「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「5.情報資産の分類及び管理に関する基本原則」では、以下について説明します。
- 情報資産一覧
- 資産利用の許容範囲
- 情報のラベル付け及び取扱い
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
pdcatovision.com
2022.05.08
5.情報資産の分類及び管理に関する基本原則
5.1 情報資産一覧(情報資産目録)
当社の情報資産及び支援資産を「情報資産一覧」に示す。
(1)従業員及び部門セキュリティ責任者(部署長)は、情報資産の重要度に応じて適切なセキュリティ処置を講じ、これらを維持管理しなければならない。
(2)情報の秘密等級は、管理部が分類、指定する。
(3)個人情報の特定は、個人情報保護規程の定めに従い、管理部が行う。
5.2 資産利用の許容範囲
(1)従業員は、ソフトウェア利用について、「11.1 ソフトウェアの著作権保護」を遵守する。
(2)従業員は、情報資産の社外持出しについて、「7.2.6 情報資産の移動」を遵守する。
5.3 情報のラベル付け及び取扱い
従業員は、「情報資産一覧」に示された情報のラベル付け及び取扱いについて、次の事項を遵守する。
(1)「情報資産一覧」に示された秘密等級を表示し、情報を適切に取扱う。
(2)受信した秘密情報又はその記録媒体は、当該秘密情報の管理責任者の許可なく開示(伝達、配布、提供、貸与、回覧等)、複製、廃棄(廃棄、消去、開示元への返還等)、運搬(持ち運び、郵送等)、及び秘密情報を含む部分の引用をしてはならない。
(3)上記以外の文書・記録は、「品質・文書記録管理規定」により管理する。
まとめ
「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「5.情報資産の分類及び管理に関する基本原則」では、以下について説明しました。
- 情報資産一覧
- 資産利用の許容範囲
- 情報のラベル付け及び取扱い
