セキュリティ入門Web講座

情報セキュリティ規程には何を書いたらよい? ~ セキュリティ関連規程の記載事項について ~

「セキュリティ規程には何を書いたらよいですか?」とご質問いただいたので、現時点(2020年1月20日)でIPAが公開している「中小企業の情報セキュリティ対策ガイドライン」第3版の付録にある「情報セキュリティ関連規程」(以下「原文」という)を基にお話をします。
なお、お話の都合上、原文の表記と異なる部分があります。

情報セキュリティ関連規程

広告枠・・・広告やリンク先の保証はしません

目次

「情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

この他に「個人番号に関する規程」がありますが、本講座の趣旨から外れますので、割愛します。
必要な方は、原文をご確認ください。
今回は項目を紹介し、次回以降、内容のお話をします。

広告枠・・・広告やリンク先の保証はしません

組織的対策

組織的対策は組織の対策です。
記載内容は大きく分けると次の3つです。

  • 情報セキュリティのための組織
  • 情報セキュリティの監査・点検
  • 情報セキュリティの情報共有
セキュリティ対策としては、この3つに、「セキュリティポリシー」が加わります。
「セキュリティポリシー」は今回お話をする「関連規程」から独立しているので、入れておりません。
内容については、「組織的対策」でお話をします。

人的対策

人的対策は人に対する対応です。
原文とは異なりますが、時系列に合わせると、次の順番になります。

  • 雇用時
  • 従業員の責務
  • 教育
  • 人材育成
  • 退職時

内容については、「人的対策」でお話をします。

情報資産管理

組織における情報資産の定義とその管理責任、保存、取り扱いなどを決めています。
具体的には次のとおりです。

  • 情報資産の管理
  • 情報資産の社外持ち出し
  • 媒体の処分
  • バックアップ

内容については、「情報資産管理」でお話をします。

アクセス制御及び認証

利用者によるアクセスの制御と認証について決めています。
  • アクセス制御方針
  • 認証方法
  • 利用者アカウントの登録
  • 利用者アカウントの管理
  • パスワードの設定
  • 従業員以外に関する利用者アカウントの発行
  • 機器の識別による認証
  • 端末のタイムアウト機能
原文では、この後、実際の設定についての項目があります。

内容については、「アクセス制御及び認証」でお話をします。

広告枠・・・広告やリンク先の保証はしません

物理的対策

社内領域の区分の設定と設備に対する物理的な対策です。
次のような項目があります。

  • セキュリティ領域の設定
  • 関連設備の管理
  • セキュリティ領域内の注意事項
  • 搬入物の受け渡し
物理的対策
内容については、「物理的対策」でお話をします。

広告枠・・・広告やリンク先の保証はしません

IT機器利用

基本的に端末(ユーザーが利用する物)の利用規定です。
クライアント側の規程となっています。

  • ソフトウェアの利用
  • IT機器の利用
  • クリアデスク・クリアスクリーン
  • インターネットの利用
  • 私有IT機器・電子媒体の利用
原文では、この後に、標準的なソフトウェアや設定などについての項目があります。

内容については、「IT機器利用」でお話をします。

広告枠・・・広告やリンク先の保証はしません

IT基盤運用管理

IT機器利用ががクライアント側であるのに対して、この規程はサーバネットワーク機器が中心となっています。

  • 管理体制
  • IT基盤の情報セキュリティ対策
  • IT基盤の運用
  • クラウドの導入
  • 脅威や攻撃に関する情報収集
  • 廃棄・返却・譲渡
IT機器利用と同じく、原文では、この後に、標準的なソフトウェアや設定などについての項目があります。

内容については、「IT基盤運用管理」でお話をします。

システム開発及び保守

自組織で情報システムの開発等を行う場合の規程です。
次のような項目があります。

  • 新規システム開発・改修
  • 脆弱性への対処
  • 情報システムの開発環境
  • 情報システムの保守
  • 情報システムの変更

内容については、「システム開発及び保守」でお話をします。

広告枠・・・広告やリンク先の保証はしません

委託管理

委託先の管理に関する規程です。
評価や選定、再委託先などの項目があります。

  • 委託先評価基準
  • 委託先の選定
  • 委託契約の締結
  • 委託先の評価
  • 再委託

内容については、「委託管理」でお話をします。

広告枠・・・広告やリンク先の保証はしません

情報セキュリティインシデント対応及び事業継続管理

インシデント発生時の対応と発生時に起こる事業の中断とその継続についての規程です。
次のような項目があります。

  • 対応体制
  • インシデントの影響範囲と対応車
  • インシデントの連絡および報告
  • 対応手順
  • 事業中断と事業継続管理

内容については、「情報セキュリティインシデント対応及び事業継続管理」でお話をします。


次回は、「組織的対策」についてのお話をします。

タグ:, , , , , , , , , , , , , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!