「4.組織における情報セキュリティ対策」の版間の差分

・情報セキュリティ基本方針
情報セキュリティ基本方針とは情報セキュリティに関する組織の基本方針をまとめたものです。
経営陣によって承認され、全従業員及び外部関係者に公表・通知しなければなりません。
また、情報セキュリティ基本方針は、引き続き適切、妥当及び有効であることを確実にするために、あらかじめ定められた間隔でレビューしなければなりません。

・情報セキュリティマニュアル
情報セキュリティ対策の全般にわたって必要な、適用範囲や定義、責任と要件、遵守義務などを規定する文書です。

・管理規定
情報セキュリティ対策のための個別規程であり、情報セキュリティ対策の対象別の基準を規定します。

その他に適用宣言書、情報資産一覧表、各種手順書、各種記録様式、などの文書があります。

◇情報セキュリティ組織
経営者を情報セキュリティ組織のトップに置き、その下に情報セキュリティ管理責任者を設置しています。
大切なのは形式ではなく、誰が「責任者」なのかを明確にして運用することです。

・経営者
経営方針に合わせた情報セキュリティ基本方針を策定します。
対策の検討については、担当者任せにせず、積極的に関わることが大切です。
情報セキュリティ管理責任者から、社内の対策状況や事故報告を受けた場合には、経営者自らが改善の指示を出します。

・情報セキュリティ委員会
複数の部門の代表者により構成されます。経営者とともに、部門横断での対策検討や情報セキュリティ対策に関する重要課題の稟議を行います。

・情報セキュリティ管理責任者
情報セキュリティに関する責任者です。対策の実施、社内の指導、事故や緊急時への対応指示を出します。
必要に応じて、社員の招集や経営者への報告などを行います。

・従業者
組織が決めた情報セキュリティルールを順守し、情報セキュリティ事故を起さぬよう、日々の業務を行います。

◇委託契約書に盛り込むべき事項
・委託内容、範囲、責任の明確化
・委託契約期間
・守秘義務の取り決め
・委託契約終了後の情報の取り決め（返還・消去・廃棄等）
・再委託に関する取り決め
・委託業者の情報セキュリティ管理に対する内容
・契約内容を遵守していることの確認
・契約内容を違反した場合の措置
・セキュリティ事件・事故が発生した場合の措置

◇点検が必要と思われる状況
・市場環境、顧客ニーズの変化
・取引先、委託業者の変更
・事件・事故への対応
・親会社、委託元からの要望
・社内のインフラ、情報システムの追加・変更
・社内の組織、業務、運用の追加・変更