セキュリティ入門Web講座

情報資産管理 その2 ~ セキュリティ関連規程の記載事項について ~

3回前から「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
今回は第3回の「情報資産管理」その2です。

情報セキュリティ関連規程

広告枠・・・広告やリンク先の保証はしません

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

情報資産管理

広告枠・・・広告やリンク先の保証はしません

情報資産管理の内容

組織における情報資産の定義とその管理責任、保存、取り扱いなどを決めています。
具体的には次のとおりです。


広告枠・・・広告やリンク先の保証はしません

情報資産の社外持ち出し

情報資産を社外に持ち出す場合の規定です。
大きく分けると次の2つに分類できます。

  1. 許可を得る人
  2. 情報資産を守る対応

許可を得る人

基本的には、前回お話をした「情報資産の管理責任者」に許可を得ます。
情報資産の機密性の評価(分類)」がある場合、許可を得る相手が変わることもあります。
例えば、重要な情報資産であれば、情報資産の管理責任者より上位の人、「課長が管理責任者であれば部長」になります。

情報資産を守る対応

情報資産を格納する媒体)に対するセキュリティ対策です。
例えば、「PCを紛失した場合に備えてHDDを暗号化する」です。

媒体の処分

媒体を処分する場合の規定です。
媒体の処分についても、2つに分けられます。

  1. 媒体の廃棄
  2. 媒体の再利用

媒体の廃棄

媒体を廃棄する場合です。
廃棄というと捨てることだけをイメージしますが、それだけではありません。
組織の管理から離れる場合も含みます。
よくある例では、レンタルPCを返却する場合です。
例えば、廃棄する場合は「破壊」するとしていても、返却するPCを「破壊」することはできません。
このため、レンタル品の扱いについても、規定を設けた方が良いです。

媒体の再利用

媒体を再利用する場合です。
よくある例では、USBを再利用する場合です。
その他、紙の書類の場合、裏紙として再利用する場合もあるでしょう。
このような場合の対応方法を規定します。

バックアップ

バックアップに関する規定です。
バックアップについては、次の3つを決めます。

  1. バックアップの取得対象
  2. バックアップ媒体の取り扱い
  3. クラウドサービスを利用したバックアップ
バックアップについては、既にお話をしていますので、その回をご紹介します。

バックアップの取得対象

何をバックアップするか?を決めます。
具体的には、バックアップの範囲でお話をしています。

バックアップ媒体の取り扱い

バックアップした媒体の取り扱いです。
具体的には、バックアップの保管場所でお話をしています。

クラウドサービスを利用したバックアップ

基本的な考え方は、バックアップの保管場所でお話をしています「社外」と同じです。
クラウドサービスは「社外管理」ですので、管理方法を別途定める必要があります。
この管理方法の規定を策定します。

次回は、「アクセス制御及び認証」のお話です。

タグ:, , , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!