Part3|組織としての対策(IPA「新・5分でできる!情報セキュリティ自社診断」)
こちらのページは「新・5分でできる!情報セキュリティ自社診断」の7ページと8ページに対応しています。
「・・・のための製品・サービスを探す」から、対策のための適切な製品やサービスを探すことができます!
「・・・のための製品・サービスを探す」から、対策のための適切な製品やサービスを探すことができます!
|
Part 3組織としての対策
No.19~25は組織としての方針を定めた上で、実施すべき対策です。情報セキュリティのルールは明文化して社内で共有することにより、従業員の意識を高めるようにしましょう。
|
 |
| 診断編 NO.19 | 守秘義務の周知 | |
|---|---|---|
| 従業員に守秘義務について理解してもらう | ||
| 従業員の守秘義務や機密保持について就業規則などで定められていることもありますが、どのような情報が秘密なのか、何をしたらいけないのかなどを、従業員に明確に説明しましょう。 | ||
| 対策例 | ●採用の際に守秘義務について説明する。 ●守秘に関する覚書を交わす。 ●秘密として管理している情報を明確に示す。 ●テレワークで秘密情報を取り扱う場合には、周囲の環境に 十分注意するよう説明する。 |
|
| 守秘義務の周知のための製品・サービスを探す | ||
| サービス | 一般従業員向け教育・リテラシー教育>> | |
| 診断編 NO.20 | 従業員教育 | |
|---|---|---|
| 従業員に情報セキュリティ教育を行う | ||
| 日々の仕事では常に様々な情報を取り扱いますが、日常的であるがゆえに管理の意識がつい疎かになりがちです。従業員に対し繰り返し意識付けを行うことが有効です。 | ||
| 対策例 | ●情報管理の大切さや関連する法令などを説明する。 ●定期的な研修の機会を設ける。 ●テレワーク時のセキュリティ対策について研修の機会を 設ける。 |
|
| 従業員教育のための製品・サービスを探す | ||
| サービス | 一般従業員向け教育・リテラシー教育>> | |
| 診断編 NO.21 | 私物機器の利用 | |
|---|---|---|
| 個人所有端末の業務での利用可否を決める | ||
| 個人所有のパソコンやスマートフォンを業務で使用する場合、管理が行き届かず、セキュリティの確保が難しくなります。個人所有端末の業務利用の可否や業務利用のルールを定めましょう。 | ||
| 対策例 | ●個人所有端末の業務利用を許可制にし、利用時のルールを決める。 ●テレワークで個人所有端末やWi-Fiルーター、家庭のインターネット回線を利用する場合のルールを決める。 |
|
| 私物機器の利用のための製品・サービスを探す | ||
| サービス | コンサルティング(現状分析、ポリシー策定等)>> 一般従業員向け教育・リテラシー教育>> |
|
| 診断編 NO.22 | 取引先管理 | |
|---|---|---|
| 取引先に秘密保持を要請する | ||
| 取引先が情報の内容から判断して「当然秘密にしてくれるだろう」という一方的な期待は禁物です。取引先に機密情報を提供する場合には、それを機密として取り扱ってもらうことを明確にすることが必要です。 | ||
| 対策例 | ●秘密保持や具体的な対策を明記した契約や覚書を交わす。 ●情報セキュリティ対応方針を公表している取引先を選定し、情報セキュリティ対策の実施状況を確認する。 |
|
| 取引先管理のための製品・サービスを探す | ||
| サービス | コンサルティング(現状分析、ポリシー策定等)>> | |
| 診断編 NO.23 | 外部サービスの利用 | |
|---|---|---|
| 信頼できる外部サービスを使う | ||
| クラウドサービスなど外部サービスをコスト優先で選んでしまうと障害等でサービスが利用できなくなっても、補償を受けられない場合もあります。外部サービスを利用する場合は、性能や信頼性、補償内容など十分に吟味しましょう。 | ||
| 対策例 | ●利用規約や補償内容、セキュリティ対策などを確認して事業者を選ぶ。 ●テレワークでクラウドサービスを利用する場合は、会社で選定したサービスを利用する。 |
|
| 外部サービスの利用のための製品・サービスを探す | ||
| サービス | コンサルティング(現状分析、ポリシー策定等)>> アクセス制御/可視化>> ポリシー管理・設定管理・監視>> |
|
| 診断編 NO.24 | 事故への備え | |
|---|---|---|
| 事故発生に備えて事前に準備する | ||
| 実際に事故が起きてからだと、冷静に対応する余裕がなくなってしまいます。また、対応が後手に回り、それが原因で さらに深刻な事態になりがちです。報道されるセキュリティ事故などを参考に「もし、同じことが自分の会社で起きたら・・・」を想定して、誰がいつ何をするのかをまとめておきましょう。 | ||
| 対策例 | ●重要情報の流出や紛失、盗難があった場合の対応手順書を作成し、従業員に周知する。 ●テレワークでウイルス感染、パソコンや書類の紛失、盗難など事故が起きた場合の連絡先を決め、テレワーク勤務者に周知する。 |
|
| 事故への備えのための製品・サービスを探す | ||
| 製品 | ポリシー管理・設定管理>> ログ管理>> IT資産管理>> バックアップ製品>> データ管理(復旧・削除・検索)>> インシデント対応・フォレンジック>> |
|
| サービス | 訓練(演習)>> | |
| 診断編 NO.25 | ルールの整備 | |
|---|---|---|
| 情報セキュリティ対策をルール化する | ||
| 経営者が情報セキュリティ対策に関する方針を決めていたとしても、それを具体的なルールとして明文化していなければ、従業員は都度経営者の指示を仰がなければなりません。従業員が自らルールに従って行動できるように、 「企業としてのルール」をまとめて明文化し、従業員がいつ でも見られるようにしておく必要があります。 | ||
| 対策例 | ●情報セキュリティ対策として、診断シート項目のNo.1から24 までをルール化して社内で共有する。 ●一度決めたルールでも問題があれば改善する。 ●テレワーク時のルールを規程にまとめ社内で共有する。 |
|
| ルールの整備のための製品・サービスを探す | ||
| サービス | コンサルティング(現状分析、ポリシー策定等)>> 一般従業員向け教育・リテラシー教育>> |
|