「2009年03月18日:第07回リーダー会議」の版間の差分
編集の要約なし |
編集の要約なし |
||
| 10行目: | 10行目: | ||
2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。<br>東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。<br><br> | 2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。<br>東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。<br><br> | ||
===<em> | ===<em>■第三者との契約におけるセキュリティ</em>【レベル3】=== | ||
保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。<br> | 保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。<br> | ||
| 20行目: | 20行目: | ||
==観察事項への対処== | ==観察事項への対処== | ||
===<em>■セキュリティ事故報告書・セキュリティ問題報告書</em>=== | ===<em>■セキュリティ事故報告書・セキュリティ問題報告書</em>【レベル1】=== | ||
セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。<br>社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。<br> | セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。<br>社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。<br> | ||
事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。<br> | 事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。<br> | ||
<br> | |||
★「事故には至ってはいないが問題がもしれない。」という事象を洗い出し作業を行う。<br> | |||
★相当する事象があれば報告書を事務局に提出する。<br> | |||
<div class="example">'''※事故を起こったときは「報告」を上げ→全員で「共有」する。また、各部門で事前にリスクを「想定」する。'''<br> | |||
'''※「セキュリティ事故報告書」と「セキュリティ問題報告書」は、「Tkocore2/Office/ISMS」に置いてあります。'''</div> | |||
<br> | <br> | ||
===<em>■メディア管理の徹底</em>=== | ===<em>■メディア管理の徹底</em>【レベル1.5】=== | ||
今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものを明確に識別し、管理を徹底させてください。<br><br> | 今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものを明確に識別し、管理を徹底させてください。<br><br> | ||
| 47行目: | 43行目: | ||
<br> | <br> | ||
===<em>■保護ラベル記入方法</em>=== | ===<em>■保護ラベル記入方法</em>【レベル1】=== | ||
今回の審査で、保管期間が記入されていないものが多く見受けられました。<br> | 今回の審査で、保管期間が記入されていないものが多く見受けられました。<br> | ||
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。<br> | 「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。<br> | ||
<div class="example">''' | <div class="example">'''※東京オフィスでは、個々の書類ではなく、書類をまとめた箱に対して「保護レベルシール」を貼り付けています。'''<br> | ||
'''※進行中( | '''※進行中(公開前→保護レベル2)の書類は、各自が運用ルールを守って保管。終了した案件書類(保護レベル1)は所定場所に分類→保管してください。'''<br> | ||
''' | '''※箱には「公開日の異なる案件書類」が入っていたり、「流動的に書類が動く」ため、保管期間(終了日)のラベル記入は難しい状況です。もし、終了案件で箱やファイリングを期間で分類しているものがあれば、保管終了期間の記入をお願いします。'''</div> | ||
<br> | <br> | ||
==メール== | ==メール== | ||
===<em>■取引業者からのメール受託方法</em>=== | ===<em>■取引業者からのメール受託方法</em>【レベル2】=== | ||
取引業者(クラリアントではなく、外注・下請けのこと)から受け取るメールの保護を怠っていました。<br>保護するべき情報資産を送ってもらう場合は、適切に保護された方法での送信を依頼します。<br> | 取引業者(クラリアントではなく、外注・下請けのこと)から受け取るメールの保護を怠っていました。<br>保護するべき情報資産を送ってもらう場合は、適切に保護された方法での送信を依頼します。<br> | ||
| 65行目: | 61行目: | ||
<br> | <br> | ||
===<em>■ファイル送信ツールを使用しない場合の対応方法</em>=== | ===<em>■ファイル送信ツールを使用しない場合の対応方法</em>【レベル2】=== | ||
クライアントからの指示や、手順が面倒だということで、メールデータを保護しない状態でKDSから送信するケースがあります。<br>その顧客の確認と、情報漏洩のリスクがあがることの承認を得る手続きを行います。<br> | クライアントからの指示や、手順が面倒だということで、メールデータを保護しない状態でKDSから送信するケースがあります。<br>その顧客の確認と、情報漏洩のリスクがあがることの承認を得る手続きを行います。<br> | ||
| 73行目: | 69行目: | ||
==取引業者関連== | ==取引業者関連== | ||
===<em>■機密保持契約先で現在取引が行われていない業者の識別</em>=== | ===<em>■機密保持契約先で現在取引が行われていない業者の識別</em>【レベル3】=== | ||
「機密保持契約締結先一覧」の中に、社名が変更されたり取引が完全になくなっている業者がありました。<br> | 「機密保持契約締結先一覧」の中に、社名が変更されたり取引が完全になくなっている業者がありました。<br> | ||
| 79行目: | 75行目: | ||
<br> | <br> | ||
===<em>■保護レベルが高い情報資産委託の確認</em>=== | ===<em>■保護レベルが高い情報資産委託の確認</em>【レベル3】=== | ||
現状、個人情報を含む保護レベルが高い情報資産の外部委託先は2社のみです。<br> | 現状、個人情報を含む保護レベルが高い情報資産の外部委託先は2社のみです。<br> | ||
| 87行目: | 83行目: | ||
<br> | <br> | ||
===<em>■取引業者の再委託の確認</em>=== | ===<em>■取引業者の再委託の確認</em>【レベル3】=== | ||
再委託する場合は、書面での申請が必要です。<br><br> | 再委託する場合は、書面での申請が必要です。<br><br> | ||
各部門で、「外部委託先の再委託震申請について」をもとに、再委託有無の確認、申請書提出の手続きをおこなってください。毎月のリーダー会議で確認を行います。<br><br><br> | 各部門で、「外部委託先の再委託震申請について」をもとに、再委託有無の確認、申請書提出の手続きをおこなってください。毎月のリーダー会議で確認を行います。<br><br><br> | ||
2009年4月1日 (水) 18:25時点における版
第7回ISMSリーダー会議
【日時】2009年3月18日(水)13:00~
【場所】本社1階会議室
審査指摘事項一覧
2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。
東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。
■第三者との契約におけるセキュリティ【レベル3】
保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。
例えば、東京オフィスは、外注先(会社及び個人も含めて、20~30社)へ提供される情報資産の中に、個人情報を含んでいる外注先の実情把握等もあるかも知れません。
観察事項への対処
■セキュリティ事故報告書・セキュリティ問題報告書【レベル1】
セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。
社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。
事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。
★「事故には至ってはいないが問題がもしれない。」という事象を洗い出し作業を行う。
★相当する事象があれば報告書を事務局に提出する。
※「セキュリティ事故報告書」と「セキュリティ問題報告書」は、「Tkocore2/Office/ISMS」に置いてあります。
■メディア管理の徹底【レベル1.5】
今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものを明確に識別し、管理を徹底させてください。
【CDの破棄】→必ず割ってから捨てる。(雑誌に挟んで割ると怪我しない)
【MOの破棄】→物理的なフォーマット、または破壊が必要。事務局に提出してもOKです。
【MOの保管・返却】→部門ごとに保管場所や返却のタイミングなど、MO管理のルールを策定してください。次回内部監査では重点的にチェックします。
■保護ラベル記入方法【レベル1】
今回の審査で、保管期間が記入されていないものが多く見受けられました。
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。
※進行中(公開前→保護レベル2)の書類は、各自が運用ルールを守って保管。終了した案件書類(保護レベル1)は所定場所に分類→保管してください。
メール
■取引業者からのメール受託方法【レベル2】
取引業者(クラリアントではなく、外注・下請けのこと)から受け取るメールの保護を怠っていました。
保護するべき情報資産を送ってもらう場合は、適切に保護された方法での送信を依頼します。
■ファイル送信ツールを使用しない場合の対応方法【レベル2】
クライアントからの指示や、手順が面倒だということで、メールデータを保護しない状態でKDSから送信するケースがあります。
その顧客の確認と、情報漏洩のリスクがあがることの承認を得る手続きを行います。
取引業者関連
■機密保持契約先で現在取引が行われていない業者の識別【レベル3】
「機密保持契約締結先一覧」の中に、社名が変更されたり取引が完全になくなっている業者がありました。
各部門で、「機密保持契約締結先一覧」の内容に修正がないかどうか、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。
■保護レベルが高い情報資産委託の確認【レベル3】
現状、個人情報を含む保護レベルが高い情報資産の外部委託先は2社のみです。
新しく発生する場合は速やかに事務局に報告してください。
各部門で、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。
■取引業者の再委託の確認【レベル3】
再委託する場合は、書面での申請が必要です。
各部門で、「外部委託先の再委託震申請について」をもとに、再委託有無の確認、申請書提出の手続きをおこなってください。毎月のリーダー会議で確認を行います。