こんにちは、saeです。
今回は、前回に続いて情報セキュリティ対策基準の5章の管理基準について解説します。
5.13 情報機器の廃棄および再利用
データセンターで扱う情報機器の廃棄および再利用については、情報漏洩などセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。。
・情報機器またはメディアに保存されているデータの完全削除
・メディアの社外再利用禁止、メディアの破壊・裁断
・廃棄事業者との機密保持契約、または再利用禁止の契約
5.14 セキュリティに関する教育
セキュリティ上必要な知識を共有し組織のセキュリティを維持するため、開発担当者・外部委託会社従業員含め、全てのデータセンター従事者に対し定期的または異動時など随時教育・訓練を行う。具体的には、必要に応じて以下の対策を行う。
・関連する業務に関するセキュリティ上のリスク
・全社セキュリティポリシおよびセキュリティ基本方針の説明
・センター運用管理規程他、各種基準・手順など、運用ルールの説明
・情報システム利用規程、就業規則・服務規程など、行動規範の説明
教育・訓練活動は「ISMSマニュアル」(教育ルール)に従って実施する。
5.15 緊急時対策
セキュリティ上の問題が発生した場合の影響・損害を最小限にとどめるため、必要な業務回復計画・継続計画を策定する。具体的には、以下のリスクについて対策を立てることが望ましい。具体的には、以下のリスクに対し、予防策に加えて、問題発生時の対策について事前に決定を行う。
・システム構成要素の故障などによるサービス停止
・情報機器またはメディアの持ち出し・廃棄・再利用による情報の漏洩。
・アクセス権変更による不正利用または利用妨害
・ハードウェア故障または操作ミスによるデータ破壊
・ウィルスの混入または不正アクセスによるデータの破壊、改竄。
・社内外の通信回線上の盗聴、および盗聴による改竄
・通信妨害
・社内外のネットワークからの不正侵入
・重要情報の覗き見や、不正コピー・印刷
緊急事態が発生した場合は、緊急連絡網に従い速やかにエスカレーションを行う。セキュリティ責任者および情報セキュリティ委員会は、該当するサービスまたは組織の責任者と対策を検討・実施する。