ISMSケーススタディ

提供:Wiki@KDS
2008年3月14日 (金) 10:59時点における192.168.200.252 (トーク)による版
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ナビゲーションに移動 検索に移動

■事例1

  • ベテラン社員が退職したことに伴い、経験者を中途で採用した。経験が豊富だったため、即現場に配属を行なった。

【問題点】

  • ISMSに関する教育がなされておらず、問題を起こす可能性がある。

【対応方法】

  • 配属前教育の実施

【関連規定】

  • 組織管理規定
  • 要員管理規定


■事例2

  • お客さんが事務所に訪ねてきた。来客者は、社員の知り合いということだったので、そのまま事務所内に案内した。

【問題点】

  • 机の上に置きっぱなし
  • 盗み見等の情報漏えいにつながる可能性あり

【対応方法】

  • 来客者の入退出時のルールの徹底

【関連規定】

  • 施設・設備管理規定
  • システム運用管理規定

■事例3

  • 社内での作業が納期的に困難となったため、急いでその仕事ができる外注先を探し、そこに仕事を発注した。

【問題点】

  • 機密事項等に関する契約がなされていない可能性あり

【対応方法】

  • 左記契約を結ぶ

【関連規定】

  • 外部委託管理規定

■事例4

  • 顧客からの問い合わせがあり、顧客から預かった書類を綴じたファイルを取り出し見ていた。
    その後、客先へ出向く用事ができたため、出かけたが、ファイルは机の上に置いたままであった。

【問題点】

  • 紛失、または共通ファイルであれば他の人が使えない可能性あり

【対応方法】

  • 情報利用ルールの徹底

【関連規定】

  • 情報資産管理規定

■事例5

  • 企画書を作成しているとき、来客があった。重要商談だったためパソコンでの作業をそのままにして急いで商談室へと向かった。

【問題点】

  • 覗き見による情報漏えいの可能性あり

【対応方法】

  • スクリーンセーバー使用ルールの徹底

【関連規定】

  • システム運用管理規定


■事例6

  • 顧客から受け取ったMOを使いデータの登録作業を行なった。ところが急にパソコンの動きが遅くなったので一旦処理をキャンセルし、再起動して再度処理を行なった。

【問題点】

  • ウィルスに犯された可能性あり

【対応方法】

  • 外部記憶媒体使用ルールの徹底

【関連規定】

  • システム運用管理規定

■事例7

  • 急ぎの用事が入り、顧客への受け渡す書類を持参できなくなった。顧客に断りの電話を入れた後、メールでその書類を添付して送付した。

【問題点】

  • メール送付先を間違える可能性あり
  • 盗聴の恐れ(漏洩)

【対応方法】

  • メール送信手順の確認

【関連規定】

  • システム運用管理規定


■事例8

  • 使用していたパソコンが故障したため自社で直そうとしたが自社では無理だとわかり、業者に修理依頼をすることになった。修理業者は長年取引がある業者だったのでいつものように引取りしてもらい修理を実施した。

【問題点】

  • パソコンから情報漏えいの可能性あり
  • 情報が紛失する可能性がある

【対応方法】

  • 業者に対して情報漏えいに対する対策実施を教育
  • 機密保持契約

【関連規定】

  • システム運用管理規定
  • 外部委託管理規定

■事例9

  • 顧客にプレゼンテーションを行なうため、ノートPCを持ち出すことになった。しかし、普段プレゼン用で使用しているパソコンが使用中だったため、別のパソコンを使用することになった。


【問題点】

  • 万が一盗難等にあった場合、プレゼン用以外の情報漏えいにつながる可能性あり
  • 重要なデータがある場合がある

【対応方法】

  • データの暗号化等ルール検討し徹底
  • 持ち出しルールを策定する
  • 基本的には持ち出ししない

【関連規定】

  • 情報資産管理規定
  • 施設・設備管理規定

■事例10

  • MO,CDなどのメディアが読み書きできなくなったため、そのまま不燃ごみとして捨てた。

【問題点】

  • 第三者に漏洩する危険性がある(他のマシン等で読み込み可能となる場合あり)

【対応方法】

  • メディア廃棄時のルール徹底(破壊か完全なる消去)

【関連規定】

  • 情報資産管理規定

■事例11

  • ネットワークのパスワード変更時期になったが、ついつい後回しにしてしまい、半年が過ぎてしまった。

【問題点】

  • パスワード漏洩の可能性が増加

【対応方法】

  • サーバ側でログイン時強制的にパスワード変更するように設定

【関連規定】

  • アクセス制御管理規定

■事例12

  • 大容量のデータを扱う処理だったためサーバーのディスクを使用せず、自分のマシンのハードディスク(ローカルドライブ)で処理を行なっていた。

【問題点】

  • 不正アクセスに対する管理が不十分
  • バックアップの対象になっていない

【対応方法】

  • 適切なアクセス制限を設ける
  • データの紛失などが起きても復旧できるようバックアップを行う

【関連規定】

  • アクセス制御管理規定
  • システム運用管理規定

■事例13

  • あるクライアントよりパソコンの導入設置作業を請け負った。各クライアントに設定する情報に個人情報が含まれていたが、収集の目的の明示や収集利用に関する同意をえることはしなかった。

【問題点】

  • 個人情報保護法違反

【対応方法】

  • 収集時に目的を明示

【関連規定】

  • 個人情報管理規定

■事例14

  • (事例13の続き)クライントの設定情報をデータで入手した。あるクライアントからはデータの取り扱いについて特別な指示がなかったため、担当者は自分のパソコンの中にそのまま保持していた。

【問題点】

  • 個人情報漏洩の可能性が増加

【対応方法】

  • 不要な個人情報は廃棄するようルール化
  • パスワードを掛ける

【関連規定】

  • 個人情報管理規定
  • 情報資産管理規定

■事例15

  • 顧客のシステムインストールのため一時的に自社内に必要なソフトをインストールした。しかし、作業完了後もそのままソフトはインストールしたままだった。

【問題点】

  • 著作権法違反の恐れがある
  • 使用権があるかないかも確認する

【対応方法】

  • 契約上のソフトウェアの取り扱いルールの明確化

【関連規定】

  • 外部委託管理規定
https://wiki.kohga.tokyo/index.php?title=ISMSケーススタディ&oldid=2396」から取得