この記事を読むために必要な時間は約4分(1315文字)です。
組織的対策 ~ セキュリティ関連規程の記載事項について ~
- 投稿日:2020-01-27
- 最終更新日:2020-12-22
- 表示:615PV
- カテゴリ:セキュリティ関連規程
公開時点(2020年1月27日)でIPAが公開している「中小企業の情報セキュリティ対策ガイドライン」第3版の付録にある「情報セキュリティ関連規程」(以下「原文」という)を基にお話をします。
なお、お話の都合上、原文の表記と異なる部分があります。
最初は組織的対策です。
目次
情報セキュリティ関連規程
目次
「情報セキュリティ関連規程」には、次の項目があります。組織的対策
組織的対策の内容
組織的対策は組織の対策です。記載内容は大きく分けると次の3つです。
セキュリティ対策としては、この3つに、「セキュリティポリシー」が加わります。
「セキュリティポリシー」は今回お話をする「対策基準」である「関連規程」ではなく、基本方針ですので、独立して作成されます。
情報セキュリティのための組織
「誰」がどのような「権限」と「責任」を持ち「何をするか?」を決めたものです。「誰」の集合体である、「情報セキュリティ委員会」など、組織ごとに名前は異なりますが、対応する組織を作る場合もあります。
「情報漏えいが疑われる事態が発生した時に誰に相談するか決めていますか?」でお話をしているように、対応組織が決まっていないと、いざ、問題が発生した時に、迅速な対応はできません。
迅速に対応できないと、被害が拡大する可能性もあります。
このため、組織として役割を持った人を任命し、なおかつ、周知しておかなければなりません。
任命しても、組織内の人が知らなければ、情報収集等の適切な対応ができないためです。
このため、原文でも、権限等を書いた表と体制図からできています。
問題発生時の対応者だけではなく、教育責任者や個人情報の対応責任者、監査の責任者なども決めます。
情報セキュリティの監査・点検
点検と監査について、決めます。具体的には、
- いつ
- 誰が
- 監査して(又は、点検して)
- 誰に(どこに)
- 報告する
また、問題があれば、
- 誰が
- 問題の特定し
- 問題の対策し
- 誰に(どこに)
- 報告する
例えば、次のような対応です。
基本的には年1回、監査(点検)の責任者が担当者と監査(点検)して、委員会や社長(経営層)に報告します。
問題があれば、監査(点検)の責任者が問題の特定と対策をして、委員会や社長(経営層)に報告します。
必要に応じて、規程の改訂や取引先等の社外への周知・改善依頼も行います。
情報セキュリティの情報共有
日々発生する新たな脅威や脆弱性に対応するため、責任者は情報を収集し、組織内に共有することが必要です。このため、収集方法や収集内容、周知義務についての規定を設けます。
次回は、「人的対策」のお話です。
タグ:セキュリティ関連規程, 監査, 組織的対策
| 広告枠・・・広告やリンク先の保証はしません |
|---|
