情報セキュリティ対策基準(スタンダード)の作り方(5)

sae
2023-01-05
2023-01-05

こんにちは、saeです。 

今回は、情報セキュリティ対策基準の項目について解説します。 

記載にある「情報セキュリティ基本方針」は、既ににあるものとして記載していますが、実際には「情報セキュリティ基本方針」に基づいて記載します。

また、対象範囲が多岐に渡ると記述内容も複雑になるため、データセンターに範囲を限定されて頂きました

 

まず1章の記載では、「目的」について記載しています。これは、「情報セキュリティ基本方針」に基づいて記載されるものです。

1 本書および当該規程の目的

情報セキュリティ上の脅威から当社の情報資産を保護することは、当社にとって非常に重要である。特に、データセンターでは、顧客の重要な情報資産を預かる立場にあり、情報資産の保護に対して一層の努力が必要である。

このことから、当社のデータセンターに関する各組織が、情報セキュリティ上の対策を実施する際に必要な基準として、「情報セキュリティ基本方針」に準拠し、この「情報セキュリティ対策基準」を定める。

2章では、保護する対象を特定します。
ISO27001では、会社や組織全体ではなく、ある特定の範囲に限定して準拠することが可能です。このことから、今回の「情報セキュリティ対策基準」では、データセンターに関する範囲に限定しています。

2 保護対象

2.1 保護対象

情報セキュリティ対策基準での保護対象は、「情報」並びに「情報基盤」とする。

・「情報」 =価値・意味ある無形の資産。アイディア、ノウハウ、ソースプログラム、ファイル、データ等

・「情報基盤」=「情報」を蓄積・伝達するための、有形、無形の資産。

サーバ、クライアント、アプリケーション、電子メール、電子媒体、ネットワーク、紙、人、郵送物等

・「情報資産」    =「情報」+「情報基盤」

2.2 保護対象とする「情報」の範囲

当社が保護対象とする「情報」の範囲は、原則として、役員・従業員が、侵害時の被害の大きさ及び発生の可能性から判断し、決定する。

但し、本情報セキュリティ対策基準に例示するように、顧客情報等、当社が最低限保護する義務を負う「情報」等については、役員・従業員の判断にかかわらず保護対象とする。

2.3 保護対象とする情報の範囲の判断

「情報セキュリティ基本方針」並びに本情報セキュリティ対策基準では、あらゆる「情報」を等しく保護対象とするわけではない。

役員・従業員はその権限と責任において、情報の重要性を、「機密性」・「完全性」・「可用性」の侵害時における被害の大きさ、及び発生の可能性から判断し、保護対象とするかどうかを個別に決定しなければならない。

・「機密性」=情報にアクセスすることが許可された者だけがアクセスしうること。Confidentiality。機密性侵害のひとつが、「漏洩」。

・「完全性」=情報が(オリジナル通りに)正確であること。Integrity。完全性侵害のひとつが、「改竄」。

・「可用性」=必要なときに情報にアクセスできること。Availability。可用性侵害のひとつが「破壊」。

2.4 役員・従業員の判断にかかわらず保護対象とする「情報」

少なくとも下記に例示する「情報」は、役員・従業員の判断にかかわらず保護対象とする。

2.4.1 当社が「お預かり」している、「他者」の「情報」であって、以下のいずれかの条件に合致するもの。

         ①法令上、当社に「保護義務」が発生しているもの

    ・「プライバシー権(憲法・判例)」の対象となる「情報」。個人の私生活の内情に関する情報等(いわゆる個人情報を含む)。

    ・「通信の秘密(電気通信事業法第4条)」の対象となる「情報」。当社が送信を代行・中継する通信の内容。

    ・「(医療関係での法令で保護されている情報)」の対象となる「情報」

       ②契約上、当社に「保護義務」が発生しているもの

    ・「企業顧客」との、守秘義務契約・規程の対象となる、「秘密情報」。

    ・「消費者」との守秘義務契約・規程対象となる「プライバシー関連情報」(いわゆる個人情報を含む)。個人のクレジットカード番号、電話番号等

                   ・「提携先」との守秘義務契約・規程の対象となる、「秘密情報」。提携条    件、提携検討の事実、ライセンス対象技術等。

         ③社内規程上、当社役員・従業員に「保護義務」が発生しているもの

          ・「個人情報保護規程」の対象となる「情報」。個人のクレジットカード番号、電話番号等

2.4.2 自社の「情報」のうち、以下の「情報」

①営業秘密。売上・利益など事業データ(公共メディアなどで公開されている情報は除く)

②秘密管理されている個人情報、新商品情報、会議決定事項

③商標未出願の新商品名称

④特許未出願の発明、ビジネスモデル

⑤その他、社外秘・部外秘・機密と定義された情報。

3 適用範囲

情報セキュリティ対策基準は、データセンターを対象とした規程であり、データセンターに従事する当社の役員・従業員に適用される。

本ガイドラインが直接適用されない外部スタッフ(業務委託先、派遣社員等)については、適切な業務委託契約・守秘義務契約等を締結する等、本情報セキュリティ対策基準と同様のセキュリティレベルを遵守させるよう努める義務を負う。

 次回は、4章のセキュリティ管理体制を記述します。