情報セキュリティも3Sから:クリアスクリーンとクリアデスク

情報セキュリティ、例えば情報漏えい(流出)や情報セキュリティ事故を未然に防止するための第1歩は、3S(整理、整頓、清掃)を日々続けていくことでもあります。

3S(整理、整頓、清掃)は、品質マネジメント(ISO9000シリーズ)だけのものではないと考えています。

情報セキュリティマネジメントシステム(ISO27000シリーズ)において

  • セキュリティ意識を高める
  • セキュリティを高める(抑止、防止効果)

を実現するための手段として、

  • クリアスクリーン ・クリアデスク

があります。

以下、ISMSにおけるクリアスクリーン、クリアデスクについて説明します。

スポンサーリンク

クリアスクリーン

「クリアスクリーン」とは、パソコンを使用中に一時的に席を離れる時には、パソコンの画面が表示されないようにしてから席を離れるということです。

例えば、席を離れる際にスクリーンロックをかけていれば、秘密情報を扱っていても他者には見えませんし、基幹システムにログインしたままでも他者が操作することを防げます。

スクリーンロックの設定時間については、離席する際は短時間でもスクリーンロックすることが習慣化できるまでは、「10分パソコンを操作しないと自動的にスクリーンロックがかかる」設定にするとよいと思います。

ここでの10分間は、実際の作業に支障のない時間になります。

私の場合ですが、5分では短すぎるし、15分以上になるとスクリーンロックの意味がなくなると判断しています。

スポンサーリンク

クリアデスク

秘密情報を扱っている作業中に席を離れる場合には、書類を裏返しにするなどして、他者に見られないようにすることです。

長時間席を離れる、退社する際には、使っていた書類(秘密情報)などを片付け(定位置に保管し)、まだ作業が終わっていないからと理由をつけて机の上に書類を放置しないということです。

秘密情報を含む書類を他者が見たり、紛失を防ぐためにもクリアデスク、つまり机の上の整理整頓は重要なポイントになります。

会社においてWebやカタログ以外の公開情報以外は、基本的にすべて秘密情報(部外者に知られてはいけない情報)と考えています。
[ad]

引用

JIS Q 27002では、「A11.2.9 クリアデスク・クリアスクリーン方針」の定義を以下に引用します。規格に書かれている内容は特別なことではなく、どちらかというと社会人としての躾(しつけ)に近い内容だということが分かると思います。

JIS規格の検索については、以下をご参照ください。

ISO9000シリーズ等のJIS規格と「JIS検索」について
ISO9000シリーズ品質マネジメントシステム要求事項等とJIS規格を検索方法について説明します。「JISQ9004組織の持続的成功のための運営管理−品質マネジメントアプローチ」の「付属書A(参考)自己評価ツール」の自己採点はお勧めです。

A11.2.9 クリアデスク・クリアスクリーン方針

【管理策】

書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用することが望ましい。

【注記】

クリアデスクとは、机上に書類を放置しないことをいう。また、クリアスクリーンとは、情報をスクリーンに残したまま離席しないことをいう。

【実施の手引き】

クリアデスク・クリアスクリーン方針において、組織の、情報分類(8.2参照)、法的及び契約上の要求事項(18.1参照)、並びにそれらに対応するリスク及び文化的側面を考慮することが望ましい。この管理策の実施については、次の事項を考慮することが望ましい。

a)取扱いに慎重を要する業務情報又は重要な業務情報(例えば、紙又は電子記憶媒体上の業務情報)は、必要のない場合、特にオフィスに誰もいないときには、施錠して(理想的には金庫、書庫又はセキュリティを備えた他の形態の収納用具に)保管しておく。

b)コンピュータ及び端末は、離席時には、ログオフ状態にしておくか、又はパスワード、トークン若しくは類似の利用者認証機能で管理されたスクリーン及びキーボードのロック機能によって保護している。また、利用しないときは、施錠、パスワード又は他の管理策によって保護している。

c)コピー機及びその他の再生技術(例えば、スキャナ、ディジタルカメラ)の認可されていない利用は、防止する。

d)取扱いに慎重を要する情報又は機密扱い情報を含む媒体は、プリンタから直ちに取り出しておく。

【関連情報】

クリアデスク・クリアスクリーン方針は、通常の勤務時間内及び時間外の情報への認可されていないアクセス、情報の消失及び損傷のリスクを低減する。金庫又はセキュリティを備えた他の形態の保管設備は、それらに保管された情報を、火災、地震、洪水、爆破などの災害から保護することもできる。

個人識別番号(PIN)コード機能をもつプリンタを利用すれば、印刷を実行した人だけが、プリンタの横に立ったときにだけ、印刷物を得ることができる。

以上、「JIS Q 27002:2014(ISO/IEC 27002:2013) 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範」より

まとめ

ここでは、情報セキュリティマネジメントシステム(ISO27000シリーズ)において、

  • セキュリティ意識を高める
  • セキュリティを高める(抑止、防止効果)

を実現するための手段として、

  • クリアスクリーン
  • クリアデスク

について説明しました。

はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティ 教育・訓練
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました