目的】<br>
外部組織によってアクセス、処理、通信、又は管理される組織の情報及び情報処理施設のセキュリティを維持するため。
 
<div class="example">
===外部組織に関係したリスクの識別[A6.2.1]===
【管理策】<br>
<em>外部組織がかかわる業務プロセスからの、組織の情報及び情報処理施設に対するリスクを識別しなければならない。また、外部組織にアクセスを許可する前に適切な管理策を実施しなければならない。</em><br>
【解説】<br>
第三者が情報処理施設及び設備へのアクセスすることの必要性、アクセスを許可した場合に生じるリスクなどについて評価し、その結果をふまえて必要な管理策を講じる。<br>
 
<div class="example">
'''当社では「施設・設備管理規定」で定めている。'''<br>
*・管理レベルにより、社内エリアを区分し、入退管理を実施する。
*・身分証による識別/施設入退室管理表によるビジターバッジ・入館証発行/昼休み・18時~9時の施錠/受渡場所の設定/作業時の社員立会など
</div>
</div>
</div>




<div class="example">
<div class="example">
===第三者との契約におけるセキュリティ[A6.2.3]===
===情報セキュリティ基本方針のレビュー[A5.1.2]===
【管理策】<br>
【管理策】<br>
<em>組織の情報若しくは情報処理施設が関係するアクセス・処理・通信・管理にかかわる第三者との契約、又は情報処理施設に製品・サービスを追加する第三者との契約は、関連するすべてのセキュリティ要求事項を取り上げなければならない。</em><br>
<em>情報セキュリティ基本方針は,あらかじめ定められた間隔で,又は重大な変化が発生した場合に,それが引き続き適切,妥当及び有効であることを確実にするためにレビューしなければならない。</em><br>
【解説】<br>
【解説】<br>
情報処理や社内の情報処理設備の管理を外部委託する場合は、その委託先と外部委託に関係する要求事項(責任範囲・守秘義務・損害賠償・注意義務など)について明確に定めた契約を締結する。<br>
情報セキュリティ基本方針は、情報技術の革新やさまざまな環境の変化にともなって変更される。そこで、事業上の要求事項を満たしているか、IT環境に対応した内容になっているか、といった視点から情報セキュリティ基本方針を定期的にレビューすることが必要になる。<br>
また、モバイルシステムの導入や大規模な組織変更が発生する場合には、“重大な変化が発生した場合”に該当すると考えられるので、こうした変化に対応して情報セキュリティ基本方針の内容を見直す必要がある。<br>
また、変更内容の妥当性をどのように検討したのか検討方法、検討項目、実施者などを明記した記録を保存しておく必要がある。<br>
なお、ISO27001の要求事項では、定期的にレビューを行うことが求められているので、少なくとも年1回、情報セキュリティ基本方針のレビューを行わなければならない。


<div class="example">
'''当社では「外部組織管理規定」「外部委託管理規定」で定めている。'''<br>
*・外部委託先起業とは機密保持契約を締結している。
</div>
</div>
</div>
</div>
</div>

2010年3月17日 (水) 16:50時点における最新版

教育資料02の情報セキュリティ基本方針(A5)です。
ISMS教育資料情報セキュリティのための組織(A6)

情報セキュリティ基本方針[A5.1]

【目的】
情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項,関連する法令及び規制に従って規定するため。

情報セキュリティ基本方針文書[A5.1.1]

【管理策】
情報セキュリティ基本方針文書は,経営陣によって承認されなければならず,また,全従業員及び関連する外部関係者に公表し,通知しなければならない。
【解説】
(1)情報セキュリティ基本方針文書では、情報セキュリティに関する組織の基本方針をまとめたものである。
標準的な情報セキュリティ基本方針の体系は、環境組織によって異なるので、情報セキュリティ基本方針の体系も組織によって異なる。
注意しなければならない点は、情報セキュリティ基本方針の経営陣による承認・制定が求められることである。
(2)役員・従業員などISMSにかかわる者全員に対して情報セキュリティ基本方針を教育・周知する必要がある。
組織が情報セキュリティ基本文書の作成だけにとどまってしまい、情報セキュリティ基本方針を順守すべき役員や従業員がその内容を把握していなければ、ISMSが効果的に運用されているとはいえない。
組織は、教育計画およびその実施記録を保管しておき、教育を実施した事実を説明できるようにしておく必要がある。


情報セキュリティ基本方針のレビュー[A5.1.2]

【管理策】
情報セキュリティ基本方針は,あらかじめ定められた間隔で,又は重大な変化が発生した場合に,それが引き続き適切,妥当及び有効であることを確実にするためにレビューしなければならない。
【解説】
情報セキュリティ基本方針は、情報技術の革新やさまざまな環境の変化にともなって変更される。そこで、事業上の要求事項を満たしているか、IT環境に対応した内容になっているか、といった視点から情報セキュリティ基本方針を定期的にレビューすることが必要になる。
また、モバイルシステムの導入や大規模な組織変更が発生する場合には、“重大な変化が発生した場合”に該当すると考えられるので、こうした変化に対応して情報セキュリティ基本方針の内容を見直す必要がある。
また、変更内容の妥当性をどのように検討したのか検討方法、検討項目、実施者などを明記した記録を保存しておく必要がある。
なお、ISO27001の要求事項では、定期的にレビューを行うことが求められているので、少なくとも年1回、情報セキュリティ基本方針のレビューを行わなければならない。

https://wiki.kohga.tokyo/index.php?title=情報セキュリティ基本方針(A5)&oldid=6468」から取得