4.組織のセキュリティに関する基本原則

ここでは、「情報セキュリティマニュアル 利用者編」の「4.組織のセキュリティに関する基本原則」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

情報セキュリティマニュアル 利用者編

「情報セキュリティ規定 利用者」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。

「4.組織のセキュリティに関する基本原則」では、以下について説明します。

  • 情報セキュリティに関する役割と責任
  • 情報機器等の導入及び管理
  • 顧客及び取引先等対応におけるセキュリティ

なお、1.~3.については、「情報セキュリティ規定 利用者の目次例」をご参照ください。

スポンサーリンク

4.組織のセキュリティに関する基本原則

4.1 情報セキュリティに関する役割と責任

4.1.1 情報セキュリティ管理責任者

(1)情報セキュリティ管理責任者は、情報セキュリティ基本方針を策定し、社内ネットワーク及び社内情報システムに関する情報セキュリティ対策の確立、導入、運用、監視、見直し、維持及び改善を実施する責任を持つ。

(2)情報セキュリティ管理責任者は、情報セキュリティに関連して当社及び従業員が遵守する法令、規則及び契約上のセキュリティ要求事項を明確にし、文書化し、必要に応じ更新する。

(3)情報セキュリティ管理責任者は、この規程をはじめとする情報セキュリティに関する社内ルールの周知徹底、当社の情報資産の適正利用の監督、及び遵守を確実にする責任を持つと共に、適正利用を確認するための権限を持つ。

(4)情報セキュリティ管理責任者は、当社の情報セキュリティ環境を適切な状態に保つための最新情報を入手するため、情報セキュリティに関する法の執行機関、監督官庁等の関係当局及び外部機関(専門組織)との連絡体制を構築し、維持する。

(5)情報セキュリティ管理責任者は、その責任範囲の従業員に対して、次に例示する事項を通じて、情報セキュリティ方針及び会社が定めるルールに従い、情報セキュリティを遵守させなければならない。

  • 情報セキュリティに関する教育・啓発
  • 情報資産、設備等の適正利用についての誓約書
  • 契約(雇用契約、業務委託契約、開発委託契約、秘密保持契約、秘密保持の念書等)

(6)情報セキュリティの教育及び訓練

情報セキュリティ管理責任者は、従業員に対して、情報セキュリティ教育を計画し実施する。

4.1.2 情報システム室

(1)情報システム室は、当社の情報セキュリティに関して次の役割を果たす。

  • 情報セキュリティ管理責任者のサポート
  • 情報セキュリティに関する文書、記録の整備及び管理

(2)情報システム室は、以下について責任を持つ。

  • 社内ネットワーク、基幹システムの企画・設計・導入・運用及びその情報セキュリティ対策
  • その他の情報システムの設計・開発・導入及びそのセキュリティ対策

(3)情報システム室は、その職務遂行にあたりこの規定を順守しなければならない。

4.1.3 管理部長

(1)管理部長は、秘密情報の管理についての役割と責任を持つ。

(2)管理部長は、当社のファシリティに関する情報セキュリティ対策の確立、導入、運用、監視、見直し、維持及び改善を実施する責任を持つ。

4.1.4 ファシリティ管理責任者

(1)ファシリティ管理責任者は、本社は管理部長とする。営業所、工場においては、部署長自らがこれを務める。 なお、本社において各部署の執務エリアのファシリティ責任者は、部署長とする。

(2)ファシリティ管理責任者は、その責任範囲のファシリティにおいて、「7.1 物理的セキュリティ対策」に基づく手続きを定め、運用する責任を持つ。

(3)ファシリティ管理責任者は、当該ファシリティに勤務する従業員に対し、「7.1 物理的セキュリティ対策」の遵守を徹底させる責任を持つ。

(4)ファシリティ管理責任者は、その責任範囲のファシリティにおいて、入居部署と連携し、当該ファシリティのセキュリティが適切に保たれるために必要な処置を講ずる責任を持つ。

4.1.5 部門セキュリティ責任者(部署長)

(1)部門セキュリティ責任者は、部署長とする。

(2)部門セキュリティ責任者(部署長)は、その管轄する組織において次の情報セキュリティについての責任及び権限を持つ。

  • その組織の従業員に対して、この規程をはじめとする情報セキュリティに関する社内ルールを周知徹底し、遵守を確実にする責任を持つ。必要に応じその責任範囲の従業員に対して当該業務領域の業務特性に応じた情報セキュリティ教育を実施する。
  • その組織の従業員に対し、当社の情報資産の適正利用を監督する責任を持つとともに適正利用を確認するための権限を持つ。
  • その組織の情報資産をリスト化し適切に管理する責任を持つ。
  • その責任範囲の業務領域のシステム管理に責任を持つ。

(3)「個人情報保護規程」等に定める個人情報及び秘密情報の管理についての役割と責任を持つ。

4.1.6 従業員

(1)従業員は、次の事項を遵守し、自己の業務範囲を管轄する部門セキュリティ責任者(部署長)の指示に従い行動しなければならない。

  • この規程をはじめとする情報セキュリティに関する社内ルール
  • 業務委託契約及び秘密保持契約等の各種契約の内容
  • 情報セキュリティ以外の社内ルール等

(2)従業員は、自らが管理する情報資産に対する情報セキュリティの確保及び情報資産の管理責任を持つ。

(3)情報セキュリティに関わる問題等に気づいた場合には、個人の判断で行動せず、ただちに自己の業務範囲を管轄する部門セキュリティ責任者(部署長)又は情報システム室に報告し、その指示に従わなければならない。

(4)必要な情報セキュリティ教育を受けるとともに、自己の業務範囲を管轄する部門セキュリティ責任者(部署長)又は情報セキュリティ管理責任者から特別な指示があった場合は、その指示に従わなければならない。

スポンサーリンク

4.2 情報機器等の導入及び管理

4.2.1 従業員が実施すること

従業員は、業務を遂行するために使用する情報機器・備品・ソフトウェア(以下、情報機器・備品・ソフトウェアという)に関して、次の事項を遵守する。

(1)会社貸与情報機器・備品・ソフトウェア使用の原則

情報機器・備品・ソフトウェアは、会社から貸与されたものを使用する。

(2)会社貸与外の情報機器・備品に関する遵守事項

  • 会社貸与外の情報機器・備品(例:個人所有PC、個人所有携帯・スマホ等)を社内ネットワークに接続しない。
  • 情報(音声及び画像情報を含む)を記録する機能を持った会社貸与外の情報機器・備品(例:個人所有PC、携帯、スマホ等)に当社の会社情報を格納しない。
  • 会社貸与外の情報機器・備品(例:個人所有デジタルカメラ、デジタルカメラ付き携帯電話、スマホ、ビデオカメラ、ICレコーダ等)を使って、当社のファシリティ内で撮影、録画及び録音を行わない。

(3)購入ルールに関する遵守事項

新たに情報機器・備品・ソフトウェアを導入する場合、部署長は情報システム室に事前申請し、その承認を得る。この際、標準セキュリティ製品が指定されている場合は、原則としてこれを導入する。

(4)標準外セキュリティ製品の導入に関する遵守事項

前号の定めに関わらず、業務上やむを得ず標準外セキュリティ製品を導入する必要がある場合は、情報システム室に事前申請し、その承認を得る。

(5)使用禁止ソフトウェアについての遵守事項

  • 使用禁止ソフトウェア(ファイル共有ソフト等)を導入及び使用しない。
  • 業務上やむを得ず当該ソフトウェアを利用する必要がある場合は、情報システム室に事前申請し、その承認を得る。

(6)導入時の遵守事項

PC及びサーバー等の出荷時等に初期設定されている次のパスワードを変更する。

  • BIOSパスワード(設定が可能な場合)
  • ハードディスク・パスワード(設定が可能な機合)
  • Windowsアカウントのパスワード(Windows系PCの場合)
  • ベンダ(販売会社)等があらかじめ設定したパスワード(サーバー等の場合)

ウイルスワクチンソフトのウイルス検索エンジン及びウイルス定義ファイルを最新版に更新する。(PC貸与時は自動更新設定となっている)

必要なセキュリティパッチを適用する。(PC貸与時は自動更新設定となっている)

4.2.2 部署長が実施すること

部署長は、その管轄する組織が使用する情報機器・備品・ソフトウェアに関して、次の事項を実施する。

(1)会社貸与情報機器・備品・ソフトウェアの棚卸及び点検を実施する。

(2)棚卸及び点検の結果を整理・保管し、管理部から当該結果報告の指示があった場合はすみやかに提出する。

4.2.3 管理部が実施すること

(1)管理部は、会社貸与情報機器・備品・ソフトウェアの棚卸及び点検に関する実施計画を策定し実施する。

(2)管理部は、各部門が実施する会社貸与情報機器・備品・ソフトウェアの棚卸及び点検結果を取りまとめた後、情報セキュリティ管理責任者に当該結果を報告する。

4.2.4 情報システム室が実施すること

情報システム室は、情報機器・備品・ソフトウェアの選定及び導入について、次の事項を実施しなければならない。

(1)当社の情報セキュリティを確保するために、次の情報機器・備品・ソフトウェアについて、必要に応じ、方針及びセキュリティ要件を定め、選定する。

  • 社内ネットワークに接続を許可する情報機器・備品
  • 当社の会社情報の格納を許可する情報機器・備品及びそれらに導入を許可するソフトウェア
  • 当社の情報セキュリティを守るために必要な情報機器・備品・ソフトウェア

(2)選定した標準セキュリティ製品のリストを作成し、管理する。

(3)標準セキュリティ製品リストを定期的に(年1度)見直す。

(4)この規程及びその他の情報セキュリティに関して会社が定めるルールに従い情報機器・備品・ソフトウェアが適切に使用されていることを確認するための仕組みを構築・運用・維持する。

4.3 顧客及び取引先等対応におけるセキュリティ

従業員は、第三者に対し、当社のファシリティ又は情報資産にアクセスさせ、又は情報資産を提供してはならない。

業務上の必要性から第三者への当社のファシリティ又は情報資産にアクセスさせ、又は情報資産を提供する場合には、以下の処置を行う。

(1)当社のファシリティ又は情報資産へアクセスさせる際は、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得た後、秘密保持契約等の処置を行う。

(2)第三者から問合せがあった際は、原則として、口頭では回答せず、文書にて回答する。やむを得ず口頭で情報をやりとりしたときは、その後すみやかに情報の内容、取扱い指定等について文書化する。

(3)個人情報に関して本人から問合せがあった際は、管理部の指示に従い、適切な処置を講じた上で、誠意を持ってすみやかに対応する。

まとめ

「情報セキュリティ規定 利用者」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。

「4.組織のセキュリティに関する基本原則」では、以下について説明しました。

  • 情報セキュリティに関する役割と責任
  • 情報機器等の導入及び管理
  • 顧客及び取引先等対応におけるセキュリティ
はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティマニュアル
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました