【管理部用】情報セキュリティ事故管理マニュアル(6/6)

ここでは、「【管理部用】情報セキュリティ事故管理マニュアル」のうち、

「6.参考資料等」について紹介します。

はかせ
はかせ

IPAのWebなどでも資料が公開されています。コストとの兼ね合いはありますが、情報セキュリティ事故が発生した場合の影響や現時点での実力を考慮して進めることをおすすめします。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

【管理部用】情報セキュリティ事故管理マニュアル

6.参考資料等

情報セキュリティのルールをまとめるに当たり、参考にした情報(リンク先)を紹介します。

ここで紹介したのは公開されている情報の一部ですが、それでもすべてを社内教育等に使うのは現実的ではありません。

情報セキュリティについての教育等をする場合に、目的(何を知らせたい、伝えたい、周知・徹底したい)と対象者に応じて適宜利用するのがよいと考えています。

はかせ
はかせ

情報セキュリティについて参考となる情報が公的機関から公開されているので、資料を作る際には助かります。

スポンサーリンク

6.1 官庁及び参考資料

(1)官庁等

  • 個人情報の保護について(個人情報保護委員会)
個人情報保護委員会 - PPC |個人情報保護委員会
個人情報保護委員会は、特定個人情報の取扱いに関する監視・監督(立入検査、報告徴求、指導、助言、勧告、命令等の権限の行使)、特定個人情報保護評価に関すること(指針の策定や評価書の承認)、特定個人情報の保護についての広報・啓発、これらの事務のために必要となる調査・研究及び国際協力等を行う第三者機関です。 - マイナンバー関...
  • 個人情報の保護に関する法令・ガイドラインについて(個人情報保護委員会)
お探しのページが見つかりません |個人情報保護委員会
  • 警察庁サイバー犯罪対策プロジェクト(警察庁) 
警察庁 サイバー犯罪対策
  • 警察庁サイバー犯罪対策プロジェクト 法令等(警察庁)
警察庁 サイバー犯罪対策:法令等
  • 都道府県警察本部のサイバー犯罪相談窓口等一覧(警察庁)
警察庁 サイバー犯罪対策:県警の施策等
  • JPCERTコーディネーションセンター
    • JRCERT/CC(Japan Computer Emergency Response Team Coordination Center)
JPCERT コーディネーションセンター
  • IPA 情報セキュリティ安心相談窓口
    • IPA(Information-technology Promotion Agency、 Japan)
    • 独立行政法人 情報処理推進機構
情報セキュリティ安心相談窓口:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

(2)IPA対策のしおり シリーズ

目的に応じてわかりやすくまとめられていると思います。

IPA(Information-technology Promotion Agency)

独立行政法人 情報処理推進機構

対策のしおり:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
  • IPA 対策のしおり シリーズ
    • (1)ウイルス対策のしおり
    • (2) スパイウェア対策のしおり
    • (3) ボット対策のしおり
    • (4) 不正アクセス対策のしおり
    • (5) 情報漏えい対策のしおり
    • (6) インターネット利用時の危険対策のしおり
    • (7) 電子メール利用時の危険対策のしおり
    • (8) スマートフォンのセキュリティ 対策のしおり
    • (9) 初めての情報セキュリティ 対策のしおり
    • (10) 標的型攻撃メール 対策のしおり
    • (11)無線LAN<危険回避>対策のしおり
    • (12)暗号化による<情報漏えい>対策のしおり
スポンサーリンク

6.2 情報漏えい対応の5原則

(1)被害拡大防止・二次被害防止・再発防止の原則

情報漏えいが発生した場合に最も重要なことは、情報漏えいによって引き起こされる被害を最小限にとどめることです。

漏えいした情報が犯罪等に使用されることを防止しなければなりません。

また、一度発生した事故・事件は二度と起こることのないよう再発を防止します。

(2)事実確認と情報の一元管理の原則

情報漏えい対応においては正確な情報の把握に努めます。

憶測や類推による判断や不確かな情報に基づく発言は混乱を招きます。

組織の情報を一か所に集め、外部に対する情報提供や報告に関しても窓口を一本化し、正しい情報の把握と管理を行います。

(3)透明性・開示の原則

被害拡大防止や類似事故の防止、企業組織の説明責任の観点から必要と判断される場合には、組織の透明性を確保し情報を開示する姿勢で臨むことが好ましいと考えられます。

情報公開により被害の拡大が見込まれるような特殊なケースを除いては、情報を公開することを前提とした対応が企業(組織)の信頼につながります。

(4)チームワークの原則

情報漏えい対応においては様々な困難な判断を迅速に行わなければならず、精神的にも大きな負担がかかります。

また、経営、広報、技術、法律等様々な要素を考慮する必要があるため、組織として対応していくことが重要です。

(5)備えあれば憂いなしの原則

情報漏えい等事故が発生した時のことを想定し、あらかじめ緊急時の体制や連絡要領等を準備しておくと、いざという時に大変役立ちます。

緊急時にどう対応するべきなのか、方針や手順を作成し、日頃から訓練しておきましょう。

まとめ

ここでは、「【管理部用】情報セキュリティ事故管理マニュアル」のうち、

「6.参考資料等」について、以下の内容を説明しました。

  • 官庁及び参考資料
  • 情報漏えい対応の5原則
はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティ事故管理
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました