セキュリティ入門Web講座

広告枠・・・広告やリンク先の保証はしません


情報セキュリティインシデント対応及び事業継続管理

16回前から「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
第10回は最後に当たります。
今回の「情報セキュリティインシデント対応及び事業継続管理」は、インシデント発生時の対応と発生時に起こる事業の中断とその継続についての規程です。

情報セキュリティ関連規程

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

情報セキュリティインシデント対応及び事業継続管理

広告枠・・・広告やリンク先の保証はしません

情報セキュリティインシデント対応及び事業継続管理の内容

次のような項目があります。
  • 対応体制
  • インシデントの影響範囲と対応車
  • インシデントの連絡および報告
  • 対応手順
  • 事業中断と事業継続管理

対応体制

対応するための体制を決めます。
情報資産の中でも、個人情報など重要情報に対するインシデントの場合もあるため、基本的には最高責任者として、会社の代表者を選びます。
それ以外の体制は、インシデントに対応できる人になるように決めます。

インシデントの影響範囲と対応車

体制でお話をしたように代表者を最高責任者とします。
しかし、すべてのインシデントに、代表者が対応するというのも現実的ではありません。
このため、インシデントの内容によって、その影響範囲を分類し、その分類ごとに、対応する責任者を決めます。

インシデントの連絡および報告

インシデント発生時の連絡・報告する連絡先を掲載します。
必ず連絡・報告できるよう、携帯電話番号やメールアドレスなど、具体的に記載します。

対応手順

最初にインシデントの分類をします。
ここでは、影響範囲ではなく、インシデントの種類や状況により分類します。

分類した内容ごと、その影響範囲ごとに、それぞれの対応方法を決めます。
対応方法は、発見者が迷わず対応できるよう、具体的に決めます。

広告枠・・・広告やリンク先の保証はしません

事業中断と事業継続管理

インシデントの発生により、事業が中断した場合に備えて、以下のようなことを定めます。

  1. 想定されるインシデント
  2. 被害対象、復旧責任者と関係者(社)の連絡先
  3. 事業継続計画

想定されるインシデント

事業が中断すると想定されるインシデントとその内容を検討し、列挙します。

被害対象、復旧責任者と関係者(社)の連絡先

列挙されたインシデントによって、被害が発生する対象を検討します。
検討結果により、復旧する責任者と復旧に関係する会社)を検討し、その連絡先を調べて記載します。

事業継続計画

被害対象が検討した方法で有効に復旧するできるか検討する責任者を決めます。
また、復旧から事業が再開できるまでの計画を立てる、責任者も決めます。
両責任者は、同一の場合もあれば、別になる場合もあります。
各組織に合わせて決める必要があります。
責任者は組織的対策で決めた役職名になります。

以上で、全17回の「情報セキュリティ関連規程」に記載されている内容についてのお話は終了です。

タグ:,


参考記事(一部広告含む)


このページの記事についてちょっと質問!