「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「6.人的セキュリティに関する基本原則」では、以下について説明します。
- 雇用及び契約の終了又は変更に関する責任
- 情報資産の返却
- アクセス権の削除
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
6.人的セキュリティに関する基本原則
6.1 雇用及び契約の終了又は変更に関する責任
(1)従業員は、入社時又は採用時に管理部の定める誓約書に署名する。
(2)従業員は、在職中に知り得た秘密情報、会社情報及び個人情報を退職後も当該業務関係者以外のいかなる者に対しても開示又は漏洩してはならない。
(3)派遣及び外部委託(業務委託)の契約を行う組織の部署長もしくはその契約責任者は、委託契約書の中に、当該協力会社社員が業務遂行中に知り得た秘密情報、会社情報及び個人情報を契約終了後も当該業務関係者以外のいかなる者に対しても開示又は漏洩してはならないという条項を含める。
協力会社への製造委託の場合にも、同様とする。
6.2 情報資産の返却
(1)従業員は、退職時又は契約終了時に、当社から貸与された情報資産(例:情報機器、備品、ソフトウェア、情報)をただちに返却する。
(2)部署長及び管理部は、その管轄する組織の従業員が退職又は契約終了した場合は、当該従業員に貸与した情報資産がすべて返却されていることをチェックリスト等により確認する。
(3)外部委託(業務委託又は開発委託)の契約を行う組織の部署長もしくはその契約責任者は、当該契約終了時に、貸与した情報資産がすべて返却されていることをチェックリスト等により確認する。
6.3 アクセス権の削除
(1)部署長は、当社の情報資産へのアクセス権管理について、次の事項を遵守する。
その管轄する組織の従業員が退職又は契約終了した場合は、前項(6.2)の定めに従い、当該従業員に貸与した情報資産を返却させるとともに、当該従業員に付与した次の証明及び権利を返却させるかもしくは失効させる。
- 社員証
- 当社のファシリティへの入館権及び入室権(入館・入室カードの返却を含む)
- 顧客のファシリティへの入館権及び入室権(入館・入室カードの返却を含む)
- ユーザ・アカウント(貸与PC等)
- 電子メールアカウント
- 社内情報システム(基幹システム等)のアクセス権
(2)その管轄する組織の従業員が退職又は契約終了した場合は、必要に応じ、社内外の関係者に担当者変更等の連絡を行う。
(3)部署長は、その管轄する組織の従業員の業務役割が変更された際は、情報資産に対し、新たな業務内容に応じたアクセス権の変更(変更前の業務役割に基づいて設定されたアクセス権の削除を含む)が行われていることを確認する。
まとめ
「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「6.人的セキュリティに関する基本原則」では、以下について説明しました。
- 雇用及び契約の終了又は変更に関する責任
- 情報資産の返却
- アクセス権の削除
