情報セキュリティ対策基準(スタンダード)の作り方(12)

sae
2023-07-18
2023-07-18

こんにちは、saeです。 

今回は、前回に続いて情報セキュリティ対策基準の5章の管理基準について解説します。 

5.16 全社セキュリティポリシへの違反の報告では、セキュリティ管理者のセキュリティポリシー違反に関する役割について記述します。

5.16 全社セキュリティポリシへの違反の報告(事故報告およびリスク通知)

全社セキュリティポリシへの違反および問題に関する情報を管理し、必要な追加防止策の検討を行う。具体的には、以下の活動を通じて、継続的なセキュリティレベルの維持・向上を図る。

①全社セキュリティポリシへの違反または問題点を発見、または疑いがあることを知った場合は、速やかに上長に報告する。

 ②全社セキュリティポリシへの違反または問題については、その情報を分類・蓄積・分析し、新たな再発防止策を策定・実施する。

セキュリティ管理者は、事故を確認・調査し、事故の内容により業務プロセスの変更を指示する責任がある。

5.17  外部委託管理では、外部委託先への選定から管理、指導について記述します。

5.17 外部委託管理

情報処理業務の外部委託に際しては、適切なセキュリティ管理が継続して行えるよう、必要な対策・管理を行う。具体的には、以下の対応を行うものとする。

・適切な情報管理体制を整備・維持できる委託先の選定(セキュリティ管理能力を選定基準のひとつとする旨、審査部門へ要求を行う。)

 ・情報保護に関する、適切な契約の締結

 ・委託先の業務実施体制と業務実施状況、情報保護管理状況の把握、指導


5.18~5.23 法令等への準拠等、規程に基づいた運用について記述します。

5.18 法令等への準拠

セキュリティ管理に関する各種規程の内容は、セキュリティに関連する各種法令、社会的な基準に従って随時見直しを行う。

また、明示的に規定されていない事項については、これら法令・社会的基準にしたがって適切な運用を行うこととする。

法令等への違反が発生した場合は、「コンプライアンス規程」に従って対処する。

5.19 セキュリティに関する適切性の確認(監査・点検令等への準拠)

各組織では、当該組織で行う業務が、本センターセキュリティポリシに適切に準拠していることを確認するため、定期的に自主点検およびセキュリティ管理者によるレビュー(監査)を実施する。

情報セキュリティ責任者は、レビュー(監査)に必要な手順・体制を整備すると同時に、監査・点検すべき項目と手順を定め責任がある。

5.20 改善活動

データセンターは、情報セキュリティ基本方針、目標、監査結果、自己記録、是正処置・予防処置およびマネジメントレビューを通じて、本組織の情報セキュリティマネジメントシステムの有効性を確認し、継続的な改善を行う。

5.21 予防処置の検討

情報セキュリティ責任者は、本センターセキュリティポリシへの不適合発生を未然に防ぐために、発生しうる脅威とリスクの原因を明らかにし、適切な処置を決定・実施する。

5.22 機密保持

セキュリティ管理において定められた各種規程は、特に断る事のない限り「部外秘」として扱う。

5.23 本規程の改廃

本センターセキュリティポリシの改訂は、「ISMSマニュアル」(文書管理)に従う。

6 セキュリティ管理の構築に関する基準

6.1 関連規則・手続きの制定・整備

セキュリティ管理者はセキュリティ管理方針(目標)に基づき、セキュリティ管理を実現する上で必要な関連規則・手続を制定・整備を推進する。サ-ビスレベル目標に反映された内容が、各種規程・手順書として確実に反映され、必要な教育が行われていることを確認する必要がある。

6.2 システム環境の整備

セキュリティ管理者はセキュリティ管理方針(目標)に基づき、セキュリティ管理を実現する上で必要な情報システム資源・設備の導入を推進するものとする。

サービスレベル目標に反映されたセキュリティ対策が確実に実装されるよう必要なコスト・要員の調達を行うと同時に、その実装状況について確認する必要がある。

6.3 組織・体制の整備

セキュリティ管理者はセキュリティ管理方針(目標)に基づき、セキュリティ管理を実現する上で必要な組織・体制の整備を行うものとする。サービスレベル目標を実現するために必要な組織・体制面での変更が、確実に行われていることを確認する必要がある。

7 セキュリティ管理の運用に関する基準

7.1 周知・広報・教育

セキュリティ管理者は、セキュリティ管理を実現する上で必要な関連規則・手続の、情報システムの管理者・利用者への周知・公報、定期的な教育を推進するものとする。

周知・広報・教育を確実にするために、所管部署に対する指導・支援を行う必要がある。

7.2 運用および監視

セキュリティ管理者は、セキュリティ管理の実施状況、セキュリティ事故・問題の発生状況を常時監視するものとする。また、関連する記録を定期的に分析し、セキュリティ事故の見逃しや、事故に至らない異常状態を確認する必要がある。

7.3 関連会社・第三者への義務

セキュリティ管理者は、セキュリティ管理の関連規則・手続に定められた必要事項を関連会社および第三者へ提示し、遵守させなければならない。また、関連会社および第三者がセキュリティ管理の関連規則に対する違反を行った場合は、直ちに必要な処置を取らなければならない。データセンター設備および情報資産を利用する可能性のある、開発部門・関連会社、データセンターへの入退館を行う営業部門、業務委託会社に対し、セキュリティ関連規程を提示し、遵守させる必要がある。

8セキュリティ管理の評価に関する基準

8.1 評価の実施

セキュリティ管理者は、定めたセキュリティ管理が正しく運用されているか、環境変化による見直しが必要でないかを定期的に評価するものとする。

システム環境的および運用環境的に、必要なセキュリティ管理が行える状態にあるか否かを定期的に調査・評価し、問題がある場合には必要な対応策を提示する必要がある。

8.2 監査の実施

当データセンターは社内外の監査機関により、定期的にセキュリティ管理の監査を受けるものとする。セキュリティ管理者は情報セキュリティ委員会と連携して内部監査

プログラムの策定を行い、定期的にデータセンター各組織の監査を行い、結果を情報セキュリティ委員会に報告する必要がある。また、外部監査への必要な協力を行う必要がある。

8.3 改善勧告の実施

情報セキュリティ委員会は監査結果を分析・評価し、当該組織への改善勧告を行うものとする。当該組織はその勧告に従い、改善を実施し、再監査を受けるものとする。

セキュリティ管理者は、当該組織に対して改善策の実施についての指導・支援を行う必要がある。

 

 
© Future Spirits Co.Ltd.