情報セキュリティ対策基準(スタンダード)の作り方(11)

sae
2023-06-16
2023-06-16

こんにちは、saeです。 

今回は、前回に続いて情報セキュリティ対策基準の5章の管理基準について解説します。 

5.13 情報機器の廃棄および再利用では、廃棄する機器の再利用や廃棄について記述します。再利用する場合は、その範囲とリスク対策を検討する必要があります。また、廃棄の方法についても記載する必要があります。ハードディスクやサーバー、ネットワーク機器が想定されます。

5.13 情報機器の廃棄および再利用

データセンターで扱う情報機器の廃棄および再利用については、情報漏洩などセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。。

・情報機器またはメディアに保存されているデータの完全削除

・メディアの社外再利用禁止、メディアの破壊・裁断

・廃棄事業者との機密保持契約、または再利用禁止の契約


5.14  セキュリティに関する教育では、教育の範囲や対象、タイミング等について記述します。既にPマーク等の教育体制がある場合は、その教育方法に準じて実施することも可能です。

5.14 セキュリティに関する教育

セキュリティ上必要な知識を共有し組織のセキュリティを維持するため、開発担当者・外部委託会社従業員含め、全てのデータセンター従事者に対し定期的または異動時など随時教育・訓練を行う。具体的には、必要に応じて以下の対策を行う。

・関連する業務に関するセキュリティ上のリスク

・全社セキュリティポリシおよびセキュリティ基本方針の説明

・センター運用管理規程他、各種基準・手順など、運用ルールの説明

・情報システム利用規程、就業規則・服務規程など、行動規範の説明

教育・訓練活動は「ISMSマニュアル」(教育ルール)に従って実施する。


5.15 緊急時対策では、データセンターで扱う情報の保管方法や持ち出しについて記述します。実際の設備や運用を踏まえて決定する必要があります。

5.15 緊急時対策

セキュリティ上の問題が発生した場合の影響・損害を最小限にとどめるため、必要な業務回復計画・継続計画を策定する。具体的には、以下のリスクについて対策を立てることが望ましい。具体的には、以下のリスクに対し、予防策に加えて、問題発生時の対策について事前に決定を行う。

   ・システム構成要素の故障などによるサービス停止

・情報機器またはメディアの持ち出し・廃棄・再利用による情報の漏洩。

・アクセス権変更による不正利用または利用妨害

・ハードウェア故障または操作ミスによるデータ破壊

・ウィルスの混入または不正アクセスによるデータの破壊、改竄。

・社内外の通信回線上の盗聴、および盗聴による改竄

・通信妨害

・社内外のネットワークからの不正侵入

・重要情報の覗き見や、不正コピー・印刷

緊急事態が発生した場合は、緊急連絡網に従い速やかにエスカレーションを行う。セキュリティ責任者および情報セキュリティ委員会は、該当するサービスまたは組織の責任者と対策を検討・実施する。