「通信及び運用管理(A10)」の版間の差分
編集の要約なし |
編集の要約なし |
||
| 82行目: | 82行目: | ||
情報が読み取り出来ないように破壊した上で処分する。破壊できないものはシステム企画室に提出する。 | 情報が読み取り出来ないように破壊した上で処分する。破壊できないものはシステム企画室に提出する。 | ||
*・処分を外部委託する場合は、「外部委託管理規定」に基づき必要な機密保持契約を交わした上で安全に処分されることを確実にする。 | *・処分を外部委託する場合は、「外部委託管理規定」に基づき必要な機密保持契約を交わした上で安全に処分されることを確実にする。 | ||
</div> | |||
</div> | |||
<div id="manual"> | |||
=='''情報の交換[A10.8]'''== | |||
【目的】<br> | |||
組織内部で交換した及び外部と交換した、情報及びソフトウェアのセキュリティを維持するため。<br> | |||
<div class="example"> | |||
===配送中の物理的媒体[A10.8.3]=== | |||
【管理策】<br> | |||
<em>情報を格納した媒体は、組織の物理的境界を越えた配送の途中における、認可されていないアクセス、不正使用又は破損から保護しなければならない。</em><br> | |||
【解説】<br> | |||
配送途中での紛失、盗難、破壊、漏えい、改ざんなどのリスクから媒体を保護する手段を講じなければなりません。重要情報を含む媒体については、取扱いのルール化を明確にするとともに、授受簿などで受渡しの記録を確実に残す必要があります。<br> | |||
<div class="example"> | |||
'''当社では「システム運用管理規定」で定めている。'''<br> | |||
*・自社社員による配送、または信頼のおける運送業者を使用する。 | |||
*・個人情報を含む情報資産の配送については「機密情報搬送手順書」に従い、自社社員による配送(GPS搭載のケースにて)、または会社が指定するセキュリティ便を利用する。 | |||
</div> | |||
</div> | |||
<div class="example"> | |||
===電子的メッセージ通信[A10.8.4]=== | |||
【管理策】<br> | |||
<em>電子的メッセージ通信に含まれた情報は、適切に保護しなければならない。</em><br> | |||
【解説】<br> | |||
電子メールにかかわるリスクを低減するための管理策を講じる必要があります。方針で定める事項には、以下のようなものがあります。 | |||
*●電子メールの利用範囲と利用者の責任 | |||
*●電子メールの送受信ルール | |||
*●電子メールの添付ファイルの取扱いルール | |||
*●暗号技術の利用ルール | |||
*●メッセージの保存ルール<br> | |||
など | |||
<div class="example"> | |||
'''当社では「システム運用管理規定」で定めている。'''<br> | |||
*・メール本文に保護レベル2以上にあたる内容を記載しない。 | |||
*・添付ファイルはパスワード保護を行う。 | |||
*・パスワード保護ができない場合や容量の大きなファイルの場合はファイル送信ツール「WebFile」を使用する。 | |||
</div> | </div> | ||
</div> | </div> | ||
</div> | </div> | ||
2010年3月15日 (月) 17:31時点における最新版
教育資料07の通信及び運用管理(A10)です。
←物理的及び環境的セキュリティ(A9)|ISMS教育資料|アクセス制御(A11)→
悪意のあるコード及びモバイルコードからの保護[A10.4]
(モバイルコードとは、あるコンピュータから別のコンピュータへ移動するソフトウェアであって、利用者とのやり取りがほとんどない、又はまったくない状態で自動的に起動し、特定の機能を実行するものをいう。)
【目的】
ソフトウェア及び情報の完全性を保護するため。
悪意のあるコードに対する管理策[A10.4.1]
【管理策】
悪意のあるコードから保護するために、検出、予防及び回復のための管理策、並びに利用者に適切に意識させるための手順を実施しなければならない。
【解説】
悪意のあるコードには、Web画面の閲覧や電子メールのプレビューで感染し、メールアドレス帳やハードディスク内に保存されている受信メールの本文からメールアドレスを割り出して、コンピュータウイルスに感染した電子メールを送信するものもある。また、ハードディスク内に保存されている文書ファイルなどを無作為に添付して送信したりインターネット上に流出させたりするコンピュータウイルスもあるので、個人情報や機密情報が外部に漏えいする可能性もある。ソフトウェアや電子ファイルの入手および使用に関する方針(規程など)を策定するとともに、業務で使用するサーバーやパソコンなどを定期的に点検し、承認されていないファイルや許可されていない変更がないか、コンピュータウイルスなどの悪意のあるコードの対策ソフトウェアは最新になっているかなどを確認する必要がある。悪意のあるコードの対策は、組織内の1箇所でも対策が不十分な箇所があると、そこから被害が拡大する恐れがある。したがって、悪意のあるコードの対策について、社員などへの教育・訓練を継続的に行わなければならない。
当社では「システム運用管理規定」で定めている。
- ・システム企画室指定のウイルス検出ソフトウェアを社内全クライアントPCにインストールしている。
- ・ソフトウェアはシステム企画室が認可したもののみ利用可能とする。
モバイルコードに対する管理策[A10.4.2]
【管理策】
モバイルコードの利用が認可された場合は、認可されたモバイルコードが、明確に定められたセキュリティ方針に従って動作することを確実にする環境設定を行わなければならない。また、認可されていないモバイルコードを実行できないようにしなければならない。
【解説】
モバイルコードによっては魅力あるwebサイトの画面にしたりすることができる反面、悪用される可能性もあります。したがって、どのモバイルコードの利用を認可するかを定めるとともに、認可しないモバイルコードについては、実行を制御する必要があります。
当社では「システム運用管理規定」で定めている。
- ・モバイルコードはシステム企画室が認可したもののみ利用可能とする。
- ・モバイルコードの利用はシステム企画室が設定した環境のみで利用する。環境設定が必要なモバイルコードについては、システム企画室が実施することとし、利用者での設定は不可とする。
媒体の取扱い[A10.7]
【目的】
資産の認可されていない開示、改ざん、除去又は破壊、及びビジネス活動の中断を防止するため。
取り外し可能な媒体の管理[A10.7.1]
【管理策】
取外し可能な媒体の管理のための手順は、備えなければならない。
情報の取扱手順[A10.7.3]
【管理策】
情報の取扱い及び保管についての手順は、その情報を認可されていない開示又は不正使用から保護するために、確立しなければならない。
【解説】
CD・MOなど可搬性のある記憶媒体や、重要な情報が記憶されている書類など紙媒体に関する管理手順を明確にし、それを組織にかかわる者に順守させる必要があります。
当社では「情報資産管理規定」「システム運用管理規定」で定めている。
- ・すべての情報資産は、その管理者を設定し、「情報資産一覧表」にて明確にしている。
- ・情報資産を保護レベルによって区分けし、それぞれに応じた適切な管理を行っている。
媒体の処分[A10.7.2]
【管理策】
媒体が不要になった場合は、正式な手順を用いて、セキュリティを保ち、かつ、安全に処分しなければならない。
【解説】
確実に処分する必要がある媒体かを明確にし、物理的な処分(破壊・溶解など)やデータの確実な消去を実施しなければなりません。
当社では「システム運用管理規定」で定めている。
- ・紙
保護レベル2以上の情報資産が含まれる場合はシュレッダーにより処分する。
- ・ディスク等の媒体
情報が読み取り出来ないように破壊した上で処分する。破壊できないものはシステム企画室に提出する。
- ・処分を外部委託する場合は、「外部委託管理規定」に基づき必要な機密保持契約を交わした上で安全に処分されることを確実にする。
情報の交換[A10.8]
【目的】
組織内部で交換した及び外部と交換した、情報及びソフトウェアのセキュリティを維持するため。
配送中の物理的媒体[A10.8.3]
【管理策】
情報を格納した媒体は、組織の物理的境界を越えた配送の途中における、認可されていないアクセス、不正使用又は破損から保護しなければならない。
【解説】
配送途中での紛失、盗難、破壊、漏えい、改ざんなどのリスクから媒体を保護する手段を講じなければなりません。重要情報を含む媒体については、取扱いのルール化を明確にするとともに、授受簿などで受渡しの記録を確実に残す必要があります。
当社では「システム運用管理規定」で定めている。
- ・自社社員による配送、または信頼のおける運送業者を使用する。
- ・個人情報を含む情報資産の配送については「機密情報搬送手順書」に従い、自社社員による配送(GPS搭載のケースにて)、または会社が指定するセキュリティ便を利用する。
電子的メッセージ通信[A10.8.4]
【管理策】
電子的メッセージ通信に含まれた情報は、適切に保護しなければならない。
【解説】
電子メールにかかわるリスクを低減するための管理策を講じる必要があります。方針で定める事項には、以下のようなものがあります。
- ●電子メールの利用範囲と利用者の責任
- ●電子メールの送受信ルール
- ●電子メールの添付ファイルの取扱いルール
- ●暗号技術の利用ルール
- ●メッセージの保存ルール
など
当社では「システム運用管理規定」で定めている。
- ・メール本文に保護レベル2以上にあたる内容を記載しない。
- ・添付ファイルはパスワード保護を行う。
- ・パスワード保護ができない場合や容量の大きなファイルの場合はファイル送信ツール「WebFile」を使用する。