情報セキュリティのための組織(A6)

提供:Wiki@KDS
2010年3月15日 (月) 11:21時点における192.168.200.203 (トーク)による版
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ナビゲーションに移動 検索に移動

教育資料03の情報セキュリティのための組織(A6)です。
ISMS教育資料資産の管理(A7)

内部組織[A6.1]

【目的】
組織内の情報セキュリティを管理するため。

情報セキュリティ責任の割当て[A6.1.3]

【管理策】
すべての情報セキュリティ責任を、明確に定めなければならない。
【解説】
情報資産の保護責任や、ISMS運用の実施責任は誰にあるのかを明確にするため、責任部門や責任者を具体的に明示する必要がある。

当社ではISMS実施責任を「組織管理規定」「要員管理規定」「職務権限管理規定」で、情報資産の保護責任は「情報資産管理規定」で定めている。

  • ・ISMS事務局・ISMSリーダーが中心にISMSを運用実施している。また、個々の情報資産については保護ラベルで取扱責任者を明示している。


情報処理設備の認可プロセス[A6.1.4]

【管理策】
新しい情報処理設備に対する経営陣による認可プロセスを定め、実施しなければならない。
【解説】
情報処理にかかわる設備・施設の導入については、情報セキュリティに及ぼす影響が大きいことから、導入に関する経営陣の承認プロセスを定める必要がある。

当社では「施設・設備管理規定」で定めている。

  • ・ISMS事務局にて調整・検討を行い、ISMS委員会(社長・役員も所属)にて承認を得る。


秘密保持契約 [A6.1.5]

【管理策】
情報保護に対する組織の必要を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューしなければならない。
【解説】
会社と従業員との間で交わす秘密保持契約には、秘密情報を保護するための要求事項を取り上げる。
秘密保持契約に関する要求事項は、定期的に、及びこれら要求に影響する変化が発生した場合にレビューしなければならない。

当社では「要員管理規定」で定めている。

  • ・社員は「機密保持誓約書」の提出、派遣社員は「機密保持契約書」の締結を行う。
  • ・内容についてはISMS管理責任者がレビューする。
https://wiki.kohga.tokyo/index.php?title=情報セキュリティのための組織(A6)&oldid=4418」から取得