ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「2.情報セキュリティ事故の管理に関する基本原則」について紹介します。
様々な情報システムの管理者側としては、利用者に対しては情報セキュリティ事故かと思ったら即報告、管理側はセキュリティ事故の影響を最小限にすることを徹底していくことが重要です。
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
【管理部用】情報セキュリティ事故管理マニュアル
2.情報セキュリティ事故の管理に関する基本原則
2.1 情報セキュリティに関する事故および弱点(脆弱性)の報告
2.1.1 従業員及び部門セキュリティ責任者(部署長)
従業員及び部門セキュリティ責任者(部署長)は、その責任範囲の情報システム及び社内ネットワークに対する情報セキュリティの脆弱性を発見した場合、「情報セキュリティ事故管理ガイドライン」に則り、すみやかに情報システム室に報告しなければならない。
2.1.2 従業員及びファシリティ責任者
従業員及びファシリティ管理責任者はその責任範囲のファシリティに対する情報セキュリティの脆弱性を発見した場合、「情報セキュリティ事故管理ガイドライン」に則り、すみやかに情報システム室に報告しなければならない。
2.2 情報セキュリティ事故及び弱点(脆弱性)の管理フロー
情報セキュリティ事故及び弱点(脆弱性)の管理フローについて、「図1 情報セキュリティ事故等管理フロー」に示す。
2.2.1 従業員
従業員は、情報セキュリティ事故及び弱点(脆弱性)を発見した場合、すみやかに情報システム室に報告する。
報告の際、「情報流出共有シート」に分かる範囲で記入する、もしくは、Tel、メール等で速やかに情報システム室報告する。この際、部門セキュリティ責任者(部署長)、必要に応じファシリティ責任者にも報告する。
2.2.2 情報システム室
情報システム室は、報告内容を適時情報セキュリティ管理責任者に報告し当該問題の解決に取り組む。
この際、部門セキュリティ責任者(部署長)又はファシリティ責任者が自らの責任において当該問題を解決する場合には、その旨指示をする。
2.2.3 管理部
管理部は、必要に応じ当該情報セキュリティ事故の対策本部を設置し対応する。
2.2.4 部門セキュリティ責任者(部署長)
部門セキュリティ責任者(部署長)は、その管轄する組織における情報セキュリティの脆弱性の報告を受けた場合は、自らの責任において当該問題を解決し、情報システム室に報告する。
2.2.5 ファシリティ責任者
ファシリティ責任者は、その管轄する組織における情報セキュリティの脆弱性の報告を受けた場合は、自らの責任において当該問題を解決し、情報システム室に報告する。
2.3 情報セキュリティ事故からの学習
(1)情報セキュリティ管理責任者は、情報セキュリティ事故の再発防止策として全社ルールを変更した場合には、すべての従業員に周知し、適切に実施しなければならない。
(2)情報セキュリティ管理責任者は、情報セキュリティ事故報告を定期的に分析し、多額の費用を要する種類の情報セキュリティ事故については防止策の見直しを行わなければならない。
まとめ
ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「2.情報セキュリティ事故の管理に関する基本原則」について、以下の内容を説明しました。
- 情報セキュリティに関する事故および弱点(脆弱性)の報告
- 情報セキュリティ事故及び弱点(脆弱性)の管理フロー
- 情報セキュリティ事故からの学習
