「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「11.適合性に関する基本原則」では、以下について説明します。
- ソフトウェアの著作権保護
- 情報セキュリティに関する組織の記録の保護
- 個人情報の保護
- 情報処理設備等の誤用の防止
- 暗号による管理策の規制(暗号化ツールの利用)
11.適合性に関する基本原則
11.1 ソフトウェアの著作権保護
ソフトウェアの使用等を的確に管理し、ソフトウェアの違法複製等の行為を効果的に防止するため従業員、部署長、情報セキュリティ管理責任者は、以下について実施する。
11.1.1 従業員が実施すること
従業員は、ソフトウェアの著作権保護のため、次の事項を遵守する。
- 関係法令、ソフトウェア管理規則及び使用許諾契約に規定された使用条件並びに情報セキュリティ管理責任者の指示を遵守する。
- 当社が保有するソフトウェアと個人が保有するソフトウェアとの区分が不明確になることを防ぐため、個人が保有するソフトウェアを当社において使用する場合、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得る。
- 会社指定の標準ソフトウェアのライセンス管理については、情報システム室の定める手順に従う。
- ソフトウェアの違法コピーを行わない。
- インターネット等からファイルのダウンロードを行う際は、ファイルの著作権者が定める著作権に関する指示に従い、当該ソフトウェアを取り扱う。
11.1.2 部署長が実施すること
部署長は、ソフトウェアの著作権保護のため、「11.1.1 従業員が実施すること」を周知、認識させる。また、次の事項を遵守する。
- 自部署でソフトウェアを購入する場合、必要なライセンス数を購入し、自部署の責任においてライセンスを管理する。
- 購入したソフトウェアのライセンス証書は自部署で責任を持って保管する。
- 会社貸与情報機器・備品・ソフトウェアの棚卸及び点検を実施する。
- ソフトウェアの購入状況及び利用状況の報告を求められた際に、すみやかに報告できるように情報をリスト化して管理する。
11.1.3 情報セキュリティ管理責任者が実施すること
情報セキュリティ管理責任者は、ソフトウェアのライセンスが適切に管理されていることを確認するため、次の事項を実施する。
- 会社貸与情報機器・備品・ソフトウェアの棚卸及び点検に関する実施計画の策定を、管理部に対して指示する。
- 当社におけるソフトウェアの使用状況を常時把握するため、ソフトウェアの使用状況を記録したソフトウェア管理リストを整備する。
- ソフトウェア監査等によりソフトウェアの違法複製等を発見した場合、調査した上で、違法複製されたソフトウェアを消去する等、適切な処置を速やかに講じる。
- ソフトウェアの適正な使用等に対する意識の向上を図るため、従業員を対象として、関係法令、ソフトウェア管理規則、使用許諾契約に規定された使用条件等の周知徹底を図る。
11.2 情報セキュリティに関する組織の記録の保護
部門セキュリティ責任者は、情報セキュリティに関する組織の記録の保護について、次の事項を遵守する。
- その管轄する組織における重要な記録を特定し、保管期間及び保管方法を定め、適切に保存する。
- 保存期間が終了した重要な記録を廃棄する際は、「8.5.2 メディアの処分」に従う。
- 上記以外の文書・記録は、「品質文書管理規定」により管理する。
11.3 個人情報の保護
従業員は、個人情報の保護について「個人情報保護規程」を遵守する。
11.4 情報処理設備等の誤用の防止
(1)当社は、利用者が専ら個人的な関心や私的な利益のために会社が保有するネットワーク設備を利用することを認めない。
(2)当社は、従業員が当社の情報資産を適切に利用していることをモニタリング及びログ分析等により確認することができる。
確認事項を次に示す。
- 当社の情報資産へのアクセス
- 当社の情報機器・備品・ソフトウェアの利用
- インターネットの利用
- 電子メールの利用
(3)ファシリティへの不正なアクセスの禁止
従業員は、当社のファシリティの利用について、「7.1 物理的セキュリティ対策」を遵守する。
(4)情報システムへの不正なアクセスの禁止
従業員は、使用を許されていない情報システムや業務上必要のない情報システムへのログオン等のアクセスを試みてはならない。
(5)従業員は、保守業者等の第三者が持ち込んだ情報機器について、次の事項を遵守する。
保守業者等の第三者が持ち込んだ情報機器を社内ネットワークに接続させない。
やむを得ず、保守業者等の第三者が持ち込んだ情報機器を社内ネットワークに接続する場合は、次の事項を遵守する。
- 事前に部署長及び情報セキュリティ管理責任者の承認を得る。
- 「8.6.1 情報交換の方針及び手順」により、当該ファシリティ管理責任者が当該ファシリティにおける情報機器の持込み及び使用について手続きを定めている場合は、これに従う。
- 社内ネットワークへの接続開始から接続終了までの間、社員が立会い、不正な操作が行われないよう監視する。
- 社内ネットワークへの接続に関する記録を取り、一定期間保存する。
11.5 暗号による管理策の規制(暗号化ツールの利用)
従業員は、暗号化ツールの利用において、次の事項を遵守する。
- 暗号化された情報又は暗号化ツールを海外で利用する場合には、暗号化ツールが当該国で使用可能であることを事前に情報システム室に確認する。
- 新しい暗号化技術を利用する際は、事前に情報システム室に申請する。
まとめ
「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「11.適合性に関する基本原則」では、以下について説明しました。
- ソフトウェアの著作権保護
- 情報セキュリティに関する組織の記録の保護
- 個人情報の保護
- 情報処理設備等の誤用の防止
- 暗号による管理策の規制(暗号化ツールの利用)