「ISMS概論」の版間の差分

主な情報資産の分類

• ・情報資産・・・データファイル、データベース、手順書など
• ・ソフトウェア資産・・・業務用ソフトウェア、システムソフトウェアなど
• ・物理的資産・・・コンピュータ端末、通信装置など
• ・人的資産・・・スキル、経験、資格など
• ・無形資産・・・組織の評判、ブランドイメージなど

• 1.人的セキュリティ・・・・・人間が情報を取り扱う際、不正な行為が行われないようにする対策
• 2.物理的セキュリティ・・・使用する媒体そのものの管理対策（棚に鍵をかける等）
• 3.技術的セキュリティ・・・セキュリティに対する技術のこと（ウイルス対策・サーバメンテナンス等）

• ・機密性・・・アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
• ・完全性・・・情報および処理方法が正確であることおよび完全であることを保護すること。
• ・可用性・・・認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

• ・機密性・・・許可されなければ、使えない、見えない
• ・完全性・・・改ざんできない
• ・可用性・・・必要な時に、使える、見ることができる

• ・Plan・・・・・【計画】情報セキュリティ対策の具体的計画・目標を策定する。
• ・Do・・・・・・【実施】計画に基づいて対策の実施・運用を行う。
• ・Check・・・【確認】実施した結果の点検・監視を行う
• ・Act・・・・・・【改善】経営陣による見直しを行い、改善・処置する。

• 1.事業資産としての情報の重要性・・・・・・・・情報は事業には不可欠の資産であり、適切に保護される必要がある。
• 2.ネットワーク・分散型システムの普及・・・・社外との電子的やり取りが普及したため、システム担当者のみならず、全社員の教育が必要である。
• 3.情報システムへの脅威の増大・・・・・・・・・ネットワーク上での不正行為、スパイ行為、妨害行為の脅威は年々増大する傾向にあり、その対策が必要である。
• 4.セキュリティ事故の高度化・大規模化・・・・高度に効率化されたシステム上では、一瞬にして顧客情報を盗まれる。そのための対策として、情報セキュリティが必要になる。
• 5.技術的対策の限界・・・・・・・・・・・・・・・・・・技術的な対策だけでなく、人的な対策（盗難、誤操作）などの物理的要因も考慮にいれる必要がある。

• ・保護レベル1・・・情報資産価値が低く、漏洩しても影響を及ぼさない→公開（配布）後の原稿など
• ・保護レベル2・・・情報資産価値が高く、外部に漏洩してしまうと、被害が発生する→公開（配布）前の原稿など
• ・保護レベル3・・・個人情報・経理情報など、情報資産価値が非常に高く、漏洩すると会社の存亡に関わる→名簿、経理情報など

※詳しくは、情報資産一覧表、リスクアセスメントシートを参照。

リスク管理に対する心構え

• 1.問題や事故を予防するため、事前に予測をして、対策を考える。
• 2.問題が起きたときには決められた手順で対応を行い、被害を最小限に抑える。
• 3.事故の原因や要因となる要素を事前に検討し、事故の再発を防ぐ。

■入退室管理について

• ・社内では「IDカード(名札)」をつける。
• ・施設内の執務エリアの定義は理解する。 →東京DSオフィスのエリア管理について【PDF：66K】
• ・外部業者との物品受け渡しは、執務エリア外のドア入り口付近で行う。
• ・外部委託業者などが執務エリアに入るときは、「施設入退室管理表」に記入してもらうこと。またその場合は必ず立ち会い、外部委託業者のみで行動しないようにする。
• ・会社が無人になる場合は必ず施錠する。

■クリアデスク・クリアスクリーンについて

• ・クリアデスクとは、机の上に機密情報を置き去りにしないよう、机の上の整理整頓を行うこと。 特に離席時に機密書類は仕舞う。

　→【理由】机の上に重要・機密情報が書かれた紙などを放置しないようにすることにより、情報の盗み見や持ち出しを防止する。

• ・クリアスクリーンとは、離席するときにパソコンの中身を見られないようにすること。

　→【理由】通りがかりの人が操作可能な状態でパソコンを放置しないようにすることにより、機密情報の盗み見・持ち出しやなりすましアクセスなどを防止する。

• ・スクリーンセーバーの時間は、原則「5分」と定める。立ち上げる際にはパスワード入力を求める設定にすること。

■携帯電話について

• ・携帯に「顧客担当者の個人情報」が入っている場合、紛失や盗難のリスクを考慮し、普段から「ロック設定」をする。
• ・仕事関係の個人情報が携帯に入っていなければ、特にロックをする必要はない。
• ・会社の電話番号など、一般公開されているものは個人情報ではない。

■情報資産管理について

• ・全ての書類に適切な保護レベルを定め、運用・管理を行う。保護レベルに応じた「保管」「廃棄」方法が必要となる。
• ・東京DSオフィスでは個々の書類ではなく、書類をまとめた箱に対して「保護レベルシール」を貼り付けてる運用ルールを行っている。

■メールについて

• ・電子メールにファイルを添付する際、保護レベル2以上の情報資産についてはパスワードをかける。(一部例外もある。クライアントの都合上にもよる。運用が決まってないのもある）

■個人情報の取り扱いについて

• ・個人情報は情報資産価値のレベルが非常に高い。保護レベル3である。
• ・個人情報は、原則としてどのような資産価値評価であろうとも、バックアップを取得しなければならない。
• ・個人情報を破棄する場合には、第三者に漏えいしないようにシュレッダー又はファイル消去プログラムにより完全に削除しなければならない。

■情報交換について

• ・外部委託業者など第三者に聞こえてしまう恐れがあるときには、機密情報を電話で話さない。社内の人間との会話でも気を遣う。
• ・FAXで機密情報を送信する際は、宛先間違いが起こらないように注意、確認し、送信が完了するまで離れない。
• ・受信されたFAXから情報が漏洩する恐れがあるので、外部委託業者などの第三者がFAXの近辺に立ち入る際には、付き添って監視する。
• ・FAX、コピー機に原稿を置きっぱなしにはしない。

■セキュリティ事故

• ・セキュリティ事故を発生させてしまった場合には、速やかに上司、部門長へ報告する。
• ・セキュリティ事故とは、データまたは処理の異常など情報システムのトラブル、情報盗難、漏洩時など人為的な違反行為が発生した場合のことである。

• ・情報処理施設（サーバやマシン）に、セキュリティ上の欠陥や、脅威を発見した場合は、直ちに「システム企画室」へ「セキュリティ問題報告書」を提出する。
• ・もし、欠陥等を発見してもテストはしない。テストをしたことにより、被害が発生・拡大する可能性があるため。
• ・事故を発生させてしまったときは、システム企画室に報告するための「セキュリティ事故報告書」を作成する。