「情報セキュリティ規定 利用者用」の目次例です。
「情報セキュリティ規定 利用者用」は、「情報セキュリティマネジメントシステムの要求事項(JIS Q 27001:2014)」の「付属書A 管理目的及び管理策」について、利用者に関する部分です。
情報システム担当者1名と責任者1名、社員数100名程度を想定しています。
ISO27000シリーズの2022年版では、「付属書A 管理目的及び管理策」の部分が大きく変更されています。自社の情報セキュリティについて見直すよい機会になると考えています。
JIS版(日本語版)は、2023年発行予定です。
目的
1.目的
本規程は、当社の情報資産を取り扱う者が遵守する情報セキュリティに関する基本ルールを定め、当社が取り扱う情報資産の機密性・完全性・可用性の保持徹底、及び情報資産の管理に関わるコンプライアンス(法令遵守)を図ることを目的とする。
適用範囲
2.適用範囲
(1)当社の役員(取締役、監査役)、及び社員、契約社員、嘱託社員、パート・アルバイト等すべての従業員は、この規程に従うものとする。
(2)当社の業務に従事する協力会社社員に対しては、その主管部署(発注部署)が、契約や誓約書によりこの規程を遵守させるものとする。
(3)この規程は、当社の従業員が業務で使用するすべての情報資産を対象とする。この規定の事業・組織・物理的及びネットワーク範囲は、当社が保有するすべての情報資産に関連する範囲とする。
(4)情報セキュリティ対策は、情報資産の特質を検討し、機密性、完全性、可用性のバランスを考慮して実施する。
用語の定義及び関連規定等
3.用語の定義及び関連規定等
3.1 用語の定義
この規程において、使用する用語の定義について示す。 情報セキュリティ、機密性・完全性・可用性の保持について、以下の通り補足する。
(1)情報セキュリティ
情報資産の機密性、完全性及び可用性、ならびに情報資産の管理に関わるコンプライアンス(法令遵守)を維持すること。
(2)情報セキュリティ事故
情報資産の機密性・完全性・可用性及び情報資産の管理におけるコンプライアンス(法令遵守)が損なわれた、又は損なわれた可能性がある事象。
(3)機密性の保持(見せたくない人には見せないように管理する)
許可された人だけが情報を使用できるようにすること。 機密性が維持できない状態:情報漏えい(情報流出)等。
(4)完全性の保持(情報の信頼性を守る)
保有する情報が不正に改ざんされたり、破壊(消去)されたりしないこと。 完全性が維持できていない状態:情報の改ざん等。
(5)可用性の保持(見せてもよい人に見せる)
許可された利用者が必要な時に情報(基幹システムやPC等)を利用できること。 可用性が維持できていない状態:システムや業務の停止。
(6)コンプライアンス(法令遵守) 企業が、法令や企業倫理を遵守すること。
3.2 関連規定等
この規程に関連する規定等を以下に示す。
(1)「情報セキュリティ事故管理ガイドライン」
(2)「個人情報保護規定」
組織のセキュリティに関する基本原則
4.組織のセキュリティに関する基本原則
4.1 情報セキュリティに関する役割と責任
4.1.1 情報セキュリティ管理責任者
4.1.2 情報システム室
4.1.3 管理部長
4.1.4 ファシリティ管理責任者
4.1.5 部門セキュリティ責任者(部署長)
4.1.6 従業員
4.2 情報機器等の導入及び管理
4.2.1 従業員が実施すること
4.2.2 部署長が実施すること
4.2.3 管理部が実施すること
4.2.4 情報システム室が実施すること
4.3 顧客及び取引先等対応におけるセキュリティ
情報資産の分類及び管理に関する基本原則
5.情報資産の分類及び管理に関する基本原則
5.1 情報資産一覧(情報資産目録)
5.2 資産利用の許容範囲
5.3 情報のラベル付け及び取扱い
人的セキュリティに関する基本原則
6.人的セキュリティに関する基本原則
6.1 雇用及び契約の終了又は変更に関する責任
6.2 情報資産の返却
6.3 アクセス権の削除
物理的及び環境的セキュリティに関する基本原則
7.物理的及び環境的セキュリティに関する基本原則
7.1 物理的セキュリティ対策
7.1.1 物理的セキュリティ対策(重要情報の保管・利用における入退・施錠管理)
7.1.1.1 物理的セキュリティ境界(セキュリティが保たれた領域)
7.1.1.2 物理的セキュリティ境界の管理手段
7.1.1.3 物理的セキュリティ対策に関する一般的注意事項
7.1.2 外部および環境の脅威からの保護(自然災害や人災による災害の防止)
7.1.3 重要な書類、ノートPC、記憶媒体などの管理
7.1.3.1 セキュリティが確保された領域(当社のファシリティ)での作業
7.1.3.2 重要な書類、PC等の管理に関する一般的注意事項
7.2 情報資産のセキュリティ
7.2.1 情報資産の設置及び保護
7.2.3 情報機器の保守(修理を含む)
7.2.4 当社のファシリティ外における情報機器のセキュリティ
7.2.5 情報機器及び外部記憶メディアの再利用・廃棄
7.2.6 情報資産の移動
通信及び運用の管理に関する基本原則
8.通信及び運用の管理に関する基本原則
8.1 第三者が提供するサービスの管理
8.2 悪意のあるソフトウェアに対する管理策(コンピュータ・ウイルスの予防)
8.3 情報のバックアップ
8.4 ネットワーク管理策
8.5 メディアの取扱い及びセキュリティ
8.5.1 コンピュータ用の取外し可能なメディアの管理
8.5.2 メディアの処分
8.5.3 情報の取扱手順
8.6 情報の交換
8.6.1 情報交換の方針及び手順
8.6.2 情報及びソフトウェアの交換に関する取決め
8.6.3 配送中のメディアのセキュリティ
8.6.4 電子メールのセキュリティ
8.6.5 メーリングリストのセキュリティ
アクセス制御に関する基本原則
9.アクセス制御に関する基本原則
9.1 業務上のアクセス制御方針
9.2 利用者のアクセス管理
9.2.1 利用者登録
9.2.2 管理者アカウントの管理
9.3 利用者の責任
9.3.1 自己のパスワードの管理
9.3.2 利用者領域にある無人運転の情報機器
9.3.3 クリアデスク及びクリアスクリーンの方針
9.4 ネットワークサービスの使用についての方針
9.5 オペレーティングシステムのアクセス制御
9.6 業務用ソフトウェア及び情報へのアクセス制限
9.7 モバイル・コンピューティング及び在宅勤務等のテレワーク
9.7.1 モバイル・コンピューティング
9.7.2 在宅勤務等のテレワーク
情報セキュリティに関する事故及び弱点(脆弱性)の報告
10.情報セキュリティに関する事故及び弱点(脆弱性)の報告
10.1 情報セキュリティ事故の報告
10.2 情報セキュリティの弱点(脆弱性)の報告
適合性に関する基本原則
11.適合性に関する基本原則
11.1 ソフトウェアの著作権保護
11.1.1 従業員が実施すること
11.1.2 部署長が実施すること
11.1.3 情報セキュリティ管理責任者が実施すること
11.2 情報セキュリティに関する組織の記録の保護
11.3 個人情報の保護
11.4 情報処理設備等の誤用の防止
11.5 暗号による管理策の規制(暗号化ツールの利用)
まとめ
ここでは、「情報セキュリティ規定 利用者用」の目次例を紹介しました。
「情報セキュリティ規定 利用者用」は、「情報セキュリティマネジメントシステムの要求事項(JIS Q 27001:2014)」の「付属書A 管理目的及び管理策」について、利用者に関する部分です。