セキュリティ入門Web講座

組織的対策 ~ セキュリティ関連規程の記載事項について ~

今回から、前回お話をした情報セキュリティ規程には何を書くか?の各項目をお話をします。
公開時点(2020年1月27日)でIPAが公開している「中小企業の情報セキュリティ対策ガイドライン」第3版の付録にある「情報セキュリティ関連規程」(以下「原文」という)を基にお話をします。
なお、お話の都合上、原文の表記と異なる部分があります。
最初は組織的対策です。

情報セキュリティ関連規程

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

組織的対策

広告枠・・・広告やリンク先の保証はしません

組織的対策の内容

組織的対策は組織の対策です。
記載内容は大きく分けると次の3つです。

セキュリティ対策としては、この3つに、「セキュリティポリシー」が加わります。
「セキュリティポリシー」は今回お話をする「対策基準」である「関連規程」ではなく、基本方針ですので、独立して作成されます。

情報セキュリティのための組織

」がどのような「権限」と「責任」を持ち「何をするか?」を決めたものです。
」の集合体である、「情報セキュリティ委員会」など、組織ごとに名前は異なりますが、対応する組織を作る場合もあります。

情報漏えいが疑われる事態が発生した時に誰に相談するか決めていますか?」でお話をしているように、対応組織が決まっていないと、いざ、問題が発生した時に、迅速な対応はできません。
迅速に対応できないと、被害が拡大する可能性もあります。
このため、組織として役割を持った人を任命し、なおかつ、周知しておかなければなりません。
任命しても、組織内の人が知らなければ、情報収集等の適切な対応ができないためです。

このため、原文でも、権限等を書いた体制図からできています。

問題発生時の対応者だけではなく、教育責任者個人情報の対応責任者監査の責任者なども決めます。

情報セキュリティの監査・点検

点検と監査について、決めます。
具体的には、
  • いつ
  • 誰が
  • 監査して(又は、点検して)
  • 誰に(どこに)
  • 報告する
かを決めます。
また、問題があれば、
  • 誰が
  • 問題の特定し
  • 問題の対策し
  • 誰に(どこに)
  • 報告する
かも決めます。

例えば、次のような対応です。

基本的には年1回、監査(点検)の責任者が担当者と監査(点検)して、委員会や社長(経営層)に報告します。
問題があれば、監査(点検)の責任者が問題の特定と対策をして、委員会や社長(経営層)に報告します。
必要に応じて、規程の改訂や取引先等の社外への周知・改善依頼も行います。


広告枠・・・広告やリンク先の保証はしません

情報セキュリティの情報共有

日々発生する新たな脅威や脆弱性に対応するため、責任者は情報を収集し、組織内に共有することが必要です。
このため、収集方法収集内容周知義務についての規定を設けます。

次回は、「人的対策」のお話です。

タグ:, ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!