ここでは、「情報セキュリティマニュアル 管理者編」のうち、
「Ⅰ.情報セキュリティ管理責任者の職務」の
「2.適合性に関する基本原則」について紹介します。
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
Ⅰ.情報セキュリティ管理責任者の職務
2.適合性に関する基本原則
2.1 情報セキュリティ基本方針との適合
情報セキュリティ管理責任者は、以下について実施する。
(1)情報セキュリティに関する規定等の遵守状況確認
当社の情報セキュリティに関する規程類が遵守され、効果的に実行及び維持されていることを点検する。
(2)外部委託(業務委託又は開発委託)の監査
外部委託(業務委託又は開発委託)について、「4.2.3 第三者との契約におけるセキュリティ要求事項」に従い、契約書、覚書、誓約書等で定められた情報セキュリティに関する条項が遵守され、効果的に実行及び維持されていることを確認するため、外部委託先に対して、監査を実施する。
(3)情報セキュリティ管理責任者は、部署長に対し実施させる情報セキュリティ点検に関して、次の事項を実施することができる。
なお、情報セキュリティ点検とは、当社の部門及び組織が、情報セキュリティに関して自部門に対して行う点検をいう。
- 部署長は、定期的に情報セキュリティ点検を実施し、その点検結果情報セキュリティ管理責任者に報告する。
- 情報セキュリティ点検の結果、セキュリティ上の問題が判明した場合は、改善のための適切な処置を行う。
2.2 情報システム監査(技術適合の検査)
情報セキュリティ管理責任者は、情報システム室に対し、定期的に(年に1度以上)、情報システムに対する脆弱性検査(情報システム監査)を実施する。
2.2.1 情報システム監査の考慮事項
2.2.1.1 情報システム監査管理策
情報システム監査を実施する者は、「内部監査規程」を遵守する。
2.2.1.2 情報システム監査ツールの保護
(1)従業員は、情報システム監査ツール(例:モニタリングツール、キャプチャリングツール、ペネトレーションツール)を使用してはならない。
(2)従業員は、会社が行うネットワーク・モニタリング及び情報システム監査の妨げになる可能性があるため、会社が許可していない暗号化ツールを使用してはならない。
(3)情報システム室は、情報システム監査ツールの誤用又は悪用を防止するために、情報システム監査ツールを格納したメディアを施錠管理するとともに、コンピュータ内にインストールされた情報システム監査ツールに対しては適切なアクセス権を設定する。
(4)情報システム室は、情報システム監査ツールによって作成された監査記録について、紙メディアは施錠管理し、コンピュータ内に格納されたデータに対しては適切なアクセス権を設定する。
まとめ
ここでは、「情報セキュリティマニュアル 管理者編」のうち、
「Ⅰ.情報セキュリティ管理責任者の職務」の
「2.適合性に関する基本原則」について、以下の内容を説明しました。
- 情報セキュリティ基本方針との適合
- 情報システム監査(技術適合の検査)
