「2009年03月18日：第07回リーダー会議」の版間の差分

第7回ISMSリーダー会議

【日時】2009年3月18日(水)13:00～
【場所】本社1階会議室

審査指摘事項一覧

2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。
東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。

■第三者との契約におけるセキュリティ【レベル3】

保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。
例えば、東京オフィスは、外注先（会社及び個人も含めて、20～30社）へ提供される情報資産の中に、個人情報を含んでいる外注先の実情把握等もあるかも知れません。

観察事項への対処

■セキュリティ事故、セキュリティ問題について【レベル1】

セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。
社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。
事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。

【メモ】
★「事故には至ってはいないが問題がもしれない。」という事象を洗い出し作業を行う。
★相当する事象があれば「セキュリティ事故報告書」と「セキュリティ問題報告書」を事務局に提出する。

■メディア管理の徹底【レベル1.5】

今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものを明確に識別し、管理を徹底させてください。

【CDの破棄】→必ず割ってから捨てる。（雑誌に挟んで割ると怪我しない）
【MOの破棄】→物理的なフォーマット、または破壊が必要。事務局に提出してもOKです。
【MOの保管・返却】→部門ごとに保管場所や返却のタイミングなど、MO管理のルールを策定してください。次回内部監査では重点的にチェックします。

■保護ラベル記入方法【レベル1】

今回の審査で、保管期間が記入されていないものが多く見受けられました。
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。

メール

■取引業者からのメール受託方法【レベル2】

取引業者（クラリアントではなく、外注・下請けのこと）から受け取るメールの保護を怠っていました。
保護するべき情報資産を送ってもらう場合は、適切に保護された方法での送信を依頼します。

■ファイル送信ツールを使用しない場合の対応方法【レベル2】

クライアントからの指示や、手順が面倒だということで、メールデータを保護しない状態でKDSから送信するケースがあります。
その顧客の確認と、情報漏洩のリスクがあがることの承認を得る手続きを行います。

取引業者関連

■機密保持契約先で現在取引が行われていない業者の識別【レベル3】

「機密保持契約締結先一覧」の中に、社名が変更されたり取引が完全になくなっている業者がありました。
各部門で、「機密保持契約締結先一覧」の内容に修正がないかどうか、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。

■保護レベルが高い情報資産委託の確認【レベル3】

現状、個人情報を含む保護レベルが高い情報資産の外部委託先は2社のみです。
新しく発生する場合は速やかに事務局に報告してください。

各部門で、1回/月の頻度で確認を行ってください。毎月のリーダー会議で確認を行います。

■取引業者の再委託の確認【レベル3】

再委託する場合は、書面での申請が必要です。

各部門で、「外部委託先の再委託震申請について」をもとに、再委託有無の確認、申請書提出の手続きをおこなってください。毎月のリーダー会議で確認を行います。