8.通信及び運用の管理に関する基本原則

「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。

「8.通信及び運用の管理に関する基本原則」では、以下について説明します。

  • 第三者が提供するサービスの管理
  • 悪意のあるソフトウェアに対する管理策(コンピュータ・ウイルスの予防)・情報のバックアップ
  • ネットワーク管理策
  • メディアの取扱い及びセキュリティ
  • コンピュータ用の取外し可能なメディアの管理
  • メディアの処分
  • 情報の取扱手順
  • 情報の交換
メールに関する内容が多いですが、個人利用のSNSやクラウドについての配慮も必要になっていると考えています。
[ad]

8.通信及び運用の管理に関する基本原則

8.1 第三者が提供するサービスの管理

第三者が提供するサービスを利用する部署長は、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得る。

8.2 悪意のあるソフトウェアに対する管理策(コンピュータ・ウイルスの予防)

従業員は、悪意のあるソフトウェアから会社情報を保護するために、次の事項を遵守する。

(1)コンピュータ・ウイルス等有害プログラムの防止

①コンピュータ・ウイルスの予防
・クライアント・コンピュータに会社指定のウイルスワクチンソフトを導入する。
・自動又は手動のいずれかの方法でウイルスワクチンソフトのウイルス検索エンジン及びウイルス定義ファイルを適時更新し、最新の状態に保つ。
・自動又は手動のいずれかの方法で定期的にPCのハードディスクのウイルスチェックを実施する。
・外部記憶メディア(例:CD、DVD、USBメモリ、SDカード等)で情報を外部に渡す際には、自動又は手動のいずれかの方法で事前にウイルスチェックを実施する。
・ファイル(受信メールに添付されたファイルを含む)、Web、外部記憶メディアで外部から情報を受け取った際には、自動又は手動のいずれかの方法でウイルスチェックを実施する。
・不審な件名の電子メールや、心あたりのない送信者から送られてきた電子メールに添付されたファイルをウイルスチェックする前に開かない。
・電子メールに添付して外部へファイルを送信する際には、自動又は手動のいずれかの方法でウイルスチェックを実施する。
・書換え可能なメディアは、使用時以外、ドライブから取り外しておく。
②コンピュータ・ウイルスに感染した場合の対応
・コンピュータ・ウイルスに感染した場合、すみやかに社内ネットワークから当該機器を切り離し(ネットワークケーブルを抜く、無線LANをオフにする)、コンピュータ・ウイルスの駆除が完了するまで社内ネットワークに接続しない。
・コンピュータ・ウイルスに感染したことを、すみやかに情報システム室及び部門セキュリティ責任者(部署長)に報告する。
③外部にコンピュータ・ウイルスを流出させた時の対応
「10.1 情報セキュリティ事故の報告」に従い、情報セキュリティ事故報告を行い、自己の業務範囲を管轄する部門セキュリティ責任者(部署長)又は情報システム室の指示に従い対応する。

(2)トロイの木馬への対応

  • トロイの木馬の危険があるソフトウェアを起動しない。
  • これらのソフトウェアの被害に遭わないようにするために、新たなソフトウェアを導入する際には、出所が明らかであることを確認してから使用する。

(3)セキュリティホールへの対応

  • メーカによってセキュリティホールが公表されているなど、明らかにセキュリティ上問題のあるソフトウェアは使用しない。
  • セキュリティホールへの具体的な対策は、情報システム室の指示に従う。

(4)デマウイルスへの対応

  • デマのウイルス情報をメールにより受け取った場合、情報システム室に連絡し、その指示に従う。
  • 決してそのメールを転送しない。

(5)インターネットの利用(Webブラウザの利用)時の注意

①アクセス先サイトの安全確認
サーチエンジンなどでリストされたサイトや受信したメールに記されたURL等に無闇にアクセスしない。
②ダウンロードするファイルの安全確認
インターネット上で公開されているダウンロード可能なファイルがすべて安全であるとは限らないため、ファイルの使用にあたり次の点について確認する。
・出所が明らかである。例えば、信頼できる企業・組織の信頼できるサイトからダウンロードしたファイルである。
・ウイルスチェックによる確認の結果、ウイルスが検出されない。
・可能ならばデータのバックアップをとってから動作確認を行う。
スポンサーリンク

8.3 情報のバックアップ

従業員は、個人使用情報機器に格納された重要な情報を、必要に応じて、部署のファイルサーバーにバックアップし、バックアップデータを適切に管理する。

8.4 ネットワーク管理策

従業員は、社内ネットワークの利用について、次の事項を遵守する。

(1)会社貸与外の情報機器のネットワーク接続禁止

「4.2 情報機器等の導入及び管理」に従い、会社貸与外の情報機器・備品(例:個人所有PC、スマホなど)を社内ネットワークに接続しない。

(2)未承認外部接続の禁止

  • 情報システム室の承認なしに、当社の管理下にある情報機器に対して、ルータ、ブリッジ等を介しての回線接続を行わない。
  • 外部接続が必要な場合、事前に情報システム室に申請する。

(3)自社以外での社内ネットワーク接続時の遵守事項

当社の情報機器を自社以外の会社(関連会社や顧客先等)に持ち込み、ネットワーク接続を行う際は、ネットワークを所有している会社の社員に事前承認を得た後、接続ルールを確認した上で接続する。

(4)無線LAN使用における遵守事項

  • 情報システム室の承認を得ていない無線LANの使用は禁止とする。
  • 無線LANの導入が業務上必要な場合、事前に情報システム室に申請する。
スポンサーリンク

8.5 メディアの取扱い及びセキュリティ

8.5.1 コンピュータ用の取外し可能なメディアの管理

従業員は、コンピュータ用の取外し可能なメディアの管理について、次の事項を遵守する。

(1)外部記憶メディア(電子・紙)の保管

秘密情報・個人情報を記録した外部記憶メディアは、施錠できるキャビネット等に保管する。

(2)外部記憶メディアの再利用

電子メディア
電子メディアが不要になり、再利用のために他者(部署内の他の従業員又は他部署)に移管する際は、移管前に記録されていたデータを読取り不可能な状態にする。
紙文書
秘密情報・個人情報が印刷された紙文書を、コピーやプリンタ、メモ等の用紙(裏紙)として使用しない。

(3)外部記憶メディア(電子・紙)の廃棄

電子メディア及び紙文書は、「8.5.2 メディアの処分」に従い、廃棄する。

(4)秘密情報・個人情報を記録した外部記憶メディア(電子・紙)の社外への持出しについては、「7.2.6 情報資産の移動」に従う。

8.5.2 メディアの処分

(1)従業員は、秘密情報・個人情報を記録したメディア(電子メディア及び紙文書)の廃棄に関して、次を遵守する。

①外部記憶メディア(電子メディア)の廃棄時の処理
不要となった外部記憶メディアを廃棄する際は、上書き、消磁又は物理的に裁断する等により、読取り不可能な状態にした後で廃棄する。
②紙文書廃棄時の処理
秘密情報・個人情報が印刷された紙文書を廃棄する際は、シュレッダーによる細断処理、焼却又は溶解のいずれかの方法にて行う。
いかなる場合も、秘密情報・個人情報が印刷された紙文書をそのまま「ごみ箱」やリサイクルボックス等に捨てない。

(2)部門セキュリティ責任者(部署長)は、情報資産の重要度に応じて、必要に応じ文書の廃棄記録をとる。

文書・記録の管理については、「品質文書管理規定」により管理する。

8.5.3 情報の取扱手順

従業員は、情報の取扱いに関して、次の事項を遵守する。

(1)会社貸与情報機器・備品・ソフトウェア使用の原則

「4.2 情報機器等の導入及び管理」に従い、業務を遂行するために使用する情報機器・備品・ソフトウェアは、会社から貸与されたものを使用する。

(2)秘密情報・個人情報持出し時の遵守事項

  • 「7.2.6 情報資産の移動」に従い、秘密情報・個人情報を社外へ持出さない。
  • 業務上、やむを得ず秘密情報・個人情報を社外へ持ち出す持ち出すは、事前に部門セキュリティ責任者(部署長)及び情報セキュリティ管理責任者の承認を得る。

(3)特定メンバー共用の情報機器利用終了時の処置

特定メンバー共用情報機器(例:共用PC)利用終了時には、共用情報機器内で作成したファイルを削除、サーバーに移動する等して、共用情報機器内に情報を残さない。

(4)個人使用情報機器内の秘密情報・個人情報の処置

業務上の利用が終了した秘密情報・個人情報は、すみやかに個人使用情報機器(例えば、会社貸与の個人使用業務PC)内から削除(OS上の「ごみ箱」からも削除)する。

(5)暗号化

①社内(ファシリティ内)利用時
社内(ファシリティ内)で使用している情報機器・備品に格納されている秘密情報・個人情報に対し、必要に応じて、暗号化等の情報漏えい防止処置を実施する。
②社外への情報持出し時
従業員は、秘密情報・個人情報を格納した情報機器・備品を社外へ持ち出す場合は、秘密情報・個人情報に対し、暗号化等の情報漏えい防止処置を実施する。
③電子メール利用時
秘密情報・個人情報を電子メールで送付してはならない。
ただし、業務上やむを得ず、秘密情報・個人情報を電子メールで送付する際は、次の事項を遵守する。
【社外に送信する場合】
暗号化等の情報漏えい防止処置を実施する。暗号化等の情報漏えい防止処置なしに秘密情報・個人情報を電子メールで送付しない。
【社内に送信する場合】
社内でのメール送受信であっても、本来の受信者以外の者に情報が漏洩する危険を回避するために、本来の受信者以外の者に知られてはならない情報(例えば、人事情報)を送信する際は、暗号化等の情報漏えい防止処置を実施する。
④インターネット利用時

暗号化等の情報漏えい防止処置なしに秘密情報・個人情報をインターネット上に流さない。

(6)デジタル署名

  • 電子文書の真正性及び完全性を保護する必要がある場合、デジタル署名を実施する。
  • デジタル署名利用については、事前に情報システム室に相談する。

(7)プリンタ出力時

  • プリンタ出力時には、出力した文書の放置等によって他者に文書が見られることがないようにする。
  • 秘密情報・個人情報をプリントする際は、プリント指示をした本人が立ち会い、アウトプット(印刷物)をただちに回収し、プリンタに放置しない。

(8)FAX送受信時

①秘密情報・個人情報・顧客情報はFAXで送受信しない。
ただし、緊急を要し、かつ他に代替手段がない場合は、事前に部門セキュリティ責任者(部署長)及び情報セキュリティ管理責任者の承認を得た後、次の対応を必須とすることを条件に秘密情報・個人情報・顧客情報のFAX送受信を認める。
【秘密情報・個人情報・顧客情報のFAX送信時の対応】
・秘密情報・個人情報・顧客情報の誤送信を防止するため、情報をFAX送信する旨を、事前に送信先に電話で伝え、確実に受け取ってもらえるようにする。
・FAX送信後、すみやかに送信先に電話等で到着を確認する。
【秘密情報・個人情報・顧客情報のFAX受信時の対応】
・送信側の誤送信を防止するために、受信FAX番号を送信側と確認する。
・送信側から送信開始連絡を入れてもらう。
・指定した受信FAX機前にて待機し、FAX受信後すみやかに回収し、送信側に電話等で到着を伝える。
②FAX送信時の誤送信防止
FAXの送信先を間違えたことで想定しない第三者に情報が漏洩することを防止するために、次の事項を確認する。
・送信先FAX番号
・短縮ダイヤルの登録番号
・送信する文書
・必要に応じて、送信先の相手に受信したことを確認する。

(9)顧客預かり情報の取扱い

  • 紙又は電子データで顧客又は取引先から預かった情報は、重要な情報であることを認識し、定められた方法で適切に取り扱う。
  • 秘密情報・個人情報を預かる際は、事前に双方で授受管理の手順を取決める。
スポンサーリンク

8.6 情報の交換

8.6.1 情報交換の方針及び手順

(1)当社のファシリティ内における遵守事項

従業員は、当社のファシリティ内における情報漏えい(情報流出)を防止するため、次の事項を遵守する。

①撮影・録音
・撮影・録音を行う際、当該ファシリティにおける撮影・録音の手続きが定められている場合は、当該手続きに従う。
・撮影・録音の手続きが定められていないファシリティにおいて業務上必要なため撮影・録音を行う場合は、その場の責任者の事前許可を得る。
その場の責任者の例:会議や打ち合わせの場合は、その主催者。居室を撮影する場合は、その居室の責任者
②ホワイトボードに書いた情報への対応
会議中にホワイトボードに書いた情報は、会議終了後必ず消去し、ホワイトボードの電源を切る。
③ソーシャルエンジニアリングへの対応
通話等の相手が特定できない場合は、相手に対してコールバックするなどして、相手を確認したうえで会話を行う。
ソーシャルエンジニアリングとは、「自分は管理者である」などと偽った電話によってパスワードなどの秘密情報・個人情報を聞き出すような手口をいう。
④電話及び社外での会話
エレベータの中や飲食店、交通機関等の会社関係者以外の人がいる場所で業務の話をしない。
⑤携帯電話(スマホを含む)内の情報の保護・管理
・業務で使用する携帯電話は、情報システム室が指定する携帯電話を使用する。
・携帯電話内のアドレス帳に個人情報を登録する場合は必要最小限にとどめる。
・携帯電話には、必ず、パスワードロック等のセキュリティ処置を行う。
・秘密情報や機微な情報を携帯電話の電子メール機能を使って送受信しない。
・携帯電話の送受信メールを定期的に確認し、不要なメールを削除する。
・携帯電話内に格納されている情報(例:アドレス帳、送受信メール)を定期的に確認し、必要のない情報を削除する。

(2)顧客のファシリティ内での遵守事項

従業員は、顧客のファシリティ内への情報機器(例:ノートPC)の持込み及び使用について、次の事項を遵守する。

①持込み
顧客のファシリティ内に入館する際、顧客が定める情報機器の持込みルールがある場合は、これに従う。
②使用
・顧客のファシリティ内で情報機器を使用する際は、顧客の事前承認を得る。
・顧客のファシリティ内に持ち込んだ情報機器を顧客ネットワークに接続する際は、顧客の事前承認を得、接続ルールを確認する。
・いかなる場合であっても、顧客の事前承認なく持ち込んだ情報機器を顧客のネットワークに接続してはならない。
③顧客ネットワークに接続するPCは、あらかじめ次の処置を実施する。
・最新のセキュリティパッチの適用
・最新のウイルス検索エンジン及びウイルス定義ファイルによるウイルスチェック
・その他、顧客から指示された事項
④顧客の了解を得て、顧客のファシリティ内でカメラ付き携帯電話を使用する際は、携帯電話のカメラ機能を使用して顧客のファシリティ内を撮影していると疑われるような行為を慎む。

8.6.2 情報及びソフトウェアの交換に関する取決め

従業員は、情報及びソフトウェアの交換に関する取決めについて、情報漏えい(情報流出)を防止するため、次の事項を遵守する。

(1)外部との間で秘密情報・個人情報の受け渡しを行う場合

  • 成約に至る前の営業活動等、契約を伴わない状況で、当社の秘密情報・個人情報を渡す場合は、情報を提供する前に秘密保持契約を締結するか、又は秘密保持の念書を先方から提出させる。
  • 顧客又は取引先等の外部から秘密情報・個人情報を受け取る場合は、情報を受け取る前に秘密保持契約を締結するか、又は秘密保持の念書を先方に提出し、双方で授受管理の手順を取決める。
  • 個人情報保護対応の標準契約書が制定される以前に契約を締結した等の事由により既存契約に個人情報保護の条項が含まれていない場合は、別途個人情報の取扱いに関する覚書等を締結する。

(2)社内の部署間、当社と関連会社間で秘密情報・個人情報の受け渡しを行う際は、事前に双方で授受管理の手順を取決める。

8.6.3 配送中のメディアのセキュリティ

従業員は、秘密情報・個人情報の送付方法に関しては、情報システム室に事前に相談し、パスワードをかける等、紛失しても情報が流出しないようにする。

8.6.4 電子メールのセキュリティ

従業員は、電子メールがもたらすセキュリティ上のリスクを軽減するために、次の事項を遵守する。

(1)使用するメールアドレス

業務で使用するメールアドレスは、会社から割当てられたメールアドレスを使用する。

(2)電子メールの送信

  • 電子メールの送信先を間違えて、想定しない第三者に情報が漏洩することを防止するため、送信前に送信先のメールアドレスが正しいことを十分確認し、誤送信がないように注意する。
  • 「8.2 悪意のあるソフトウェアに対する管理策」に従い、電子メールに添付して外部へファイルを送信する際には、自動又は手動のいずれかの方法でウイルスチェックを実施する。
  • 重要な情報(秘密情報・個人情報を含む)を社外に電子メールで送信する際は、暗号化等の情報漏えい防止処置を実施する。ただし、業務上の都合で暗号化等の実施ができない場合には、それに代わる情報漏えい防止処置を講じ、情報セキュリティ管理責任者の承認を得る。
  • 業務上やむを得ず秘密情報・個人情報を社外に電子メールで送信する際は、事前に部門セキュリティ責任者(部署長)及び情報セキュリティ管理責任者の承認を得る。

(3)電子メールの受信

  • 「8.2 悪意のあるソフトウェアに対する管理策」に従い、電子メールで外部からファイルを受け取った際には、自動又は手動によりウイルスチェックを実施する。
  • 不審な件名の電子メールや、心あたりのない送信者から送られてきた電子メールに添付されたファイルをむやみに開かない。
  • 本来メーリングリストのメンバーでなくなっているにもかかわらず、メーリングリスト宛のメールを受信した際は、メーリングリストの管理者(メーリングリストの管理者が不明な場合は、メーリングリスト宛)にメンバー削除を依頼する。

(4)メーラー(メールクライアント)に蓄積された情報の管理

メーラー(メールクライアント)に蓄積された次の情報を定期的に確認し、その時点で必要のない情報を削除する。

  • アドレス帳に登録したメールアドレス等の情報
  • 送信済みメール
  • 受信メール

(5)インターネット等公衆網経由での電子メール利用

  • 社内のメールアドレス宛に届いた電子メールを、業務上社外のアドレス(例:携帯電話の個人メールアドレス)に転送する必要がある場合には、部署長経由で事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得る。
  • 社内のメールアドレス宛に届いた電子メールに外出先等からアクセス(例:電子メールの受信、電子メールの閲覧)する場合は、情報システム室が指定するリモートアクセス環境を利用する。リモートアクセスについては、「9.7 モバイル・コンピューティング及び在宅勤務等のテレワーク」に示す。
  • 「8.6.1 情報交換の方針及び手順」に従い、秘密情報や機微な情報を携帯電話の電子メール機能を使って送受信しない。
  • また、携帯電話内に格納されている情報(例:アドレス帳、送受信メール)を定期的に確認し、その時点で必要のない情報を削除する。

(6)迷惑行為の禁止

スパムメール、チェーンレター、故意によるコンピュータ・ウイルス送信等の迷惑行為をしない。

(7)大容量データの送信禁止

メール1通当たりの容量は5MB程度とする。

数MB以上のデータを送信した場合、送信先が受信できない場合もあるため、情報システム室に相談する。

(8)他の従業員の電子メールへのアクセス

許可なく他の従業員宛ての電子メールの閲覧、コピー、削除、修正を行わない。

(9)顧客及び取引先との電子メール送受信における遵守事項

  • メールマガジンやセミナー開催案内等のように大勢の顧客(目安:受信者100人以上)に同報メールを送信する際は、宛先の個人情報漏えい(情報流出)を防止するための専用ツールを使用する。
  • 業務上やむを得ず、秘密情報・個人情報を社外に送信する際は、「8.5.3 情報の取扱手順」に従い、暗号化等の情報漏えい防止処置を実施する。

(10)電子メールの停止申請

①従業員が、休職や長期休暇等の事由により、長期間(2ヵ月を超える場合を目安とする)不在となる際は、当該従業員の部署長は、当該従業員が休暇等に入る前に、情報システム室に、当該従業員の電子メール停止申請を行う。

②当初短期間の休暇の予定であった従業員が、病気、受傷等の事由により長期間の休暇となることが判明した際は、当該従業員の部署長は、すみやかに当該従業員の電子メール停止申請を行う。

③前項①及び②により、電子メール停止申請を行う際に、業務上やむを得ず、当該従業員宛に送信された電子メールを部署長又は会社が閲覧する必要がある場合において、合理的な理由があり、かつ事前に本人の同意を得たときに限り、当該従業員の電子メールに対し転送処置を実施できるものとする。

④前項で本人の同意を得られない場合において、合理的な理由がある時は、会社の判断で当該従業員の電子メールを閲覧又は転送処置を実施できるものとする。

8.6.5 メーリングリストのセキュリティ

(1)メーリングリストの登録・管理

メーリングリストは次に定める事項に従い、登録・管理を行う。

  • メーリングリストの設置にあたっては、情報システム室に登録申請する。登録の際、メーリングリストの管理者を定める。
  • メーリングリストの管理者が異動等で変更になった際は、後任の管理者を定め、情報システム室に連絡する。メーリングリストの管理者が不在の状態でメーリングリストを運用しない。
  • メーリングリストに参加する必要がなくなった従業員は、すみやかにメーリングリストから脱退する。
  • メーリングリストの管理者は、メンバー登録の必要のない従業員が登録されていないか、メーリングリストに登録されているメンバーを定期的に(半年に1度)確認する。
  • メーリングリストの管理者は、メーリングリストが不要になった場合は、情報システム室に削除申請する。

(2)メーリングリストへの外部メンバーの登録

  • メーリングリストに外部のメンバーを登録する際は、メーリングリストの管理者は、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得る。
  • メーリングリストの管理者は、メーリングリストに外部のメンバーを登録する際は、メーリングリストのメンバー全員に事前に通知し、了承を得た上で、登録・運用する。

(3)社外のメーリングリストへの参加

従業員は、社外のメーリングリストに参加する場合には、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得る。

まとめ

「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。

「8.通信及び運用の管理に関する基本原則」では、以下について定めています。

  • 第三者が提供するサービスの管理
  • 悪意のあるソフトウェアに対する管理策(コンピュータ・ウイルスの予防)・情報のバックアップ
  • ネットワーク管理策
  • メディアの取扱い及びセキュリティ
  • コンピュータ用の取外し可能なメディアの管理
  • メディアの処分
  • 情報の取扱手順
  • 情報の交換
はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティマニュアル
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました