ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「6.参考資料等」について紹介します。
IPAのWebなどでも資料が公開されています。コストとの兼ね合いはありますが、情報セキュリティ事故が発生した場合の影響や現時点での実力を考慮して進めることをおすすめします。
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
【管理部用】情報セキュリティ事故管理マニュアル
6.参考資料等
情報セキュリティのルールをまとめるに当たり、参考にした情報(リンク先)を紹介します。
ここで紹介したのは公開されている情報の一部ですが、それでもすべてを社内教育等に使うのは現実的ではありません。
情報セキュリティについての教育等をする場合に、目的(何を知らせたい、伝えたい、周知・徹底したい)と対象者に応じて適宜利用するのがよいと考えています。
情報セキュリティについて参考となる情報が公的機関から公開されているので、資料を作る際には助かります。
6.1 官庁及び参考資料
(1)官庁等
- 個人情報の保護について(個人情報保護委員会)
- 個人情報の保護に関する法令・ガイドラインについて(個人情報保護委員会)
- サイバー警察局
- JPCERTコーディネーションセンター
- JRCERT/CC(Japan Computer Emergency Response Team Coordination Center)
- IPA 情報セキュリティ安心相談窓口
- IPA(Information-technology Promotion Agency、 Japan)
- 独立行政法人 情報処理推進機構
(2)IPA対策のしおり シリーズ
目的に応じてわかりやすくまとめられていると思います。
IPA(Information-technology Promotion Agency)
独立行政法人 情報処理推進機構
- IPA 対策のしおり シリーズ
- (1)ウイルス対策のしおり
- (2) スパイウェア対策のしおり
- (3) ボット対策のしおり
- (4) 不正アクセス対策のしおり
- (5) 情報漏えい対策のしおり
- (6) インターネット利用時の危険対策のしおり
- (7) 電子メール利用時の危険対策のしおり
- (8) スマートフォンのセキュリティ 対策のしおり
- (9) 初めての情報セキュリティ 対策のしおり
- (10) 標的型攻撃メール 対策のしおり
- (11)無線LAN<危険回避>対策のしおり
- (12)暗号化による<情報漏えい>対策のしおり
6.2 情報漏えい対応の5原則
(1)被害拡大防止・二次被害防止・再発防止の原則
情報漏えいが発生した場合に最も重要なことは、情報漏えいによって引き起こされる被害を最小限にとどめることです。
漏えいした情報が犯罪等に使用されることを防止しなければなりません。
また、一度発生した事故・事件は二度と起こることのないよう再発を防止します。
(2)事実確認と情報の一元管理の原則
情報漏えい対応においては正確な情報の把握に努めます。
憶測や類推による判断や不確かな情報に基づく発言は混乱を招きます。
組織の情報を一か所に集め、外部に対する情報提供や報告に関しても窓口を一本化し、正しい情報の把握と管理を行います。
(3)透明性・開示の原則
被害拡大防止や類似事故の防止、企業組織の説明責任の観点から必要と判断される場合には、組織の透明性を確保し情報を開示する姿勢で臨むことが好ましいと考えられます。
情報公開により被害の拡大が見込まれるような特殊なケースを除いては、情報を公開することを前提とした対応が企業(組織)の信頼につながります。
(4)チームワークの原則
情報漏えい対応においては様々な困難な判断を迅速に行わなければならず、精神的にも大きな負担がかかります。
また、経営、広報、技術、法律等様々な要素を考慮する必要があるため、組織として対応していくことが重要です。
(5)備えあれば憂いなしの原則
情報漏えい等事故が発生した時のことを想定し、あらかじめ緊急時の体制や連絡要領等を準備しておくと、いざという時に大変役立ちます。
緊急時にどう対応するべきなのか、方針や手順を作成し、日頃から訓練しておきましょう。
まとめ
ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「6.参考資料等」について、以下の内容を説明しました。
- 官庁及び参考資料
- 情報漏えい対応の5原則
