2009年03月18日:リーダー会議報告
第7回リーダー会議
日時:2009年3月18日(水)13:00~
場所:本社1階会議室
審査指摘事項一覧
2009年2月19日(木)、20日(金)で社内全部門の外部審査があり、その更新審査の結果と観察事項などの報告が行われました。東京オフィスに対する、書面での「主だった指摘事項」は以下の1つです。
■第三者との契約におけるセキュリティ
保護レベルの高い情報を委託する場合に、委託先の情報セキュリティ管理状況の把握をされることが望まれます。
例えば、東京オフィスは、外注先(会社及び個人も含めて、20~30社)へ提供される情報資産の中に、個人情報を含んでいる外注先の実情把握等もあるかも知れません。
※簡単にいうと、外注に委託する際は「情報資産の取り扱い方」について、取引業者の管理状況も含めて注意しましょうということです。
観察事項への対処
■セキュリティ事故報告書・セキュリティ問題報告書
セキュリティ事故という言葉通りの解釈だけでなく、業務場での事故やミスを含めてセキュリティ事故と認識してください。社長は、ISMSの推進により情報漏洩など直接的なセキュリティ事故だけでなく、大きな解釈での「事故」を減少させ、その対応にかかるコスト削減を期待されています。
事故を公開する目的は、制裁を加える意味ではなく、事故発生の経緯を伝えて全社員への注意を喚起し、次の事故防止へ繋げていくことが目的です。
>セキュリティ事故報告書
>セキュリティ問題報告書
・「事故には至ってはいないが問題がもしれない。」という事象を洗い出し作業を行う。
・相当する事象があれば報告書を事務局に提出する。
■メディア管理の徹底
今回の審査では、特に「MOメディア」管理の不徹底が見受けられました。保管、返却、破棄するものをはっきりと識別し、管理を徹底させてください。
【CDの破棄】→必ず割ってから捨てる。(雑誌に挟んで割ると怪我しない)
【MOの破棄】→物理的なフォーマット、または破壊が必要。事務局に提出してもOKです。
【MOの保管・返却】→部門ごとに保管場所や返却のタイミングなど、MO管理のルールを策定してください。次回内部監査では重点的にチェックします。
東京オフィスでは、物理メディアでのやりとりは少ないですが、各自、管理の徹底をお願いします
■保護ラベル記入方法
今回の審査で、保管期間が記入されていないものが多く見受けられました。
「情報ラベル貼付手順書」を一部改訂し、統一された記入方法を浸透させます。
東京オフィスでは、個々の書類ではなく、案件別に分類された箱に対して「保護レベル」を貼り付けています。進行中(公開前:保護レベル2)の案件書類は、各自が手元に保管。終了した案件書類(保護レベル1)は所定の場所に保管してください。
※箱の中には公開日が異なる案件書類が入っていたり、流動的に書類が動くため、保管期間の記入は難しいと思っています 。