INFORMATION 6-7 情報セキュリティ関連規程に記載すべき項目
| 1.組織的対策 |
|
|---|---|
| 2.人的対策 |
|
| 3.情報資産管理 |
|
| 4.アクセス制御及び認証 |
|
| 5.物理的対策 |
|
| 6.IT機器利用 |
|
| 7.IT基盤運用管理 |
|
| 8.システム開発及び保守 |
|
| 9.委託管理 |
|
| 10.情報セキュリティインシデント対応ならびに事業継続管理 |
|
CHECK 組織的対策
管理体制の構築や点検、情報共有などのルールを定めます。
●情報セキュリティのための組織
情報セキュリティ対策を推進するための組織として、情報セキュリティ委員会を設置します。情報セキュリティ委員会は、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施します。
●情報セキュリティ取組みの監査・点検
監査・点検責任者は、情報セキュリティ関連規程の実施状況について、監査・点検/点検結果を情報セキュリティ委員会に報告します。情報セキュリティ委員会は、報告に基づき、必要に応じて改善計画を立案します。
●情報セキュリティに関する情報共有
情報セキュリティ責任者は、新たな脅威及び脆弱性に関する警戒情報及び個人情報の保護に関する情報を専門機関等から適時に入手し、委員会で共有します。
CHECK 人的対策
取締役及び従業員の責務や教育、人材育成などのルールを定めます。
●雇用条件
従業員を雇用する際には秘密保持契約を締結します。
●情報セキュリティ教育・人材育成
教育責任者は、情報セキュリティに関する教育計画を年度単位で立案します。また推奨資格の取得による従業員の情報セキュリティに対する意識向上を年度単位で計画します。計画には関連テキストの配付、公開セミナーへの派遣、受験費用の予算を含めます。
CHECK 情報資産管理
情報資産の管理や持ち出し方法、バックアップ、破棄などのルールを定めます。
●情報資産の管理
事業に必要で価値がある情報及び個人情報など情報資産を特定し、「情報資産管理台帳」に記載します。情報資産を社外に持ち出す場合には、情報資産の重要度に応じた許可と管理手順に従って実施します。
●バックアップ
情報システム管理者は、各機器で処理するデータのバックアップを定期的に取得します。利用する機器及び媒体の保管は、所定の手順に従います。クラウドサービスを利用し、外部のサーバーにバックアップを保存する場合は、各サービス要件を確認し、情報セキュリティ責任者の許可を得て導入します。
CHECK アクセス制御及び認証
情報資産に対するアクセス制御方針や認証のルールを定めます。
●利用者の認証・利用者アカウントの登録
社外秘又は極秘の情報資産を扱う社内情報システムは、重要度に従った方針に基づいて利用者の認証を行います。利用者の認証に用いるアカウントは、代表取締役又は情報セキュリティ責任者の承認に基づき登録します。
●利用者アカウントの管理
利用者の認証に用いるアカウントが不要になった場合、情報システム管理者は、当該アカウントの削除又は無効化を、当該アカウントが不要になる日の翌日までに実施します。従業員以外の者にアカウントを発行する場合は、代表取締役又は情報セキュリティ責任者の承認を得たうえで、秘密保持契約を締結します。
●パスワードの設定
利用者の認証に用いるパスワードは以下に注意して設定します。
- 十分な強度のあるパスワードを用いる
- 他者に知られないようにする
CHECK 物理的対策
セキュリティ領域の設定や領域内での注意事項などのルールを定めます。
●セキュリティ領域の設定
扱う情報資産の重要度に応じて、社内の領域を区分し、利用者、施錠、設置可能情報機器、制限事項、部外者管理、管理記録、侵入検知、来客用名札、火災対策等の対策方法を設定します。
●セキュリティ領域内注意事項
セキュリティ領域では区分にかかわらずセキュリティ上注意すべき事項があれば明記します。
CHECK IT機器利用
IT機器やソフトウェアの利用などのルールを定めます。
●ソフトウェアの利用
情報システム管理者は、利用者の業務に不要な機能をあらかじめ取除いて提供します。従業員は、業務に不要なシステムユーティリティやインストールされているソフトウェアを利用しません。情報システム管理者は、適宜ウイルスに関する情報を収集し、重大な被害を与えるウイルスに対しては、対応策及び対応に必要な修正プログラムを社内に公開及び通知します。
●クリアデスク・クリアスクリーン
従業員は、社外秘又は極秘の書類及び電子データを保存したノートパソコン、USBメモリ、HDD、CD等の持ち運び可能な機器や媒体の扱いについて明記します。持ち運び可能な機器や媒体は机の上などに放置せず適切に管理してください。
●インターネット・電子メール等の利用
従業員は、インターネットで提供されているサービスを業務で利用する場合は、情報システム管理者の許可を得ます。誤送信、メールアドレス漏えい、傍受による漏えい等の防止する方法、添付ファイル暗号化、クラウド型メール等の利用方法を明記する。標的型攻撃メール等によるウイルス感染を防止するため、疑わしいメールの要件に合致する場合は十分に注意し、添付ファイルを開く、又はリンクを参照するなどしません。
CHECK IT基盤運用管理
サーバーやネットワーク等のITインフラに関するルールを定めます。
●管理体制
情報システム管理者は、IT基盤の運用に当たり情報セキュリティ対策を考慮し製品又はサービスを選択します。
●IT基盤の情報セキュリティ対策
IT基盤の運用を行う際に情報システム管理者が実施すべき事項を明記します。IT基盤で利用するサーバー機器に求める情報セキュリティ要件は、情報システム管理者が決定します。IT基盤で利用するサーバー機器に導入するソフトウェアは、情報システム管理者が標準ソフトウェアを選定します。IT基盤で利用するネットワーク機器に求める情報セキュリティ要件は、情報システム管理者が決定します。
●クラウドサービスの導入
IT基盤の一部としてクラウドサービス等の外部サービスを導入する場合は、情報システム管理者がサービスプロバイダの情報セキュリティ対策をあらかじめ評価したうえで選定します。
●IT基盤標準
サーバー機器、IT基盤標準ソフトウェア、標準ネットワーク機器、ネットワーク機器の種別毎に、情報セキュリティ要件を明記します。サービスプロバイダを設定するに当たっての要件及び利用に当たっての条件となる適合性評価制度を明記します。
●廃棄・返却・譲渡
情報システム管理者は、IT基盤で利用した機器を返却、廃棄、譲渡を行う場合は、データを完全に消去し、情報セキュリティ責任者の承認を得たうえで返却、廃棄、譲渡を行います。内部記憶媒体の破壊又はデータの完全消去を、外部に委託する場合は、破壊又はデータの完全消去を実行したことの証明書を取得します。
CHECK システムの開発及び保守
独自に開発及び保守を行う情報システムに関するルールを定めます。
●新規システム開発・改修
情報システムの開発・改修を行う際には、設定された各工程を経て実施し、各工程の完了時に情報システム管理者の承認を得ます。
●脆弱性への対処
情報システムのソフトウェア開発を行う際には、当該情報システムの利用環境に応じて設計時に技術的な脆弱性を識別し、対策を講じます。脆弱性に対する対策の有効性は情報システム管理者が判断し、承認します。
●情報システムの開発環境
情報システムの開発及び改修を行う環境は、運用環境とは分離します。新たに情報システムの開発を行った場合や、情報システムの改修を行った場合は、当該情報システムの運用を開始する前に、必要な情報セキュリティ対策が講じられていることを確認し、情報システム管理者の承認を得ます。
●情報システムの保守
情報システムの保守を、開発元又は外部の組織に委託することができない場合、実施すべき事項を明確にし、情報システムに既知の脆弱性が存在しない状態で運用します。使用しているハード・ソフトのサポート終了が予定されている場合、再構築またはシステム利用停止を検討し、システム管理者の承認を得ます。
●情報システムの変更
情報システムのハードウェア又はソフトウェアの変更を行う際には、設定された工程を経て実施します。各工程の完了時に情報システム管理者の承認を得ます。
CHECK 委託管理
業務委託にあたっての選定や契約、評価のルールを定めます。業務委託契約書に機密保持条項を定め、「委託先情報セキュリティ対策状況リスト」等委託先チェックリストによる評価結果に基づき委託先を選定・評価します。
●委託先評価基準
情報セキュリティ部門責任者は「情報資産管理台帳」の重要度が1以上である情報資産の取り扱う業務を、外部の組織に委託する場合は、委託先の情報セキュリティ管理について、委託先評価基準に基づいて評価します。
●委託先の選定
評価結果に基づき委託先を選定し、情報セキュリティ責任者の承認を得ます。
●委託契約の締結
委託契約書には、守られるべき事項を明記します。
●委託先の評価
委託開始後には、「委託先情報セキュリティ対策状況確認リスト」により、委託先における情報セキュリティ対策の実施状況について定期的に評価する機会を設けます。
●再委託
委託先が他の組織又は個人に再委託する場合には、事前に書面による報告を委託先に求めます。
CHECK 情報セキュリティインシデント対応ならびに事業継続管理
●対応体制
情報セキュリティインシデントが発生した場合の対応体制を明記します。
●情報セキュリティインシデントの影響範囲と対応者
情報セキュリティインシデントが発生した場合、影響範囲に対応した事故レベル(顧客や業務・組織に与える影響の程度を評価する基準)を設定し、対応責任者を明記します。
●インシデントの連絡及び報告
事故レベル1(従業員の業務遂行に影響が及ぶとき)以上のインシデントが発生した場合、発見者は連絡網に従い対応者又は責任者に速やかに報告し、指示を仰ぎます。
●対応手順
漏えい・流出発生時の事故レベル毎に対応手順を明記します。情報システム管理者は、インシデント対応後に届け出、報告又は相談する機関を明記します。
●情報セキュリティインシデントによる事業中断と事業継続管理
代表取締役は、情報セキュリティインシデントの影響により当社事業が中断した場合を想定し明記します。被害の対象毎に、復旧責任者、関係者連絡先を明記します。