目次
はじめに
今回は情報セキュリティガイドラインで記載すべき内容について記載致します。
これは一般的なガイドラインになりますので、各社に合った情報セキュリティガイドラインの策定が必要になりますが、
ドラフトとしてご紹介致します。
情報セキュリティガイドラインの内容について
情報セキュリティガイドラインに記載する必要があるのは、下記の内容になります。
1.組織的対策
情報セキュリティのための管理体制の構築や点検、情報共有などのルールを定めます。
体制を決め、責任をもって推進することが重要です。
2.人的対策
取締役および従業員の責務や教育、人材育成などのルールを定めます。
どうやって社内に周知させるか、社員が入社した際の対応などを記載します。
3.情報資産管理
情報資産の管理や持ち出し方法、バックアップ、破棄などのルールを定めます。
USBの利用方法や利用しなくなったサーバの破棄方法等をまとめます。
4.アクセス制御及び認証
情報資産に対するアクセス制御方針や認証のルールを定めます。
社外からのアクセス制御等、機密情報漏れが無いようにルールを決定します。
5.物理的対策
セキュリティ領域の設定や領域内での注意事項などのルールを定めます。
サーバルームの施錠であったり入退室管理をするなど、物理的な接触を防いで、トラブルを防ぎます。
6.IT機器利用
IT機器やソフトウェアの利用などのルールを定めます。
「フリーのソフトウェアを利用する際には、申請を必要とする」など、社内にウィルスが侵入しないようにします。
7.IT基盤運用管理
サーバやネットワーク等のITインフラに関するルールを定めます。
クラウドサービスを利用する際の注意点や、ログの取得ルールなどを明記しておきます。
8.システム開発及び保守
独自に開発及び保守を行う情報システムに関するルールを定めます。
新システムを導入する際の工程を決めたり、本番稼働時のルールなどを決めておきます。
9.委託管理
業務委託にあたっての選定や契約、評価のルールを定めます。業務委託契約書の機密保持や委託先として問題が無いかをチェックします。
委託先の選定基準や契約事項の定期的な見直しルール等を決めておきます。
10.情報セキュリティインシデント対応ならびに事業継続管理
情報セキュリティに関する事故対応や事業継続管理などのルールを定めます。
トラブル発生時の対応方法など、対応体制を決めておきます。事前に決めておくことによって、トラブル時の混乱を防ぎます。
11.個人番号および特定個人情報の取り扱い
マイナンバーの取り扱いに関するルールを定めます。
取引先、株主、従業員の情報に関して利用目的などを明記しておきます。
おわりに
簡単には書きましたが、細かい部分まで明記しておいた方が良いので、プロに任せた方が良いと思います。
※内容が漏れているとマズいですし…。
また、情報セキュリティガイドラインを社内に展開するには、経営者からの推進力が必要です。詳細については下記の記事をご覧ください。
【まとめ】情報セキュリティガイドラインとは
それでは、お読み頂きありがとうございました。
良き情報セキュリティライフを!
