ここでは、利用者に対する「情報セキュリティ事故管理ガイドライン:事故発生から初動対応まで」のうち、以下について説明します。
- 主旨(目的、適用範囲)
- 情報流出対応の基本的な考え方
- 情報セキュリティ事故の管理に関する基本原則
情報流出は発生するものと考え、「情報流出による直接的・間接的被害を最小限に抑える」ために何をするか考え、対応フローを定めておくことが重要です。
1.主旨(目的、適用範囲)
本ガイドラインは、情報漏えい(情報流出)等の情報セキュリティ事故が発生した場合(発生する恐れのある場合も含む)の処理手順(事故発生から初動対応)について定めたものである。
2.情報流出対応の基本的な考え方
情報流出発生後に対応を行う最大の目的は、「情報流出による直接的・間接的被害を最小限に抑える」ことにある。
当社のことだけでなく、自分に関係のある情報を漏えいされた最終的な被害者、顧客、取引先、株主、グループ会社、協力会社、従業員等、情報流出によって被害を受ける様々な関係者の被害を最小限に抑える必要がある。
このため、経営方針に基づき全体のバランスを考えながら被害の最小化を図る。
3.情報セキュリティ事故の管理に関する基本原則
3.1 情報セキュリティに関する事故および弱点(脆弱性)の報告
3.1.1 従業員及び部門セキュリティ責任者(部署長)
従業員及び部門セキュリティ責任者(部署長)は、その責任範囲の情報システム及び社内ネットワークに対する情報セキュリティの脆弱性を発見した場合、すみやかに情報システム室に報告しなければならない。
3.1.2 従業員及びファシリティ責任者
従業員及びファシリティ管理責任者はその責任範囲のファシリティに対する情報セキュリティの脆弱性を発見した場合、すみやかに情報システム室に報告しなければならない。
3.2 情報セキュリティ事故及び弱点(脆弱性)の管理フロー
情報セキュリティ事故及び弱点(脆弱性)の管理フローについて、「情報セキュリティ事故等管理フロー」に示す。
3.2.1 従業員
従業員は、情報セキュリティ事故及び弱点(脆弱性)を発見した場合、すみやかに情報システム室に報告する。
報告の際、「情報流出共有シート」に分かる範囲で記入する、もしくは、Tel、メール等で速やかに情報システム室報告する。この際、部門セキュリティ責任者(部署長)、必要に応じファシリティ責任者にも報告する。
3.2.2 情報システム室
情報システム室は、報告内容を適時情報セキュリティ管理責任者に報告し当該問題の解決に取り組む。
この際、部門セキュリティ責任者(部署長)又はファシリティ責任者が自らの責任において当該問題を解決する場合には、その旨指示をする。
3.2.3 管理部
管理部は、必要に応じ当該情報セキュリティ事故の対策本部を設置し対応する。
3.2.4 部門セキュリティ責任者(部署長)
部門セキュリティ責任者(部署長)は、その管轄する組織における情報セキュリティの脆弱性の報告を受けた場合は、自らの責任において当該問題を解決し、情報システム室に報告する。
3.2.5 ファシリティ責任者
ファシリティ責任者は、その管轄する組織における情報セキュリティの脆弱性の報告を受けた場合は、自らの責任において当該問題を解決し、情報システム室に報告する。
まとめ
ここでは、利用者に対する「情報セキュリティ事故管理ガイドライン:事故発生から初動対応まで」のうち、以下について説明しました。
- 主旨(目的、適用範囲)
- 情報流出対応の基本的な考え方
- 情報セキュリティ事故の管理に関する基本原則